趋势科技全球核心技术部资深协理张裕敏(资料照)
台湾即将开放纯网银服务,趋势科技全球核心技术部资深协理张裕敏提出警告表示,“面对纯网银,绝对要有不同的资安心态”,张裕敏指出,纯网银交易就是虚拟化、无实体的交易,而纯网银的优点也是它的缺点,如果一开始资安考虑不够完善,让假冒身份取得授权,后面就会开始一连串的骨牌效应。
张裕敏日前接受本报专访时表示,纯网银在国外已经上路一阵子,因为全部透过网络操作,所以用户根本不知道对方是真正的交易对象还是骇客?除银行端要使用Two-Factor authentication(双重身份验证 ,2FA)、或Multi-factor authentication,(多重身份验证,MFA)把关外,更重要的是交易记录的追踪;而个人端也要常常主动检查账户交易状况,不是收到银行通知简讯通知才去检查,有时候收到简讯都已经来不及了。
张裕敏举国外案例说明,一开始身份辨识就有问题,再来就是交易过程中,款项被骇客从中拦截,然后把钱转到其他账户;甚至也有骇客直接攻击网银的基础设施,或攻击网银APP主机,在取得顾客账号、密码等个资后,进行转账交易。
张裕敏表示,去年10月以来,趋势科技就看到与金融、金流相关的基础建设,也成为网络上骇客的讨论话题,有可能是下一波攻击重点,包括信用卡流通讯息、与银行交换讯息的SWIFT系统,ATM软硬件,骇客讨论内容,不外乎如何伪造、攻击这些金流系统,或是针对线上交易进行中断、伪造。
