数字风暴的浪潮覆盖了越来越多的经济领域,形成了新的现实。 金融业也不例外:各国相继在信贷机构的工作中开发和实施一种革命性的方法-开放银行或开放银行的概念。
开放银行是银行信息系统的统一软件界面。 金融应用程序开发人员,金融科技公司可以使用它为客户提供新一代金融服务。
通过开放的界面与银行互动不仅是机遇,而且是风险。 在本文中,我们将考虑实施开放银行所带来的风险和威胁,并讨论针对这些风险的可能选择。
关于金融科技公司
尽管银行渴望创造创新的金融产品,但在这方面,银行很难与不受监管机构和内部法规要求联系的金融科技公司竞争。 银行之间的竞争以及吸引客户完全按照自己的意愿进行服务的愿望,对创建整合了多个信贷机构的服务的服务施加了自然的限制。
金融科技公司优于保守银行。 他们有能力吸引不同银行的客户,利用监管机构独立性的所有优势,迅速推出新的非标准产品。
金融和科技公司的动态性质在一定程度上是其组织特征的结果。 趋势科技为准备“
是否为PSD2做好准备:开放银行的风险 ”研究所做的分析表明,这些公司大多数:
与银行相比,这些功能的另一面是更大的漏洞。 随着越来越多的国家引入开放银行,威胁格局变得更加多样化,因为网络罪犯可以利用新的攻击目标。 让我们更详细地讨论它们。
开放银行攻击的目标
银行公共API
根据
PSD2在欧洲银行中实施的Open API(“修订后的支付服务指令”)只是一个重要过程的一部分。 在许多国家/地区都在实施这种编程接口。 这些工作是在某个地方将私营公司和银行联合起来的倡议。 例如,美国持久性数据API的开发得到
了金融服务信息分析中心(FS-ISAC)的非盈利组织
FDX的支持。 其他政府更喜欢完全控制该过程,例如
通过了《金融技术
法》的墨西哥或澳大利亚,在澳大利亚,金融技术对银行编程接口的访问只是称为“
消费者数据权 ”的大量事件的一部分。
金融API的雪崩式增长正在世界范围内引入。 来源:趋势科技公共银行API数量的增加将不可避免地导致使用它来牟利的尝试增加。 如果有一个界面,您可以通过它文明地连接到自动化系统并向您自己转移数百万美元,为什么还要破坏银行的保护呢?
趋势科技的一项研究显示,大量银行在API和网站URL中公开了机密信息-一次性密码,访问令牌,电子邮件,IMEI和交易数据。
尽管使用SSL可以防止流量拦截,但是在URL中传输此类信息非常危险,因为这些参数包括:
- 可能会出现在Web服务器日志中;
- 将显示在浏览器的URL中;
- 出现在浏览器的浏览历史中;
- 它们对执行SSL侦听的任何设备都是可见的,例如具有受信任证书的网络监视设备。
银行API URL中的机密数据。 来源:趋势科技在某些浏览器中,浏览历史记录是在笔记本电脑,智能手机和平板电脑等设备之间共享的。 在URL中显示敏感信息可能会削弱多因素身份验证的有效性,从而使黑客能够攻击最不安全的设备来窃取此信息。
真实示例:一家拥有数百万客户的欧洲金融科技公司已发布API文档,指出电子邮件地址,密码,密码和客户标识符是通过API URL发送的。
来源:趋势科技恶意使用公共API的另一种方法是DoS / DDoS攻击。 任何有兴趣的黑客都可以尝试尝试并尝试查找可能导致服务失败的参数组合。
行动应用程式
除了使用覆盖和其他熟悉的选项对移动应用程序进行传统攻击之外,使用第三方SDK还带来了其他危险。
在某些情况下,会引入恶意功能,使使用该库的程序用户订阅高级SMS或付费服务,例如
gtk库中嵌入的 E
xpensiveWall或
Tapcore SDK中引入的DrainerBot,并显示了不可见的视频供其作弊。
在某些情况下,最初安全且有用的应用程序突然变成了恶意软件,例如CamScanner-Phone PDF Creator,该软件
突然有了具有Trojan功能的库 。
显然,用于处理财务数据的程序中的隐藏功能可能导致最不愉快的后果。
即使开放银行应用程序在代表客户付款的权利方面受到限制,攻击者仍将能够利用它们牟取暴利。 有关完成的交易的数据也是有价值的商品。 有关何时何地进行购买的信息使您可以了解用户的日常活动,他们的习惯,兴趣和财务状况。
攻击移动应用程序的另一个目标是错误报告。 如果应用程序崩溃,则有关设备状态和导致错误的情况的信息将发送到开发人员的服务器。 此外,传输的信息还可能包含机密信息:
