當 PSD2 開啟了更多扇門:開放銀行的風險

隨著有越來越多產業擁抱日益成長的行動市場,金融業也在最近迎來了大變動。修訂過的第二號支付服務指令(PSD2)也就是開放銀行,是歐盟(EU)的一套新規則,預計對全球金融業都會帶來影響。PSD2會在2019年9月14日實施,用來取代歐盟的2007年支付服務指令,不過美國和亞洲的銀行也都開始在進行類似轉變來迎合客戶。

當 PSD2 開啟了更多扇門:開放銀行的風險

開放銀行是為了激發創新,讓歐盟銀行的交易更具成本效益、更容易以及更安全。這需要銀行對金融科技(FinTech)公司開放API來進行其他服務,如財務建議和支付自動化。銀行客戶也必須明確地同意這些新公司可以存取自己的銀行資料。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/09/figure-1-with-watermark-01.jpg
圖1. 有了PSD2,新金融科技公司可以推出新應用程式來整合多個銀行帳戶的資料。

PSD2目的在提高網路銀行的安全性。因為PSD2要求雙因子認證及動態連結,每筆交易的認證碼都只對應特定接收者跟特定金額。此外,英國的銀行也正在開發一種稱為金融等級API(FAPI)的標準,可以替新興金融科技公司和銀行間的認證過程多加一層防護。

本篇報告從資安角度研究了金融科技公司和銀行的PSD2準備情況,以及PSD2生效後可能出現的新風險。開放銀行將客戶的銀行資料交給了更多對象,包括了金融科技新創公司,這些公司可能沒有傳統銀行那樣通過多年處理詐騙事件所積累的經驗。這也難以避免地會讓攻擊面增加。我們發現了一些問題:

  • 銀行和金融科技公司的公開API會擴大攻擊面。
  • 銀行和金融科技公司的一些(舊)API和網站在網址內包含了敏感的客戶資料。這並不符合PSD2改善網路銀行安全性的用意。
  • 過時的銀行資料分享技術仍在使用中。
  • 銀行和金融科技公司的一些行動應用程式也連結到第三方組織,如廣告商和應用程式效能服務公司。
  • 更安全的協議,如金融等級API(FAPI),仍在開發中。

API 現況和風險

歐洲銀行從2015年開始使用API已經算相當晚了,全球有越來越多的銀行使用API進行資料共享。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/09/banking-api-growth.jpg
圖2. 金融業API相關主機名稱的成長趨勢,資料來自趨勢科技的Smart Protection Network(SPN)

在PSD2生效之前,我們發現有許多金融科技公司和銀行所使用的API有著安全問題。許多銀行(包括至少兩家歐洲中央銀行和一家亞洲中央銀行)無意間在API和(舊)網站的網址暴露了像是身份認證參數、隱私資訊和交易資料等敏感資訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/09/figure-3-with-watermark-01.jpg
圖3. API暴露了使用者的敏感資訊

將敏感資訊加進網址是種不好的做法,因為這些網址最後可能會出現在日誌檔、瀏覽器歷史記錄,甚至會在使用者的不同裝置間共享。我們的研究報告僅列舉了小部分來自歐洲、亞洲和美國會暴露機密資訊的金融機構(該名單已經匿名處理以保護他們的客戶)。

我們還發現一家歐洲金融科技公司將API文件公開在網路上,包括在API網址含有客戶電子郵件地址、密碼、客戶端身份認證和客戶端ID的身份認證網址。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/09/Sept2019_OpenBanking_authenticate-a-user.png
圖4. 金融科技公司API線上文件截圖,聲稱受到PSD2監管。可以在API網址路徑清楚地看見敏感資訊。

危險的技術:螢幕抓取

一種稱為「螢幕抓取」的技術是金融科技公司用來整合銀行資料的技術之一。會使用客戶的登入帳密來模仿瀏覽器進行活動並解析銀行網站的HTML內容。為了做到這點,客戶必須將網路銀行帳密提供給金融科技公司,從安全角度來看,這是不可取的。

因為PSD2要求嚴格的身份認證,因此螢幕抓取不再被允許,必須替換成OAuth2.0。金融科技公司組織起來反對此一規定,並且表示沒有發生過與該技術相關的資安事件或資料外洩,並指出OAuth對使用者來說並不友善。在實施日(9月14日)的前幾週,當局宣布延後全面實施技術安全措施的要求和罰款,提供給第三方服務商更多的時間。

金融等級API ( FAPI )

金融等級API(FAPI)是即使在高風險情況下也安全的協定。就像是當攻擊者竊取了行動應用程式使用者的臨時存取令牌,攻擊者也無法用該令牌存取受害者的財務資料。FAPI目前由OpenID基金會和英國開放銀行實施組織開發。雖然原本打算開放銀行在英國生效後使用,但尚未完全準備好;在這份報告撰寫時,FAPI據報仍有尚未解決的問題,包括重大的安全漏洞。

PSD2 實施後可能出現的威脅

這種新銀行模式會開放存取銀行資料的API,為攻擊者帶來了新機會。以下是可能的惡意威脅和攻擊面

  • 對API進行的攻擊:對API進行攻擊可能導致分散式阻斷服務(DDoS),從而導致銀行運作和交易停擺。駭客可以在API系統推出後研究它如何運作,並在後端找出非預期回應和安全漏洞。
  • 對金融科技公司進行的攻擊:並非所有的金融科技公司都有著跟銀行同等的安全等級和經驗。對這些新創公司進行的快速調查顯示,它們往往規模較小,沒有專門的資安人員,而且可能要面對偽裝成銀行或銀行客戶的攻擊者。他們的伺服器也可能會成為竊取客戶銀行資料的理想目標。
  • 針對使用者的攻擊:舊社交工程和網路釣魚技術可能會對使用者造成影響。此外,一旦發生詐騙交易,咎責跟證明責任歸屬可能會變得更加複雜。

安全建議

雖然開放銀行提供客戶、銀行和金融科技公司更好的安全性和商機,但從安全角度來看,目前的實施做法著實令人擔心。金融科技公司急需進一步創新和服務大眾,同時銀行試圖保護自己的既定地位,這些衝突不該犧牲客戶的利益。

我們建議金融科技公司採用安全協定並停止使用有風險或過時的技術。缺乏事件紀錄並不能改變螢幕抓取等方法不安全的事實。應用程式開發人員還應該確保其應用程式和網站在設計時就考慮到安全性,並且要讓應用程式可以在有問題或被攻擊的環境裡安全執行。

銀行和其他金融機構應該要檢查目前應用程式的API;不該在API網址路徑上出現客戶的敏感資訊和個人資料,因為這可能會削弱或無效化已建立的安全措施。

我們在報告裡詳細描述並廣泛討論了更多風險和威脅,想知道更多資訊請下載我們的研究報告 – 「準備好迎接PSD2了嗎?開放銀行的風險」。

@原文出處:When PSD2 Opens More Doors: The Risks of Open Banking
作者:Feike Hacquebord、Robert McArdle、Fernando Mercês和David Sancho(趨勢科技前瞻性威脅研究團隊