我們整理了一些在商業(yè)銀行手機銀行業(yè)務安全評估中經(jīng)常發(fā)現(xiàn)的問題及相應措施，以便客戶加強自己的手機銀行業(yè)務安全。

01 、驗證強度不足  

客戶身份驗證是銀行業(yè)務的關鍵工作之一，是保證業(yè)務活動安全性的必要手段。手機銀行業(yè)務活動是由客戶端（手機）和服務端（銀行系統(tǒng)）兩方通過交互來完成的，當在遠程的一部手機提出將最近的交易記錄傳送過去時，銀行系統(tǒng)是否應進行查詢這些記錄并傳送給對方的手機？這種場景下，手機客戶端的身份驗證就成為關鍵性的問題。

相應措施 ：

業(yè)務操作中可能面臨什么級別的風險，其驗證強度就應達到什么級別的要求。

1、利用專業(yè)的設備指紋、移動終端安全技術，從客戶交易發(fā)起源頭開啟保護；

2、利用豐富的專家規(guī)則集，對不同業(yè)務場景進行無間斷風險監(jiān)測，及時阻斷異常操作，覆蓋客戶全渠道業(yè)務場景；

3、通過機器學習與專家規(guī)則集優(yōu)勢互補，通過人物畫像、關聯(lián)圖譜等模型，持續(xù)發(fā)現(xiàn)新型欺詐團伙及作弊模式，規(guī)避因黑色欺詐帶來的高額損失；

 

02 、業(yè)務中提供了不必要的功能或信息  

從安全角度看，業(yè)務設計中提供的功能和信息越多，出問題的概率就越大，敏感信息就越有可能泄露。

2-1包含不必要的功能

2014年3月，某旅游服務網(wǎng)站用于處理用戶支付的服務器開啟了處理用戶支付服務的調(diào)試功能，把用戶向網(wǎng)站提交的信用卡的持卡人卡號、CVV碼等敏感信息直接打印到日志并保存在本地服務器。同時由于服務器自身未做必要的安全檢查與加固，存在目錄遍歷漏洞，導致這些信息可被攻擊者讀取。其中泄露的信息包括：持卡人姓名、持卡人身份證、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin（驗證支付信息的6位密碼）等。

本例事件的根源就是因為上線時檢查不嚴格，業(yè)務中增加了多余的功能。

2-2提供不必要的提示信息

如某銀行信用卡的手機銀行功能存在提供信息過多的問題，通過這些信息可枚舉信用卡CVV碼。該手機銀行系統(tǒng)的信用卡注冊功能中，要求用戶提交包括CVV碼在內(nèi)的相關信息進行驗證，如果CVV碼錯誤，則會提示”CVV碼輸入錯誤，請重新輸入”。由于CVV碼只有三位，因此，攻擊者可以利用這一提供信息進行枚舉猜測，從而獲得該信用卡的三位CVV數(shù)字，并在猜測出正確的CVV碼后，進一步繼續(xù)枚舉而獲得信用卡有效期。攻擊者繼續(xù)采用此方式，對其他用戶的信用卡重復上述操作，可能使大量用戶的信用卡信息泄露。

2-3對客戶端輸出不必要的信息內(nèi)容

銀行有時為了做業(yè)務方便，向客戶提供的信息中包含不必要的內(nèi)容。如在交易記錄查詢結果中顯示全部的銀行卡號信息，包括銀行卡主的身份證號碼等，由于”撞庫攻擊”可能性的存在，應當對銀行卡號進行部分屏蔽，不返回身份證號碼，或在返回身份證號碼的時候也進行部署屏蔽。

相應措施： 

防范提供不必要的功能或信息的問題，在業(yè)務中傳遞的信息和功能應遵循“最小必需”原則，即在保證滿足業(yè)務功能的前提下，只向用戶或其他機構提供必需的信息和功能，使業(yè)務與安全達到平衡，在業(yè)務設計和系統(tǒng)開發(fā)各環(huán)節(jié)中進行控制：

1、需求分析階段對涉及信息查詢、下載、導出、日志記錄、打印、第三方接口等功能需求，應組織業(yè)務需求人員、項目組安全員等評審功能必要性，不必要的功能不納入正式系統(tǒng)需求。

2、設計階段應根據(jù)信息系統(tǒng)系統(tǒng)需求，僅對必需的功能進行設計。

3、編碼階段：嚴格遵守編碼安全規(guī)范，屏蔽不必要的提示信息和出錯信息。

4、投產(chǎn)上線階段：應對發(fā)布的文件與功能進行審核，確保只發(fā)布適當?shù)奈募c功能。