在中國,黑客真的能侵入銀行嗎?

看了很多關於黑客侵入銀行盜錢的新聞,大多都是嘩眾取寵的。那麼現實中究竟有沒有?


我舉一個網路的例子,一個物理的例子:

1、個別銀行向客戶提供的 WiFi 接入和自己的辦公網是連著的。

2、我看過一個城商行安防系統設計,裡面強調了這套東西的先進性:關鍵的幾道門可以由行長通過 GSM 簡訊遠程開關。

至於新聞,基本就是 @shotgun 說的那樣。銀行對安全事故很敏感,真有事兒都得盡量蓋住。新聞上看到的,很多並不是什麼事兒,或者不是那麼回事兒。

入侵銀行系統不算特別困難,但真要弄出錢來,則又需要熟悉金融體系,想像力豐富。國內對金融管的比較死,比如通存通兌業務搞了幾年後又被停了,跨境劃轉也很受限,這些都是不利於把錢弄出來的。


有。

真的入侵案例新聞一般不會報,因為記者也不會知道,反而大部分捕風捉影的案件還真不是銀行被黑,多半是用戶自己出了問題。

但其實銀行,特別是小銀行,真不見得信息安全水平比其他企業高很多,只是因為後果嚴重,所以有膽子去嘗試的人很少,再加上銀行是經營信用的,所以一般即使出事也秘而不宣,這也是業內大家心知肚明的公開秘密了。畢竟在風險管理中,被攻擊造成的損失和商譽風險相比簡直不值一提。

當然,跟外部攻擊比起來,內部案件更多,金額也更大。

第三方(外包、供應商、合作夥伴)會更加危險,因為了解情況,而且也有一定的接入許可權。


5年+的銀行IT戰略規劃經驗,簡單說下,不傷筋動骨的。

從銀行系統黑錢的方式,主要有以下幾種:

1. 內部利用應用系統的許可權或漏洞,或者越權操作,隱蔽操作等,比如說小額系統等監管合規不嚴的系統。和黑客技術無關。

2. 利用職權操作。和黑客技術無關。

3. 黑掉某帳戶,非帳戶系統,轉賬到某卡,提款,跑。(ATM機裝攝像頭也屬這種類型)

4. 利用職權,獲取帳戶信息(姓名、聯繫方式、存款、消費等),整體出賣,不少錢呢,優質資料一條好幾塊錢。

但是,直接黑掉core banking 系統拿錢的,我從來沒有聽說過。不管是拿到web系統伺服器許可權,還是拿到ATM機許可權啥的,都沒用,我就算開放行內生產網給一個黑客,他想搞破壞容易,拿錢出來很難。銀行的核心系統+ESB或者前置之類的體系超級複雜,每個銀行完全不一樣,關係超級複雜,數據結構根本看不懂,某些人想像的直接去改核心資料庫根本不可能。唯一的可能性就是 @張書嘉 提到的外包團隊乾的,但是確實沒聽說有發生過這種事。

銀行安全里有個段子,當年的黑客界領軍人物小榕,寫流光溯雪的那位前輩,後來供職於某IT公司,去某個銀行做交流時,在會議室隨便插了一個以太埠,過了沒多久,把銀行的一套重要系統的許可權拿到了,然後簽了一張安全大單。我非常質疑這個傳說,按照銀行正常內部環境,會議室的網路根本無法訪問生產伺服器區域,破解難度非常高,而且不可能是那麼一時半會能做到的。本著八卦精神,我一直四處打聽,最後找到了小榕部門的銷售,證實這事子虛烏有。從那時起,我現在對很多段子性的黑客故事,抱有充分的懷疑。

--------

但是,我現在很擔憂一件事。就是這兩年的互聯網金融這一塊,很多小銀行都在急匆匆的上馬這塊業務。這方面內容和網銀不一樣,網銀的賬務交互是連內網核心系統的,只是櫃面系統的外延。但是互聯網金融是全新的模式,通常做法以網上商城為主要內容,因為要適配多個銀行的銀行卡,所以是和核心系統無關的單獨的一套電子賬戶系統,有帳戶餘額。整個互聯網金融系統現在良莠不齊,有些就是小開發商拿個小電子商城的系統改一下就上的,安全保護機制也不行,也沒有成熟的監管扎帳合規體系,漏洞非常大,技術上從外網直接黑掉電子帳戶系統直接改錢是非常有可能的。


