00后黑客入侵廈門銀行App 注冊Ⅱ、Ⅲ類戶出售獲利

來源：移動支付網

2019年10月，只有初中文化的00后田某被福建省廈門市思明區人民法院以非法獲取計算機信息系統數據罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書表示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在廈門銀行手機銀行App內使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。

使用抓包技術破解人臉識別

通過手機銀行App遠程開立Ⅱ、Ⅲ類賬戶已經不是什么新鮮事，很多銀行App都具備這一功能。開立Ⅱ、Ⅲ類賬戶需要進行五要素鑒權，核實用戶真實身份信息。隨著生物識別技術的進步，人臉識別成為了核實用戶個人身份的常用手段。

想要非法開設虛假Ⅱ、Ⅲ類賬戶必須想辦法破解人臉識別。一般來說，犯罪分子會想辦法使用照片或者面具攻擊不具有3D人臉識別功能的手機以通過人臉識別比對。但是田某使用了完全不一樣的方法。

判決文書顯示，田某在注冊賬戶過程中，先輸入本人身份信息，待進行人臉識別步驟時，利用軟件抓包技術將銀行系統下發的人臉識別身份認證數據包進行攔截并保存。爾后，在輸入開卡密碼步驟，被告人田世紀將APP返回到第一步（上傳身份證照片之步驟），輸入偽造的身份信息，并再次進入到人臉識別之身份驗證步驟，此時，其上傳此前攔截下來的包含其本人身份信息的數據包，使系統誤以為要比對其本人的身份信息，其遂用本人人臉通過銀行系統人臉識別比對，使得成功利用虛假身份信息注冊到銀行賬戶。

田某的手段可以用偷梁換柱來形容，使用自己的人臉識別身份認證數據包換掉虛假身份的人臉識別身份認證數據包，然后使用本人的臉完成人臉識別比對。通過這樣的方法，田某成功注冊廈門銀行Ⅱ類賬戶76個，并以一套賬戶人民幣100元至200元不等的價格對外出售。

客戶端數據安全備受關注

除了田某之外，和田某交易的張某通過抓包技術在多家銀行嘗試注冊Ⅱ、Ⅲ類賬戶。除了廈門銀行之外，張某在浦發銀行極速開戶網頁頁面攔截身份認證信息四、五次，在建設銀行App上使用攔截身份認證信息十余次，并雇人使用上述技術，在建設銀行系統內成功注冊12個Ⅱ、Ⅲ類賬戶。

根據最新發布的《個人金融信息保護技術規范》，個人生物識別信息的傳輸應使用安全通道、數據加密等技術措施。換句話說，廈門銀行、浦發銀行、建設銀行在當時都沒有滿足相關技術規范要求。

目前，金融支付App數據安全問題已經被監管注意到，除了最近發布的《個人金融信息保護技術規范》之外，央行還在去年下發了《移動金融客戶端應用軟件安全管理規范》（237號文）。

央行在237文中著重指出各金融機構應嚴格按照《移動金融客戶端應用軟件安全管理規范》（JR/T 0092-2019）要求，采取有效措施加強客戶端軟件個人金融信息保護，中國互聯網金融協會作為備案的主管行業協會，要求金融機構處理金融業務的移動客戶端，完成外部檢測評估和申報備案工作，以技術合規為切入點強化個人金融信息保護的業務設施建設。 

2020年，數據安全監管必將成為重點，以目前的監管情況，如果再有類似情況發生，除了進行攻擊的黑客會承擔法律責任，發生事故的金融支付機構也需承擔相關行政、法律，甚至刑事責任。避免這種情況發生的最好辦法就是盡快按照相關規范滿足安全需求。