00后黑客入侵厦门银行手机银行App 注册Ⅱ、Ⅲ类户出售获利
2019年10月,只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元。判决文书表示,田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在厦门银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户,非法销售获利。
使用抓包技术破解人脸识别
通过手机银行App远程开立Ⅱ、Ⅲ类账户已经不是什么新鲜事,很多银行App都具备这一功能。开立Ⅱ、Ⅲ类账户需要进行五要素鉴权,核实用户真实身份信息。随着生物识别技术的进步,人脸识别成为了核实用户个人身份的常用手段。
想要非法开设虚假Ⅱ、Ⅲ类账户必须想办法破解人脸识别。一般来说,犯罪分子会想办法使用照片或者面具攻击不具有3D人脸识别功能的手机以通过人脸识别比对。但是田某使用了完全不一样的方法。
判决文书显示,田某在注册账户过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤,被告人田世纪将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤,此时,其上传此前拦截下来的包含其本人身份信息的数据包,使系统误以为要比对其本人的身份信息,其遂用本人人脸通过银行系统人脸识别比对,使得成功利用虚假身份信息注册到银行账户。
田某的手段可以用偷梁换柱来形容,使用自己的人脸识别身份认证数据包换掉虚假身份的人脸识别身份认证数据包,然后使用本人的脸完成人脸识别比对。通过这样的方法,田某成功注册厦门银行Ⅱ类账户76个,并以一套账户人民币100元至200元不等的价格对外出售。
客户端数据安全备受关注
除了田某之外,和田某交易的张某通过抓包技术在多家银行尝试注册Ⅱ、Ⅲ类账户。除了厦门银行之外,张某在浦发银行极速开户网页页面拦截身份认证信息四、五次,在建设银行App上使用拦截身份认证信息十余次,并雇人使用上述技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
根据最新发布的《个人金融信息保护技术规范》,个人生物识别信息的传输应使用安全通道、数据加密等技术措施。换句话说,厦门银行、浦发银行、建设银行在当时都没有满足相关技术规范要求。
目前,金融支付App数据安全问题已经被监管注意到,除了最近发布的《个人金融信息保护技术规范》之外,央行还在去年下发了《移动金融客户端应用软件安全管理规范》(237号文)。
央行在237文中着重指出各金融机构应严格按照《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)要求,采取有效措施加强客户端软件个人金融信息保护,中国互联网金融协会作为备案的主管行业协会,要求金融机构处理金融业务的移动客户端,完成外部检测评估和申报备案工作,以技术合规为切入点强化个人金融信息保护的业务设施建设。
2020年,数据安全监管必将成为重点,以目前的监管情况,如果再有类似情况发生,除了进行攻击的黑客会承担法律责任,发生事故的金融支付机构也需承担相关行政、法律,甚至刑事责任。避免这种情况发生的最好办法就是尽快按照相关规范满足安全需求。