直接通過互聯網界面對於銀行core banking系統滲透基本是極難的。直接開放內網入口讓你路由進去,搞錢也極度難,甭說複雜的金融合規流程,就是那些胖中間件關係和消息秩序都要梳理一段時間,軟體工程並非常態。所以針對core banking的外部滲透很有知識局限。

不過,若只想搞出錢來,最薄弱環節莫過於:1-內部開發測試區和外部運維承包團隊(真實數據結構的i/o測試以及多數情況下不太用的脫敏工具),他們懂得金融軟體工程和數據結構,個別時候不需要操作票,以及有許可權躲過審計。2-老生常談,網銀漏洞的exp,這與core banking沒關係,還是損害賬戶所有者,銀行可以免責。

在這兒遇見你…@shotgun

.


這個可以答一下,真有。

多年前做過銀行的技術支持,聽說了一個案例,事發寧波市招商銀行。銀行查賬,對出多筆偽裝的存款記錄,涉案金額40餘萬元,追查卡號發現已經被多次轉賬和取款2萬餘元。

開始十分震驚,招商銀行在國內銀行中相比,是對it基礎設施投入很大的,最早建設了網銀系統,對安全也一直很重視。而且,銀行的設備走的是專線,和普通公網是隔離的,黑客是怎麼做到偽裝交易記錄的呢?

涉案銀行卡是用他人丟失的身份證辦理的,假存款記錄是在天一廣場的招行新開自助行,取款記錄就比較複雜,涉及多個自助行取款點,多為偏僻位置。

調取監控可以發現可疑人員,一個人,穿兜帽衫,遮住了頭臉,面目不可識別,只能判斷應該很年輕。

招行馬上報警,當時這可能是全新的犯罪方式,招行的總行、省分行,警方的省廳、市局都十分重視,投入精兵悍將。當時定的策略是,暫時保持原涉嫌銀行卡不動,不驚動犯罪嫌疑人,等待對方下次取款,直接人贓並獲。事後我自己的復盤,此時警方和銀行掌握信息有限,如果嫌疑人就此收手,此案將成為懸案,銀行只有自認倒霉。

因為嫌疑人此前取款記錄多在半夜0點前後,晚上警方在多處取款點布控,通宵蹲守。不幾日,傳來消息,嫌疑人已經落網,正是取款時人贓並獲。

嫌疑人我沒有見過,資料也是保密的,就是聽銀行方面的人介紹了下,只能稱呼他為X吧。嫌疑人X,男性,寧波地區本地人,在市內某中專學校就讀,所以年齡應該是18、9歲。作案動機是偷錢玩遊戲。。。在網吧通宵打傳奇。

X在招行自助網點取款時,意外發現有暗藏的網線介面(原定計劃安裝的自助設備因為故障,廠家換貨中),好奇心起,帶上了自己的筆記本電腦接入,以為可以上網。當然,上公網是不可能的,但筆記本已經成功接入自助行網路,對,簡單的dhcp。X突然想起windows電腦的遠程桌面功能,先ping到同網段其它設備ip地址,然後用遠程桌面的方式登錄到其它設備上,居然真的成功了!

沒錯,當時銀行的取款存款機器,後台運行的大多是windows系統,98,nt,2000都有,沒人做安全策略,也不會打補丁,因為正常情況下,都在專網內專用,沒人想到有這一出。

因為喜好玩遊戲,X專門研究過外掛和封包,他的筆記本上正好也安裝了抓網路封包的軟體,wpe,winpcap之類。他把軟體拷貝到其它設備的系統上安裝測試了一下,發現了設備提交信息的網路封包的規律。沒錯,應該就是明文傳輸,要是加密了就沒這麼容易了。同樣,因為是專網,估計廠商和銀行都覺得加密不重要吧。

