互联网金融安全实战浅述 付山阳 关于我和我的团队 付山阳 湖南人 爱好篮球和游泳 10 years+ 安全产品开发和安全运营的工作经验 平安科技产品安全团队负责人 （白泽安全团队） 平安银行互联网金融安全负责人 目录 一、互联网金融－清算系统安全 二、互联网金融－移动客户端安全 三、互联网金融－业务安全 互联网金融－清算系统安全 网上银行 电话银行 清算系统 手机银行 银行核 心 ATM前置 …… 什么是清算系统？ • 通俗地讲，银行与商户、消费者之间为结算关系。 • 而银行与银行之间构成清算关系。 清算 央行清算系统 银行A 用户A 银行B 用户B 用户C 银行C 用户D 用户E 结算 用户F 史上最大银行抢劫案！ 8100万 ＝ 6吨 fandation ＝ 9亿 孟加拉银行被攻击全过程 2、攻击实施 黎刹商业银行 收到4笔共8100 万美元，并经过 1、攻击准备 两次转账，进入 3、清除痕迹 3个攻击木马 3个赌场账户， 修改了其中2 完成编码和 其余31笔9亿美 个攻击木马，用 编译 元汇款被暂停 来消除攻击痕迹 2月4日 2月4日 13时45分39秒 晚些时候 2月5日 11时46分20秒 4、发现并追索 孟加拉国央行 5、洗钱成功 发函要求黎 8100万款项 刹商业银行中 被分5次提取 止转账并退款 2月8日 2月9日 孟加拉银行被攻击原因分析 三、事后的安全应 二、事中措施不到 一、事前网络隔离， 访问控制，权限管 理等都很糟糕，密 码复杂策略等等都 没有。 位，没有基于网络 和主机的入侵检测 安全系统，没有有 效的对账系统。 急响应方案没有， 或者并不快速和有 效的被执行。 清算系统的基本IT安全措施建议 •银行跟银行之间应该采用专线传输和双向认证 •SWFIT系统应该部署在单独的服务器上，并且进行网络隔 事前 离 •网络访问应该限制到IP+端口 •勤快的打补丁 •定期的安全演习 事中 事后 •要有网络入侵检测和主机入侵检测系统 •有效的对账系统，区块链能在这块起一定的作用。 •要有成熟快速的应急响应流程，对各种攻击都要有预案。 国内的清算系统安全准备好了吗？ 安全应该跟业务同步发展！ 目录 一、互联网金融－清算系统安全 二、互联网金融－移动客户端安全 三、互联网金融－业务安全 互联网金融的移动客户端安全需提升 我们白泽安全团队分析了146款互联网金融类APP，其中存在中风险安全漏洞的占 比达 94%（ 共137 款APP ），平均每款APP存在漏洞 11 个，此外63 款APP存在 高风险安全漏洞，占比达 43%。 中风险漏洞app占比 高风险漏洞app占比 6% 43% 57% 94% 四成app存在webview代码注入漏洞 43% 57% 不存在webview代码注入漏洞的app 存在webview代码注入漏洞的app 六成以上的app未能保障安全传输 36% 64% 保障安全传输的app 未保障安全传输的app 移动客户端恶意软件问题比较突出 2000 2015年android恶意样本比2013年增加27.9倍 1874 1500 1000 500 0 67 329 2013 2014 2015 互联网金融类android木马的逆向分析 启动正版的金融 钓鱼app弹出登录 盗取用户的姓名密 app 界面 码等敏感信息 把姓名密码，以及 短信发送到后台 监听手机短信 互联网金融类android木马的后台调查 移动木马攻击的防御建议 事前 事中 事后 •你发给用户所有的短信都不要带链接。 •提示用户不要点击任何短信链接 •检测是否有activity劫持的情况，并提 示用户 •利用用户画像，对钓鱼盗号的登录行为 进行判别，阻止盗号者登录。 目录 一、互联网金融－清算系统安全 二、互联网金融－移动客户端安全 三、互联网金融－业务安全 互联网金融－业务安全 伪冒身份开户 绑卡盗刷 黑中介骗贷