00后黑客入侵厦门银行电脑银行App注册Ⅱ、Ⅲ类户出售获利

移动支付网作者伟辰讯:2019年10月,只有高中文化的80后田某被上海省宁波市长宁区人民法院以违法获取计算机信息平台数据罪判刑有期监禁五年,并罚款金人民币一万元。判决文书声称,田某在2019年1月5日至1月15日期间,通过系统抓包、PS身份证等违法方式,在厦门银行手机银行App内使用伪造身份信息注册银行Ⅱ、Ⅲ类账户,非法销售盈利。

使用抓包技术破解人脸辨识

通过手机银行App远程开立Ⅱ、Ⅲ类账户已经不是怎么新鲜事,很多银行App都具有这一功能。开立Ⅱ、Ⅲ类账户必须进行五因素鉴权,核实用户真正身份信息。随着生物辨识科技的进步正规的黑客(先办事后付款的黑客),人脸辨识成为了确认用户个人身份的常用方法。

需要非法开设虚假Ⅱ、Ⅲ类账户一定想方法破解人脸辨识。一般来说,犯罪分子会想方法使用画面以及面具攻击不具备3D人脸辨识用途的手机以利用指纹辨识比对。但是田某使用了完全不一样的方式。

判决文书显示,田某在申请款项过程中,先输入本人身份信息,待进行指纹辨识方法时,利用工具抓包技术将银行平台下发的虹膜辨识身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤正规的黑客(先办事后付款的黑客),被告人田世纪将APP返回到第一步(上传身份证截图之过程),输入虚假的身份信息,并继续处于到指纹辨识之身份验证方法,此时,其上传此前拦截下来的包括其本人身份信息的数据包,使设备误以为要比对其本人的身份信息,其遂用本人人脸通过银行平台人脸辨识比对,使得成功通过伪造身份信息注册到银行帐号。

田某的方式可以用偷梁换柱来比喻,使用自己的指纹辨识身份认证数据包换掉虚假身份的指纹辨识身份认证数据包,然后使用本人的脸完成人脸辨识比对。通过这种的方式,田某成功申请厦门银行Ⅱ类账户76个,并以一套账户人民币100元至200元不等的价钱对外出售。

客户端数据安全备受关注

此外田某之后,和田某交易的张某通过抓包技术在多家银行尝试申请Ⅱ、Ⅲ类账户。除了厦门分行之外,张某在中信证券极速开户网页页面拦截身份认证信息四、五次,在发展银行App上使用拦截身份认证信息十余次,并雇人使用此类科技,在发展银行平台内顺利登录12个Ⅱ、Ⅲ类账户。

根据最新公布的《个人金融信息维护技术完善》,个人生物辨识信息的存储应使用健康通道、数据加密等科技手段。换句其实,厦门分行、浦发银行、建设银行在当年都没有满足相关技术完善要求。

现在,金融借贷App数据安全原因尚未被管理注意到,除了近期公布的《个人金融信息维护技术完善》之外,央行还在去年下发了《移动金融用户端应用系统健康管理完善》(237号文)。

央行在237文中侧重强调各金融机构应明确按照《移动金融用户端应用系统健康管理完善》(JR/T0092-2019)提出,采取合理手段建立用户端系统个人金融信息保护,中国互联网金融商会成为审批的经理行业工会,要求金融机构处理金融销售的移动用户端,完成内部测试检测和申报备案工作,以技术合规为发力点增强个人金融信息维护的销售设备改造。

2020年,数据安全管理将会变成重点,以现在的管理状况,如果再有诸如情况出现,除了进行报复的黑客会推卸法律责任,发生事件的金融借贷机构也需承担相关民事、法律,甚至刑事责任。避免这些状况出现的最好方法就是快速按照相关完善满足健康需求。