利用App漏洞获利2800多万元，企业该如何避免类似事件？

上个月，上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙，该团伙利用银行App漏洞非法获利2800多万元。

据悉，该团伙使用技术软件成倍放大定期存单金额，从而非法获利。理财邦的一篇文章分析了犯罪嫌疑人的手段：“犯罪嫌疑人马某利用了银行App中质押贷款业务的安全漏洞，借用他人存单办理了存单质押贷款。”

从这里来看，银行的漏洞应该是两方面，一方面是储户的账户信息被泄露了，另一方面则是业务上的漏洞，即质押贷款上让犯罪嫌疑人钻了空子，得以利用泄露的储户信息套现。

后续的报道印证了这个判断，有媒体称：

经过进一步侦查，警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某，并对其他倒卖个人信息的犯罪嫌疑人进行布控。

目前，警方已将方某某、邓某某等6名犯罪嫌疑人依法刑事拘留，并敦促涉案银行完成了安全漏洞的修复。

值得一提的是，这种金融犯罪比比皆是。2018年5月15日，银联官网发布的安全提示称，移动互联网领域支付犯罪大幅增加，2017年，中国银联累计协助公安机关查办案件累计3.18万件。

银联表示，从作案手法表现来看，具有以下特点：一是电信诈骗形势依然严峻，其中超过90%是由于个人信息泄露所致，已成为犯罪主要源头；二是各种风险交织并存，利用网络渠道伪冒办卡、通过APP软件套现、无证机构侵占商户资金等手段活跃；三是移动互联网领域支付犯罪大幅增加。银联指出，通过社交网络平台、欺诈APP软件、恶意二维码等进行诈骗的案件频发，移动支付安全已经成为用户最担心的问题之一。

随着移动互联网向人们生活各个角落的渗透，越来越多的App成为了工作和生活的好帮手，给社会带来了巨大的变革。不论是智能手机，还是移动App，都成为了现代人“身体一部分”的延伸。然而人们在接纳各种App的同时，也造就了一个个基础信息平台，使得移动安全的保障成为一个挑战。

有调查显示，目前金融行业移动App安全问题排名靠前的有敏感信息泄露问题、信息认证绕过问题，除此之外，他们也会被如下问题困扰，包括：信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。如果把这些常见问题进行分类的话，则是三大类：通讯数据安全、本地数据存储安全以及运营时的数据安全 。

造成这些问题的原因，主要是三个方面。一个是开发经验不足，有些企业只注重App的功能性，而忽略了安全性。其次是，投入的时间和经济成本较低，认为这样的投入足够了，殊不知移动安全是一个长期攻防对抗的过程，需要不断投入；第三是相关安全人员的缺失，导致防御不到位。

对于以上，网易云易盾建议安全能力欠缺的企业尽量采购第三方专业的移动安全服务，比如说易盾的加固和安全组件服务，在以下环节加强保护：

• 通信协议上：可以通过在APP和服务端嵌入SDK，在通信层对通信数据进行加密保护，防止攻击者窃取通信数据；

• 安全存储：可以通过动态密钥、白盒加密技术对应用数据进行加密存储，保护本地隐私数据不被窃取；

• 设备指纹：可以采集设备软件、硬件等多层次信息生成可识别的唯一ID，为入网设备提供虚拟“身份证”；

• 安全键盘：可以通过安全键盘，为用户在输入关键信息时提供安全防护，阻止黑客利用网络监听、木马病毒等手段窃取数据；

• 防界面劫持：可以通过防劫持SDK，实时捕获恶意程序的攻击行为，提醒用户安全风险，有效降低移动应用敏感信息被窃取风险。

只有这样，才能场景化动态深度保护，抵御各类不法入侵，维护好自己的利益。

结束语

国家从前年开始，出台了《中华人民共和国网络安全法》、《网络安全等级保护条例》、《网络安全等级保护基本要求》等法律， 要求企业实现等级保护基本要求 ，以适应移动互联等新技术、新应用情况下网络安全。

因此，构筑好企业的移动安全不仅仅是维护自己的利益和核心竞争力，某种程度上也成了企业的生命线。

点击免费体验网易云易盾移动安全解决方案。

相关文章：
【推荐】 Hive中文注释乱码解决方案
【推荐】 金融创新业务基于容器云的微服务化实践
【推荐】 Google guava cache源码解析1--构建缓存器（2）