通常我们想到银行抢劫,第一反应都是银行的安全门或保险柜被炸开。但现如今,银行抢劫可能是犯罪分子在另一个国家通过网络非法登入银行账户进行抢劫。不再需要面罩和枪支弹药。
长期以来,澳大利亚的银行都希望为客户提供更为便捷的转账方式,但是记住或输入BSB和账号的过程很容易出现人为错误。
去年,澳洲各大银行间终于实现实时转账,即使用PayID——该新型支付系统允许用户将其手机号码或电子邮件地址和银行账户相关联,而后便可以通过输入他人的电话号码和邮箱来进行收款,这是一种更简单快捷的转账方式。
因为这一功能只用于收款,而非用于付款,所以很多人认为不太可能成为黑客的目标。然而,事实可能并不如大家所想。
据澳洲广播公司报道,2018年2月,13个银行组成了联盟澳洲新支付平台(New Payment Platform Australia),根据其提供的数据显示,已有超过5200万账户适用于这个功能,且覆盖了几乎所有主要的金融机构。
New Payments Platform Australia官网首页
截至今年2月,约250万个账户开通了PayID并进行了9000万笔交易,总额超过750亿澳元。为了确保交易安全,当输入PayID手机号码进行支付时,会显示帐户持有人的全名,这样付款人就可以确保将其付款到正确的PayID帐户。
但这项服务推出后不久,有Twitter用户就指出,这意味着可以随意输入电话号码,如果这个号码与PayID账户相连,账户持有人的名字就会显示出来,就像电话簿一样。澳洲新支付平台在一份新闻稿中承认了这一问题,为了打消了用户的担忧,他们做出如下解释:
虽然对少部分在Twitter被曝光姓名的个人来说很不幸,但是关于对PayID这一功能的讨论主要还是集中在用户选择创建PayID时获得的好处。
但对于那些个人信息被公开的银行客户来说,这并不能让他们放心。今年的事态发展表明,根本问题依然存在。
New Payments Platform Australia对PayID的介绍,图/nppa官网
下一次会更幸运吗?
今年6月,黑客利用几个网上银行账户,在6周的时间里进行了60多万次PayID查询。据报道,仅仅是按顺序输入电话号码,就获得了约9.8万个PayID的详细信息。
目前尚不清楚谁在非法获取这些用户信息。但一份泄露的备忘录将矛头指向了一些美国的欺诈者。现在这些黑客的具体动机也还不清楚,但任何个人数据在“地下经济”中都有价值。
这些数据可能被用作更复杂的网络钓鱼骗局的一部分,目的是窃取账户持有人的进一步信息。
尽管这些“网络攻击”没有技术含量,只涉及简单的尝试和报错,但PayID系统似乎没有检测到一个账户在短时间内进行大量的重复查询(平均每个账户进行了14000个查询)。就比如在现实生活中,你进入你的银行14000次,每次提交不同的身份证明。这样反常的行为应该引起了系统安全网络的注意。
虽然合法用户可能多次尝试才能输入正确的数字,但应该没有人需要数千次的尝试。添加查找限制,并将一些过多尝试的用户标识为高度异常,应该是一个简单的网络安全步骤。然而,无论是有关的银行,还是NPP Australia,都没有实施任何机制来检测来防止这种形式的滥用。
在上一次大规模的用户数据泄露两个月后,同类事情又发生了。今年8月,又有92,000个PayID被曝光。据报道,这次信息泄漏的漏洞发生在与NPP Australia系统相连的一家金融机构的系统内。令人担忧的是,这次事件泄露了用户的全名、BSB和账号。
什么是真正的危险?
因为这个系统只允许将款项存入账户,而不是授权从账户中取款,因此许多银行业内人士认为这种信息的泄露风险似乎不大,并对此不屑一顾。
然而,其实这种信息泄露还有一个更深层次的风险:网络钓鱼。这是一种网络犯罪行为,由于个人信息的泄露,用户可能会收到一些伪造的官方短信或邮件,如果用户点击这些短息或邮件中包含的链接名,或根据其中的指示输入密码或其他信息,可能会泄露更多的个人信息,造成更大的安全隐患。事实上,已经有一些与PayID相关的类似案件发生。
欺诈短信如何套取信息(图/canstar.com)
上面描述的方法其实并不特别复杂。想象一下,如果我们收到一条有针对性的电子邮件消息引用了一些可以识别的个人信息,例如PayID或者我们的全名,还有就像最近的案件——邮件或短信中引用了BSB和帐号,再加上正确的银行品牌,以及和官方短信、邮件差不多的行文内容。很容易让毫无戒心的用户相信,出于安全原因,他们需要“登录以更改PayID”。登录按钮可以很容易地连接到另一个网站,用于窃取其他银行登陆信息。
MEBank家庭财务状况报告(the ME Household Financial Comfort Report)显示,近50%的家庭拥有至少1万澳元的储蓄,这明显促使网络犯罪分子将目标对准这些银行账户。
与任何钓鱼犯罪一样,只要少数人中招,就会让这些行为变得有利可图。尽管银行客户在回复信息前应该三思而后行,但其实真正应当担负责任的是银行。只要银行对不寻常的在线行为模式保持警惕,就可以防止这些安全漏洞。
对于金融机构而言,这不是新领域,它们经常在信用卡交易中寻找不寻常的模式。或许是时候将这些概念应用到其他场景中,更好地保障用户的信息安全。
(文中未注明来源的图片均为Shutterstock,Inc.授权澳财网使用,请勿单独转载图片。)