2024金融科技大会 | 梆梆安全推出基于新监管下的“全渠道”移动应用安全建设实践方案
2024年10月15日,2024金融科技大会暨第六届中新(苏州)数字金融应用博览会在苏州召开,苏州市委副书记、市长吴庆文,新加坡金融管理局中国首席代表黄嘉均,中国金融电子化集团有限公司党委书记、董事长谢汉立,以及各城市商业银行领导出席活动。梆梆安全作为国内金融移动应用安全领域的代表企业受邀出席并发表主题演讲,共同探讨金融机构“全渠道”移动应用安全建设实践。
梆梆安全金融行业解决方案专家张斌表示,近些年金融行业监管机构针对各类安全风险事件的通知、发文呈上升趋势,如:《买足彩用什么软件:系统未授权查询漏洞导致客户信息泄露风险提示》通知、《买足彩用什么软件:排查“假银行流水”》通知、《买足彩用什么软件:利用AI换脸技术突破金融支付平台人脸认证机制实施资金盗刷的风险通报》。
用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁,大部分金融机构平台通过移动APP开展业务,移动金融应用的重要性和价值逐渐凸显。金融行业安全风险的识别难度不断增大、风险的管控复杂度不断增加、风险的危害程度不断提升。
不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类拟人化自动化攻击、API业务攻击、0day攻击对金融数字化业务的影响也在快速攀升,攻击手段愈发多元化,移动应用安全已经成为金融行业数字化进程的重中之重。
全生命周期“全渠道”移动应用安全建设矩阵
基于上述风险,梆梆安全推出“全渠道安全监测平台”,通过风险环境和异常行为的深度分析,精准发现复杂攻击并快速响应,帮助金融机构提高安全防护能力;同时通过“安全能力平台”使行内人员可以快速搭建风险的验证环境,完成对复杂攻击的技术验证,准确评估应用安全性。
移动应用安全建设矩阵涵盖了Android、iOS、鸿蒙App及H5、小程序、轻应用等,以及开放银行场景下的外发Android SDK和iOS SDK,由第三方引入的Android/iOS SDK。同时,梆梆安全可以针对移动安全开发上线的整个生命周期(编码、测试、发布、运维、人工服务)提供全方位安全建议,确保上线应用的安全与合规,防止应用被反编译或调试,确保App符合相关的个人隐私监管要求。
同时,梆梆安全在完善层的基础上,强调客户方自身安全能力的提升。通过合规检测平台与人员赋能,使客户的自有团队具备合规评估能力;通过增加H5、小程序的检测探针,实现全渠道风险监测;通过API安全平台的行为检测,提升后端向前端API的资产管理、异常行为检测及防护能力;通过安全能力平台,提升客户安全团队的渗透测试效率,提高在强对抗环境下的移动安全测试能力,增强客户方红队在移动端的作战能力。
金融行业移动安全热点分享
梆梆安全金融行业解决方案专家张斌还进行了路演分享,通过生动实际的案例讲解了金融行业移动应用面临的安全威胁和对应解决方案,包含基于屏幕共享的电信诈骗、基于“换脸”的人脸识别绕过攻击、业务欺诈攻击技术分析以及常态化安全运营。
1、基于屏幕共享的电信诈骗
攻击方式:犯罪分子诱骗受害者安装恶意软件并打开手机无障碍模式,实现对受害者手机的远程控制,通过屏幕共享获取短信验证码等必要信息,进而完成恶意转账和信息窃取等诈骗行为。
解决方案:使用安全键盘,在共享屏幕时无法看到具体按键,避免交易密码等泄露。同时,加强移动安全监测能力,建立APP运行时监测机制(威胁感知),及时发现前端传输、应用、系统、ROM等各层面的安全风险,对用户进行提示或直接阻断交易,增强前端风险的监测、预警、处置、溯源能力。
2、基于“换脸”的人脸识别绕过攻击
攻击方式:犯罪分子利用深度伪造技术,通过交换原始人脸和目标人脸的身份信息或编辑目标人脸的属性信息来合成虚假的人脸视频,从而达到破解APP中人脸识别的验证功能。
解决方案:通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛,利用安全监测与业务系统的联动,解决应用运行过程中出现的前端技术类攻击行为。
3 、业务欺诈攻击技术分析
攻击方式:犯罪分子通过修改相关银行APP的关键函数,在银行反馈数据的过程中,拦截返回数据,修改余额、明细等信息,伪造银行流水;不法分子通过各种手段绕过规则限制,帮助不符合贷款资质的个体户或小微企业完成建档、贷款申请。
解决方案:针对报文篡改攻击主要通过安全监测的手段,监测根证书库是否存在异常证书、以及设备是否开启了Http代理进行风险排查;针对贷款诈骗,除了采用传统的风控手段进行风险控制外,还需要采用一些安全技术手段进行共计识别、发现和阻断,减少业务风险以及降低业务损失。
4、 常态化安全运营攻击发现
面对日益严峻的金融环境,单纯依靠传统的防御手段已经无法满足需求,金融机构需要将移动应用安全纳入到常态化运营体系,通过持续的监控、分析和响应,及时发现和解决潜在风险,确保金融移动应用的安全性、稳定性和可靠性。
