登录
Newsletter 活动

Copyright © 2021 Sin Chew Media

Corporation Berhad (98702-V).

All rights reserved.

首页| 登广告| 活动
登录
Newsletter
国际
日期 22/12/2018
作者: yflen2
热门话题:
加入书签 +
分享到:
22/12/2018
冯宗福:对“骇客入侵”勿以讹传讹‧银行网络系统安全
作者: yflen2

(雪兰莪‧八打灵再也22日讯)网络安全及渗透测试服务专家冯宗福认为,我国银行网络系统仍具安全性,民众若遇到近期联昌银行遭骇客入侵的信息时,理应向相关银行查询,切勿以讹传讹,引起混淆与恐慌。

他接受媒体联访表示,银行、保险公司及信用卡公司等,每天每分每秒都遭到不同程度的网络入侵,而这些公司机构都会对此进行查证、过滤及监控,以确保网络系统的安全。

也是LE全球服务公司(LGMS)创办人的冯宗福说:“每家银行都须遵守国家银行的指南,每年至少做一次渗透测试和安全评估测试,而银行会根据本身的能力定期在数个星期进行测试。”

联昌页面变化被渲染

针对联昌银行遭骇客入侵的假信息,他说,该银行在上周添加了新的安全功能————reCaptcha图片验证措施,使银行页面有了一些变化,而这一变化让一些人怀疑自己是否进入假网站,加上一些部落客为了吸引眼球和点击率,在社交媒体散播该银行遭骇客入侵,出现保安疏漏的消息,同时有人表示自己的转账卡遭人盗取,使人信以为真。

“我觉得一些部落客和网站版主类似投机与混淆的渲染方式是不道德的,因为它容易误导民众,进而引起恐慌。”

驳缓冲区溢出说法

针对网民录制影片,指骇客使用了缓冲区溢出(bufferoverflow)的方式,骇入网络银行系统,而公众在正确银行密码后面随意输入1234等号码登入,若登入成功则表示户头被骇的说法,冯宗福反驳指,银行系统出现缓冲区溢位是很严重的漏洞,代表骇客已经主导与控制整个系统,若以1到10级的严重规模评级,这已是11等级。

他解释,在正确银行密码后随意输入不同的号码不是安全漏洞,是为了方便老人记不清密码而设的机制,只要用户输入的前面密码正确,后面即使加上了几个额外的数字,银行系统还是允许用户登入。

“目前,还没更换的旧密码仍能使用上述机制登入,一旦更新了银行密码,就只能输入正确数量的密码,后面加上几个额外的数字就无法登入。”

他觉得,从联昌银行这起事件见识社交平台网络力量的可怕,而身为社交用户,理应负起先厘清事实,再进行分享的责任,向官方咨询详情,而不是轻信部落格的谣言。

双重认证胥视商业决策

至于为何多数银行不采取双重因素认证(dual factor authentication)的问题,他认为,这与每家银行不同的商业决策,以及大家对这个认证的认知与使用率有关,而后者将影响前者的决策。

他说,有些人不解科技,有些不晓得使用智能手机,这存在世代巨大的隔阂,业者需要不同的考量,若业者庞大的顾客群属于以上群体,就会采用商业决策,而非安全决策。

“当然也有一些银行如汇丰银行和花旗银行会采用双重因素认证,作为他们的商业决策。

“我也觉得采用双重因素认证较为适宜,但还需等至社会发展至成熟的阶段,才能逐步落实。”

冯宗福表示,银行网上系统的安全措施会通过这间实验室进行安全测试,以确保符合标准。(图:星洲日报)

勿用公共网络转账

冯宗福劝告手机用户不要使用公共无线网络来进行网络转账交易。

他说,他本身不会使用购物广场、机场、酒店等处的公共无线网络,仅会使用自身手机网络、住家、公司等无线网络来进行网络交易。

他举例,有心人会通过特殊仪器,在机场设置与机场网络同样名字的假公共无线网络,许多手机用户在难以察觉下,就会使用与链接这个假网络,而用户在网上进行的所有交易和信息,就会在这个仪器留下痕迹。

“即使用户原本已经链接到了正确的无线网络,这些仪器仍能传送更换无线网络的信息予他们,使他们不知觉地更换无线网络。

“这些假无线网络使用自身的SIM卡链接网络,或使用机场的无线网络进行网络链接。”

他说,许多用户的手机经常开启无线网络,而无线网络就会不时搜索历史记录的无线网络进行链接,而特殊仪器能侦查这些信号,就会设置与历史记录相同的无线网络,使用户和手机不自觉地链接这个假网络,进而曝露了信息。”

他说,有些特殊仪器还会传送恶性软件至用户的手机,一旦手机受到恶意软件的入侵,用户通过手机进行的任何网络交易,包括银行账号、密码、一次性密码都会显示在骇客眼前,就能进而盗取用户的款项。

手机无线网络要常关

“我建议大家在收到陌生的APK软件时,不要轻易打开,同时,手机的无线网络也要经常关上,必要时才打开使用。”

冯宗福手拿的洋娃娃,内有安置摄像机。(图:星洲日报)

餐馆刷卡勿假手他人

冯宗福也提醒到餐馆用餐的用户亲自参与整个付款过程,而不是把卡交给服务生买单,因为用户不晓得他们是否重复刷卡,或者记录卡的资料。

他说,有些人会记录这些转账卡或信用卡的资料,累积一定数量后会售予他人做其他用途。

“一旦他们记录或输入你的转账卡或信用卡的资料,你有权利质询他们,并阻止他们这么做。

“如果你熟记信用卡验证码(CVV),你可以刮掉它,避免第三者进行记录。”

网购付款选择双重认证

针对一些网购平台如ebay和Amazon的支付系统只需信用卡资料,不需持卡人的授权就能过账,冯宗福建议民众选择有双重因素认证的支付系统。

“若用户发现PayPal或其他支付系统出现非法盗用款项的问题,他们可把相关交易详情交给相关银行或支付系统进行投报,再交由他们进行相关调查,一旦属实将能索回款项。

“即使银行存款遭骇客入侵,款项遗失,我们仍受到马来西亚存款保险机构(PIDM)的保障,经过调查验证后,也能向相关银行取回遗失款项。”

此外,冯宗福表示,电子钱包(e-wallet)尚需一些时日才能见到成绩。

他说,目前的问题是,国内有很多电子钱包供应商,但鲜少商家使用电子钱包的服务。

他举例,目前有多少餐馆接受Touch&Go卡付款?

“而且,我们还有有Alipay等其他国外付款。”

分享到:
热门话题:
更多新闻