基金电商遭遇新型犯罪 创新途中收紧“安全带”.pptVIP

账号安全隐患可获取到基金交易等敏感信息”、“XX基金某账户管理系统命令执行及XSS漏洞”等。其中部分已被基金公司确认并修复，但部分漏洞至今没有被基金公司确认处理。不过，有相关基金就此问题回复《每日经济新闻》记者称，早在该帖子发布之前，就已经进行 过系统升级，不存在帖子中提及的漏洞。CNCERT最新一期的互联网安全威胁报告显示，大多数安全事件是网站程序存在SQL注入、弱口令以及权限绕过等漏洞，也有部分是信息系统采用的应用软件存在漏洞，可能导致获取后台系统管理权限、信息泄露、恶意文件上传等 危害，甚至会导致主机存在被不法分子远程控制的风险。此类互联网公司通过所运营的在线交易信息系统，掌握大量用户资金、真实身份、经济状况、消费习惯等信息，系统出现安全问题后，风险随之传导至关联的银行、证券、电商等其他行业，产生连锁反应。此外，互联网和 移动通信技术降低了使用门槛，在带来便利的同时也引入新的安全风险。2013年12月，支付宝钱包客户端iOS版被披露存在手势密码漏洞，连续输错5次手势密码后可导致密码失效，使得攻击者可以任意进入手机支付宝账户，免密码进行小额支付。天弘基金创新支持部 总经理樊振华表示，“余额宝的用户出口和入口主要是在支付宝这一端，而我们这一端主要是负责清算、结算、收益分配等后端功能。我想支付宝的线上安全措施在国内网站中应该算是一流的，而我们这边的安全措施应该也是比较到位的，所有的核心业务系统完全是在一个隔离 的网段，可以理解为不对外暴露的。此外也有定期漏洞扫描等安全措施。到目前为止我们还没出现过用户信息泄露、被盗这些现象。”有基金公司电商部人士表示，2007、2008年时基金公司网络系统比较脆弱，也出过一些问题。近年基金公司普遍在IT方面投入较大， 系统安全相比早前已经提高了很多。相对于内控相对规范的基金公司而言，部分P2P和第三方理财网站在系统建设方面则更显薄弱，更容易成为黑客攻击的对象。有业内人士表示，如今做互联网金融门槛极低，相关网站建设都有现成的模板，在淘宝上只需几千元就买一套模板 ，做一个P2P的网站，其中暗藏风险不言而喻。今年3月份，以“网贷之家”为代表的多家P2P行业门户网站、论坛，再次成为黑客的攻击目标，受到黑客持续多日的恶意严重攻击。而此前亦发生过一些平台因黑客的攻击导致系统瘫痪，而遭遇挤兑的情况。趋势：基金手机 终端成新“重灾区”/值得注意的是，基金公司手机客户端也成为漏洞暴露的灾区之一。有乌云网的“白帽子”(能识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞的人)提供的示例图片显示，在某基金公司苹果iOS版本的客户端中，在知道 用户身份证号码情况下，通过一些手段可以重置用户的基金账户密码。对于职业黑客而言，通过攻击脚本获得用户身份证号码亦非难事。某大型基金公司电商人士亦向《每日经济新闻》记者表示，基金公司近年大力拓展电商业务，除了基本的交易查询功能外，亦纷纷上线进行购 物支付、转账等功能，也出现了一些风险事件。除了系统安全问题外，“钓鱼攻击”在手机移动端亦愈演愈烈。钓鱼网站是一种网络欺诈行为，是指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入 危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。从中国互联网络信息中心(CNNIC)下属中国反钓鱼网站联盟今年5月处理钓鱼网站的情况来看，钓鱼网站涉及行业前三位，分别为支付交易类、金融证券类、媒体传播类，占处理总量的99.4 1%。其中，支付交易类钓鱼网站数量占5月处理总量最高，占到了5月处理总量的81.34%。CNCERT2013年中国互联网网络安全报告称，钓鱼攻击呈现跨平台发展趋势，2013年，在传统互联网的钓鱼网站之外，黑客还结合移动互联网，利用仿冒移动应用、 移动互联网恶意程序、伪基站等多种手段，实施跨平台的钓鱼欺诈攻击，危害用户经济利益。2013年，黑客利用安卓系统的“签名验证绕过”高危漏洞，制作散播大量仿冒国内主流银行等金融机构的移动应用，诱导用户安装，盗取用户银行账户信息。一些钓鱼网站在盗取用 户银行账号和密码等信息时，还大量传播仿冒相应手机银行安全插件的恶意程序，劫持用户收到的短信验证码，从而使黑客进一步完成网银支付、转账等交易操作。有基金公司电商人士表示，随着移动应用和支付的普及，移动互联网上的诈骗行为泛滥，譬如一些仿冒的APP、 微信公众账号等层出不穷，投资者应该提升自身防范意识。 awyqaw 互联网金融论坛/forum.php 近期，一些基金公司悄然进行了系统升级，纷纷提升了安全标准。一些公司暂停了异卡进出的功能，一些公司则关闭了部分附加服务的应用场景。“公司最近正在抓网络系统安全问题。”有基金公司人士告诉《每日经济新闻》记者。据