其實上面提到的這些技術,電腦專業知識稍微強一點都知道,算黑客的話,估計也就算個剛入門的。但是後面的步驟,顯示了X的聰明才智,和黑客社會工程學的功底。

發現這些漏洞後,X並沒有輕舉妄動。他回學校睡覺了,第二天才開始了他後續的行動。

首先,他找了學校的失物招領處,冒充失主搞到了他人遺失的身份證(估計沒錢的錢包,查驗也不會很嚴格),然後去寧波大學附近,找了銀行辦信用卡的攤子,用假身份證辦了銀行卡。當時銀行不但熱衷開信用卡,普卡也有開卡任務,提供身份證之後找個什麼理由委託辦理,銀行工作人員沒有懷疑,順利幫他辦好了。

這就是銀行為何明知道卡號也找不到人的原因,因為他根本沒有去櫃面辦理。銀行知道開卡行和開卡大概時間,但是調取網點監控沒有查到人。而辦卡的櫃面員工級別太低,都不知道有這回事。估計當時沒查到人的話,銀行還會懷疑有內部人員參與吧。

辦好卡之後,X就回到自助網點,連上存款機,發送假封包偽裝存款。然後立即到取款機上取出。當時的取款限額每天應該是幾千,其實在他後面幾次取款時,銀行已經察覺,只是警方的布控還沒到位,只能說,僥倖和貪心害死人。

後續就不知道了,可能怕泄露內幕或者銀行走了什麼關係,這事沒有報道,知情人也不多。不知道X會被以什麼樣的罪名判處什麼樣的刑期,現在已經過去十多年了,出來了沒有。

還有一點就是,後來發現,調看監控的時候,X在自助行里操作的畫面也有,但他是背對主監控,拍不到筆記本,所以看監控的應該是以為醉鬼趴那裡打盹吧。

X和熊貓燒香的作者很像,都是理論上學渣的中專生,不要因此小看他們。但是他們也談不上天才,甚至不算正經意義的黑客。該好好讀書的還是好好讀書,不要走歪門邪道。


有能力黑進銀行且搞到錢而不被抓的人,應該不缺錢。



大概09年吧,做過一次本地銀行的應急。剛睡醒的我正在家裡泡著13塊的泡麵準備吃完去公司發獃,結果被朋友電話過來說某某銀行網站被入侵了。上午一群殺軟公司過去沒扯明白,讓我去看看。於是我吃完被忽悠買的高級泡麵,開著小奧拓屁顛屁顛的衝過去。

進去和他們it部門溝通了幾分鐘,結果就是個oracle的注入,資料庫還是windows系統,服務沒降權,小黑直接執行命令把機器控制了。後來又看了他們給畫的拓撲,基本上我心裡的估算是70%可以入侵,至於能不能拿到錢那就不好說了,畢竟裡面那些定製系統都沒玩過。


現實生活中當然有了,昨天烏雲平台就爆發了一輪銀行漏洞的小高潮:

大部分銀行都用第三方的開發框架,一旦這些框架出現漏洞,幾乎沒有一個能倖免的。

至於你問我資不資詞這麼做,我只能說,兄弟多保重了 :)


在真實的生活中,很多人問我QQ號能不能偷的時候,也是這麼個問句。


有句話說得好,人是不斷進步的。看著這個幾個月前的回答我也是有點羞澀,入侵也是分很多種的。掛個黑頁也是入侵,搞錢出來可就難了。大家不要贊了,別的大牛說得很好。見笑了。

-------- ------------

說句不好聽的入侵這些銀行的系統對大牛來說都不算難,怕的是被跨省。

這些銀行的態度就這樣,我知道我有漏洞,但是我不怎麼修,真給你幾個膽子你也不敢搞。

出問題了直接調動公安的資源抓你(在天朝90%想抓還是能抓到的。)所以一般大牛們都不會手賤去碰這些背景硬的銀行和企業。

要是他們沒背景早被日得千瘡百孔了,界面還設計得那麼難看,還不支持chrome,還得用舊版ie。。一系列就不吐槽了。


1.這個世界大牛很多,上不得檯面的才是真的牛,所以你意會了嗎?

2.而大牛知道三不碰,其中就包括但不限於銀行。所以你意會了嗎?


