移动时代我怎么保证个人的 金融安全 By 安全小飞侠 About Me  ID: 安全小飞侠  安全工程师，目前就职于某国外电商企业的信息安全部  微信：<右方二维码>  Github： https://github.com/brianwrf  个人博客：http://avfisher.win/ 随着智能手机、平板等移动设备的出现和普及，我们已 经进入了移动互联网时代。因为自身业务扩展的传统的 金融行业以及移动时代产生的互联网金融衍生品如雨后 春笋般地出现，但是随之而来的安全问题也接踵而至。 个人银行 账号盗刷 频繁 P2P金融应 用的安全 漏洞频发 网贷公司” 跑路”潮 个人金融安全吗？ P2P金融应用安全漏洞趋势 140 120 100 80 60 40 20 0 2015-05 2015-06 2015-07 2015-08 2015-09 2015-10 2015-11 2015-12 2016-01 2016-02 2016-03 2016-04 问题到底出在哪里呢？ 企业 个人 监管 企业安全漏洞频发 个人安全意识薄弱 监管制度不健全 …… P2P金融应用安全漏洞类型 SQL注入 信息泄露 弱口令 getshell 配置不当 命令执行 未授权访问 XSS 文件上传 webshell CSRF 文件包含 安全圈有句名言：未知攻，焉知防！ 那么黑客通常是怎么攻击我们的呢？ 应用漏洞攻击 SQL注 入 窃取用户信 息，盗取账 户余额，实 施定向钓鱼 越权操 作 服务器 权限获 取 撞库攻击 某邮箱数据库泄露 整理用户名和密码 对其他网站实施撞库操作 获取成功登录的账户信息 窃取个人资料，盗取金融账户余额，实施定向钓鱼攻击 蛮力攻击 借助搜索引擎或者社工库获取用户相关的个人信息 利用社会工程学和弱密码字典生成爆破密码字典 对其金融账户网站或者应用进行蛮力破解 获取成功登录的账户信息 窃取个人资料，盗取金融账户余额，实施定向钓鱼攻击 钓鱼攻击 架设伪基 站 架设钓鱼WiFi 发送钓鱼 短信 打开钓鱼 链接 伪造常见WiFi 热点 诱骗输入 银行卡号 和密码 诱骗用户连接 钓鱼WiFi 下载短信 拦截软件 劫持所有流量 数据 获取短信 验证码 提取敏感信息 盗取金融 账户余额 盗取个人信息 或金融账户余 额 作为企业怎么才能抵御外部的安全威胁 将显得尤为重要！！！ 内网安全 业务安全 产品安全 生产网络：网络隔离， 防火墙，IPS，监控， 安全加固等 风控系统 SDL：设计，代码审计， 黑盒测试，威胁建模 （STRIDE）等 攻防：渗透测试，漏洞 扫描等 办公网络：WiFi，反病 毒，补丁更新，OA， 邮件系统，VPN等 支付安全 内部人员安全意识 第三方安全评估 防护体系：WAF， DDoS，防篡改等 应急响应流程