趨勢科技的研究報告強調了金融業必須抵禦的當前及新風險,並預測網路犯罪分子將會如何利用和攻擊開放銀行。
9月14日代表歐盟(EU)修訂的第二號支付服務指令( Payment Service Directive ,以下簡稱 PSD2)的實施 – 也稱為開放銀行。PSD2的目的是替大眾提供更多便利及更好的銀行資料控制。同時讓第三方金融科技(FinTech)公司取得跟傳統銀行附加服務相同的客戶銀行資料處理權限,好進行資料分析和財務管理建議,以及其他可能的服務。
2015年核准的PSD2取代了2007年的支付服務指令(PSD),強調了服務商和使用者的具體保護程序、權利和義務,以激勵金融業的創新和競爭。雖然它的設計和主要適用於歐盟成員國,但該指令影響超出了該地區。該指令被譽為金融業的遊戲規則改變者,因為它移除了傳統銀行對客戶資料的控制,讓使用者有權與金融服務商分享銀行資料,用於財務管理及其他目的。
為了遵守法律安全規定,銀行在確保建立必要的安全基礎設施及獲得銀行客戶同意資料存取後,向金融科技公司開放API。但已經出現了些關於準備狀況的擔憂。
本篇報告探討了銀行應用程式當前的狀況及PSD2出現後的潛在安全風險,強調了技術基礎設施及監管的意義。我們強調了以下內容:
- 選擇使用開放銀行應用程式管理銀行資料的客戶將處於一種全新的信任關係中。雖然客戶信任有長久安全紀錄的幾十年老機構,但他們現在將同樣的信任轉移給那些沒有長期打擊詐騙經驗的新興第三方服務商。銀行的反詐騙系統也只有較少資料可以用來訓練電腦模型以即時發現詐騙行為,因為他們的客戶財務資料將會分散給多家公司。
- 雖然客戶現在更了解網路犯罪分子過去使用的網路釣魚技術,但攻擊者將取得詐騙銀行客戶的新機會。網路犯罪分子可能會假裝成為與銀行合作的金融科技公司,預期將會出現新的網路釣魚詐騙。
- 金融機構有將個人身份資訊(PII)暴露在現有API和舊系統網址的紀錄。此外,有些金融科技公司有較弱安全措施及資料收集方法(如螢幕抓取)方面的問題。從安全角度來看,我們預計一旦應用程式上線,攻擊者可能會找出並利用許多應用程式和功能的漏洞。
| 單位 | 地區 | 網址內的敏感資訊 |
| 中央銀行 | 歐盟 | 使用者名稱, 密碼 |
| 中央銀行 | 歐盟 | 使用者名稱, 密碼 |
| 中央銀行 | 亞洲 | 使用者名稱, 密碼 |
| 銀行 | 比利時 | OAuth客戶端密碼 |
| 銀行 | 加拿大 | 密碼 |
| 銀行 | 中國 | 客戶端ID, OAuth客戶端密碼 |
| 銀行 | 中國 | 客戶端ID, OAuth客戶端密碼 |
| 銀行 | 哥斯大黎加 | 使用者名稱, 密碼 |
| 銀行 | 哥斯大黎加 | 使用者名稱, 密碼 |
| 銀行 | 庫拉索 | 客戶端ID, OAuth客戶端密碼, 使用者名稱, 密碼 |
表1. 趨勢科技研究人員發現會在網址路徑暴露機密資料的52家金融機構其中10家
- 攻擊者認為銀行交易資料是高價值的資訊。這類型的資訊能夠讓攻擊者研究行為模式、例程、行程規劃和財務狀況。也就是說像惡意廣告公司和進階的國家級駭客等惡意份子都會對開放銀行資料產生濃厚的興趣。
關於更多此研究的詳細資訊,請參考「準備好迎接PSD2了嗎:開放銀行的風險」。這份研究報告還包括了對金融機構、金融科技公司及其客戶的安全建議。