2016/9/19更新:

題目是「在中國,黑客真的能侵入銀行嗎?」,並提到「看了很多關於黑客侵入銀行盜錢的新聞」,顯然題主對入侵銀行的定義,是入侵涉及到銀行記賬的核心系統。而本題下,好多答案提到入侵了銀行的站點,絕大多數都是些邊緣業務,跟核心還差十萬八千里————譬如,某銀行的「在線學習系統」,主要是給員工提供遠程培訓的,你把它黑了,頂多能下載幾個培訓視頻,但是你要說自己「l黑了銀行系統」,也不能說錯了。

以下為原答案:

本人在某小銀行總行IT部門工作,對中小銀行的安全控制體系稍微有些了解。看了這個問題下的好多回答,大多都不太靠譜。

本答案70贊的時候,仍然排在0贊答案的下面,如此看來,認為入侵銀行很容易的人是相當的多。

=====================================================================

理論上,黑客侵入銀行肯定是可以的,但是難度可不小,下面我主要說說入侵銀行要過哪些關卡。

一、從互聯網入侵銀行系統

首先明確一點,銀行的網站和網上銀行系統是分開部署的,你如果成功入侵銀行網站,那麼可以把網站主頁換掉或者把網站新聞刪光,然後就沒別的卵用了。即使你改了主頁,極有可能兩分鐘後銀行網站就恢復原狀了,因為大多數銀行的網站都部署了防篡改系統,一旦發現網站被非法篡改後會立即自動恢復。

我本人對安全技術其實了解不多,許多小銀行也缺乏精通安全技術的人才,所以銀行往往通過第三方公司的技術來保障安全。即便是最簡陋的網上銀行系統,在侵入它之前,都必須跨過IPS、WAF和防火牆各一道。

第一關基本上是傳統防火牆,思科或華為的設備居多,這個估計難不倒經驗豐富的黑客們。

第二關是IPS(入侵防禦系統),我的感覺是IPS阻擋了絕大多數的安全攻擊,至少我從IPS的日誌審計結果中看到了不少被攔截掉攻擊行為。據我所知,目前國內銀行採用的IPS,用得最多的是TP家的,有興趣的黑客可以去找一個TP的IPS做一下入侵測試,看看是否能過這第二關。

其實在防火牆和IPS之前還有一個F5的負載均衡器,F5也具備一部分攻擊攔截能力,但是它的主要作用是LB,就忽略不計吧。

第三關是WAF(Web防火牆),這玩意主要是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護。諸如SQL注入、跨站腳本攻擊之類的,遇到它基本就歇菜了,即便是網銀系統的代碼有這方面的漏洞也不會有事。

如果你連闖三關,就可以直接面對網銀系統的Web伺服器了,這可能是一台安裝了AIX系統的小型機,在系統安全上的配置還是相當專業的,能不能搞定它,也需要你拿出看家本領,這是第四關。搞定第四關,那麼你可以搞點破壞了,讓銀行的網銀系統癱瘓一陣之類的,但是你自己好像拿不到啥有價值的東西。

第五關是網銀系統的應用伺服器和資料庫伺服器,如果你能搞定第四關,第五關應該不會遇到太大阻力,這時候,你可以獲得好多銀行用戶信息,包括網銀登錄名、真實姓名、登錄時間什麼的,但是也就僅此而已,數字簽名、網銀密碼之類的數據你也可以拿到,但是貌似都是用不可逆的演算法加密的,基本上沒什麼用。網銀系統本身只是一個殼,所有的交易都是在核心系統等後台系統中完成。

從網銀系統到銀行內部系統,又是一個防護重重的過程。由於各家銀行的核心系統架構不一樣,你必須好好摸索才能找到你想要的東東。

OK,是時候談談你的終級目的了。你如果想得到一份銀行的客戶資料,那麼闖過重重關卡後,你成功的可能性還是有的;如果你想給自己的銀行賬戶轉一大筆線——那就有點危險,銀行的業務系統,各個操作環節一環扣一環,你只是在資料庫里改個數字什麼的,當天日終處理的時候一定會被發現,所以你必須在24小時內完成取款、逃亡的所有動作。

二、從營業網點入侵銀行系統

看到有答案說從網點WiFi能連上銀行辦公網,真的差點笑出聲。。。某些銀行網點的辦公網,只是自己單個網點或者分行用用而已,頂多發幾條通知、申請個請假流程,這能叫銀行系統?當然,辦公網內如果有很多關於業務的郵件往來,倒是有可能會包含一些敏感的信息。