错误报告。 来源:趋势科技如果攻击者破坏了软件开发人员的崩溃报告,则他将可以访问此信息。
金融科技公司基础设施
使用云基础架构实施金融科技项目是一种合理的方法,可以使公司免于购买“铁”服务器的成本并确保其平稳运行。 但是,在这种情况下,另一个参与者将添加到公司,银行,客户和金融技术组织中-云服务提供商。
黑客可以通过渗透云提供商的网络来组织对供应链的攻击。 此类攻击将影响在此云中拥有资源的几家金融科技公司。 它的危险在于,客户,银行,金融科技公司本身都不会学习妥协,因为攻击将发生在他们无法企及的范围内。
用户数
就效率和相关性而言,对用户的攻击居于首位。 与“技术性”网络攻击相比,它们实施起来更简单,更便宜。
在与用户合作期间,银行设法确保大量的网络钓鱼电子邮件(如“您为SuperCredit银行提供的凭据”)已过期。 单击此处以重设密码“失去了效力”。 用户已经变得更加警惕。
当使用金融科技应用程序时,这种体验已经不适用。 因此,“我们是金融科技公司MegaTech,这是SuperCredit Bank的服务提供商。 请单击此处更新您的帐户详细信息。 用户没有意识到金融科技提供商帐户的密码与互联网银行的密码一样重要。 最可悲的是,银行将不会发现用户的妥协。
攻击用户的一种更困难的方法是伪造的金融科技应用程序,该应用程序显示在顶级Play Market或App Store中,然后窃取凭据,财务信息和金钱。
如何保护开放银行
有效打击欺诈者提供了一系列措施,开放银行也不例外。 我们列出了保护金融科技客户免受威胁的方法。
多因素验证
这是PSD2指令和与开放银行相关的类似法规的强制性要求。 根据Microsoft的说法,
使用多因素身份验证可阻止99.9%的尝试破解帐户。
MFA的三头鲸-知识,财产,生物识别技术。 资料来源:WSO2除了MFA之外,PSD2还添加了
动态链接的概念-取决于数量和收件人的身份验证代码的使用。 这些参数的任何更改将使此代码无效。
安全API
因此,Open Banking建议使用
金融级API(FAPI) ,这是一种基于OAuth 2.0的软件界面。 FAPI,由OpenID基金会和英国组织开发,用于实施开放银行业务。
FAPI是OAuth 2.0协议的更安全版本,该协议允许第三方访问服务提供商而无需提供用户凭据。 在获得用户的明确同意后,第三方会收到令牌来访问用户数据,而不是密码。 用户借助令牌来控制第三方的访问权限,例如临时访问和只读访问。 他可以随时撤回令牌,并且在盗窃令牌的情况下,无需更改密码,因为没有将密码提供给任何人。
使用FAPI进行交互。 来源:趋势科技FAPI开发人员已向OAuth 2.0添加了安全模块。 在这些模块中,值得注意的是:
- mTLS(相互TLS)是类似于HTTPS的相互认证协议,但是在这里,不仅服务器向客户端确认其真实性,而且服务器向客户端确认其真实性。 换句话说,要完成交易,金融科技应用程序不仅必须验证服务器的真实性,还必须向服务器确认其真实性。
- OAuth 2.0令牌绑定(OAUTB)-将访问令牌和/或授权代码绑定到TLS连接。 如果攻击者窃取了授权码,则他将无法在另一个TLS连接中使用它。 不幸的是,令牌令牌当前仅在Microsoft Edge上受支持。
- 客户端语句JSON Web签名(JWS客户端断言)-确定只有特定的客户端才能使用银行授权服务器上的访问令牌。
- 代码交换验证密钥(PKCE)-帮助防止攻击者使用客户端访问令牌。 为此,应用程序将其他验证码发送到身份验证服务器,以确认客户端要使用此访问令牌。
当前,FAPI已经确定了需要解决的安全问题。
基础架构和端点安全
保护金融科技公司的基础设施是弥补黑客漏洞的重要因素。 必须
保护端点 ,
云系统和
开发机制 ,以及
整个基础架构的端到端监控 。
我们在出版物《
墙不足时》中谈到了端点的安全性
。 如何保护端点 。
“结论
任何新技术都不仅需要考虑前景,还需要仔细分析其带来的风险。 在传统上一直受到网络犯罪分子最密切关注的领域中引入新方法的情况下,考虑到这些危险尤其重要。
开放银行已经在改变财务关系的格局。 在接下来的几年中,这些变化可以改变我们的生活,彻底改变我们管理资金的方式。 为了使这些变化变得积极,在此过程中,金融科技公司,银行和其他参与者不仅要考虑已识别的威胁,而且要及时完善API和标准以消除安全问题,这一点极为重要。