文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/53262/online-banking-cyber-security
纯网银成骇客眼中的肥羊!专家唿吁KYC身分认证多加一道手续
发佈日期:2019/05/13 消息来源:数位时代
2019.05.13 by 高敬原
图片来源:shutterstock
时间回到2016年,当时第一银行发生ATM盗领案,主嫌安德鲁(Peregudovs Andrejs)透过手机就能让银行 ATM 吐钞,魔术般的手法,一时之间让台湾民众都惊呆了。
安全机制绝对是金融服务的首要工作,这些机制如同「锁」一般,越是安全的锁,便利性肯定比较差、成本又高,但却可以阻挡非法入侵者。从一银盗领案的经验来看,单靠网路就能让ATM吐钞。
在进入纯网银时代,更不能轻忽骇客与木马程式带来的资安威胁,刑事警察局唿吁,业者在KYC(认识你的客户)上,必须将「数位资讯」纳入验证资料之一。
骇客经济随着纯网银蓬勃
在金融科技蓬勃发展的同时,骇客经济也随之兴起。刑事警察局侦九大队大队长林建隆,将网路经济犯罪分成两大面向。
第一种是「以金融机构、客户为目标」的犯罪,像是阻断金融服务(DDoS)、侵入网站窃取资料、网路盗转帐(SWIFT:窃取客户帐号密码)还有ATM盗领;第二种是「利用金融服务作为犯罪工具」,洗钱、诈欺(人头帐户、金融支付、OBU匯款等等)。
2016 年一银 ATM 盗领案主嫌 Peregudovs Andrejs。图片来源:内政部移民署
林建隆分析,网路特点是有隐匿性,加上电商发展多以营利为前提,对会员没有太严格的审核机制,各类金流服务的快速便利性,成为犯罪集团最好的工具,其中信用卡、ATM缴费、超商代收付、货到付款这四种金流服务,是诈骗集团最喜欢使用的诈骗工具。除了强化自身跟客户的安全,避免金融服务被利用成为犯罪工具也很重要。
刑事局侦九队:KYC要纳入数位资讯
金融业者跟客户建立关系的起始点是KYC(Know Your Customer),KYC的意思是金融业者必须了解客户的风险承受能力,才能提供合适的商品给客户。
林建隆观察,很多网路业者在完成开户、建立帐号验证后就结束KYC的工作,但后续有可能会有人头户、伪冒身分识别这些问题跑出来,进而产生诈欺跟洗钱的事件。事实上,以一般传统银行来说,在开户的KYC上做的算很严谨,几乎很少发生伪冒身分开户的问题,但却也可能发生用利诱或是诈骗的方式去开户,接着再把银行帐户权限给犯罪集团使用的状况。
林建隆认为,纯网银虽然没有面对面的验证,但却多了许多像是网址、应用程式资讯、载具资讯等等的「数位资讯」。图片来源:shutterstock
纯网银跟一般银行最大的不同,是所有KYC的作业都是用数位化完成,虽然方便,但较难确认背后是否为诈骗集团。林建隆认为,在没有实体银行开户验证的情况下,当骇客掌握客户载具或数位资产(证件扫描档、帐单、电子邮件等)时,纯网银业者必须思考这些KYC是不是真的还是KYC。
纯网银虽然没有面对面的验证,但却多了像是网址、应用程式资讯、载具资讯等等的「数位资讯」,虽然这些不是直接的个人资料,也应该作为纯网银时代KYC的验证资料之一。
进一步来看,若是诈骗发生,KYC可能在特定时间内,有多个帐号使用相同的验证因子(像是手机号码、网址、email等等),这些就能视为风险讯号,纯网银业者应该去分析这类因子彼此的关联性,就能找出诈骗集团犯罪工具网络,达到有效且连锁的警告跟管理。
资安没有绝对安全,要学习与危机共存
接着是最关键的交易阶段,林建隆认为,可以把每个用户跟帐户看成是一个节点(node),节点之间会存在连结(tie),纯网银业者可以透过社会网络分析,以及AI机器学习与深度学习,把每个节点跟关联的各项变数转为数值计算方式,当作社会网络分析的中心性测度中的「量(weight)」,用视觉化图形方式,分析犯罪集团群聚以及交易流向,便能侦测出可疑用户、诈欺金流、洗钱交易,以及不法交易流向。
安不安全都是比较出来的,危机的存在,就如同人不可能生活在无菌室中,我们都有可能被感染疾病。图片来源:shutterstock
林建隆分析,「有犯罪动机的人」、「合适的目标」、「缺乏有能力的监察者」是导致犯罪的三大因素。 迈入纯网银时代,对金融机构来说已经越来越难监测有犯罪动机的人,可以做的是强化自身的监察管理能力,让自己不会成为「合适的目标」。
「资安没有绝对安全,只有相对安全,」危机的存在,如同人不可能生活在无菌室中,我们都有可能被感染疾病,要学习与危机共存,林建隆认为纯网银业者只有增加犯罪成本跟时间,就能倖免成为目标。