還有答案說網點的電腦連接網上銀行。。。。。。拜託,那台電腦和你家的電腦沒有任何區別,要入侵請參照第一部分。

三、外包人員入侵銀行系統

最近幾年,銀行業開始高度重視外包風險,銀監會都發布了專門的指引,還組織了一個外包監督檢查聯合管理平台。在這方面,個別小銀行如果做得不到位,是有可能埋下安全隱患的。

銀行的內部網路,一般來說會劃分為若干個子網,包括但不限於外網、辦公網、生產網、外聯區域、測試網、開發網、外包開發網等等。各個子網之間,大多數是物理隔離的,完全不能互訪。部分子網之間因業務需要會聯通,但也都至少是邏輯隔離,部署防火牆以白名單形式開通訪問。

在銀行駐場的外包人員,一般只能接觸外包開發網路,甚至都不能帶自己的電腦,只能使用銀行提供的PC進行開發,也不能使用U盤之類,並且根本接觸不到銀行的生產網路,入侵銀行系統基本上是沒什麼機會的。

四、內部人員入侵

換了普通的行業,內部人員進入自己的系統,拷貝、篡改自家的數據應該是沒什麼難度的,銀行在這一方面也有自己的辦法。一是實行崗位、許可權分離制度,負責開發、測試的人,不允許接觸生產網;而接觸生產網的人,往往不懂業務邏輯,沒法天衣無縫地作案。二是實行嚴格的邏輯訪問控制,運維人員要登錄系統主機,必須通過審批後進入ECC(總控中心),通過ECC的工作站登錄堡壘機,再跳轉到主機進行操作,主機的密碼基本是雙人分段保管,這樣你在主機上的所有操作都被堡壘機記錄下來了,幹了什麼事全部記錄在案。

然而,在防範內部人員入侵方面,不同的銀行差異就十分大了,有些管理能力弱的小銀行,就會存在漏洞,據我所知,也發生過一些IT人員改資料庫撈錢的案件,多數都是把手伸向睡眠賬戶。

以上。


建行目前是使用的 七層架構12P吧,,先把這個搞懂架構,,,再說吧,會計分錄都搞不明白,怎麼轉,而且各家銀行架構不一樣,沒有做過金融方面的,很難 就像 @倪大為 在TK下回復的,有多少人能懂?

1.銀行ATM和個支行都是專線,不走公網

2.ATM正面不會暴露介面,現在ATM廣電運通的比較多,恩,ATM後面的保險柜也是有鎖的,至於說國外ATM機吐錢那個,如果你能接觸到ATM機,按照360那幫人的速度,幾天就搗鼓出來了.

3.銀行大一點的系統上線都要報備央行審批,各種報告都要提交,而且還要安全審計,除非央媽傻了

4.曾經遇到過測試數據不進行脫敏,然後真實數據泄露的,也遇到過外包人員拿未脫敏數據然後解密以後放外面賣的,價格還不錯,

歡迎噴


一個字:能


我被保安按在地上磨蹭的照片,我就不發了。

剛剛出沙盒就差點死在銀行系列

講道理,你要得打過保安,在去想技術問題。。。。。


悶聲裝大逼

匿了



銀行安全之興業銀行某漏洞導致主域名可Getshell 當然,這要不是2015年底的話,也沒什麼好驚訝的。然而~~~

哈爾濱銀行主站DB2注入之風騷的burpSuite 這個是我自己純粹的掃描器掃出來的,掃描報告放在硬碟裡面放了大半年,然後某天有時間,拿出來測試了下,還是存在~~~

我印象中的主站就只有這兩個了。


可以黑。但是無法不被抓到。


推薦閱讀:

為什麼從事信息安全行業一定要去大公司?
如何學習滲透技術?
APT 攻擊是不可能被有效防範的?
你是怎麼走進信息安全領域的?
墨子號等組成量子通訊網路,保證絕對的信息安全,那我們還要學習信息安全,密碼學和可信計算之類的專業么?

TAG:網路安全 | 黑客Hacker | 信息安全 | 銀行IT | 安全研究員 |