上周第一銀行被東歐駭客集團,從APP置入惡意程式,讓ATM噴鈔盜領8000萬餘元,銀行除了報案偵辦追回贓款,多家銀行業者也緊急找勤業眾信會計師務所,洽談如何加強銀行的網路和APP資訊安全管理,防止被駭ATM再度噴鈔。
為何什麼找勤業眾信?因為它擁有「資安科技暨鑑識分析中心」,又通過「行動應用APP基本資安檢測實驗室」資格認證。
台灣唯一資安科技暨鑑識實驗室
勤業眾信總裁郭政弘說,該公司設立的「資安科技暨鑑識分析中心」在2014年取得ISO 17025認證,是全台民間首座數位鑑識領域實驗室。今年再度「增項」,以零缺失通過「行動應用APP基本資安檢測實驗室」認證,成為經濟部工業局上半年度推動行動應用APP安全認證機制,台灣第一家通過認證的合格檢測實驗室,有能力對APP做鑑識,判斷是否安全,有無漏洞。
今天上午,全國認證基金會董事長陳介山,到勤業眾信頒發「鑑識技術與資安實驗室雙授證」,勤業眾信是除了法務部調查局和刑事以外,唯一民間資安鑑識實驗室。
勤業眾信旗下風險管理諮詢公司執行副總經理吳佳翰指出,一銀案爆發後,有銀行業者馬上找該公司,諮詢能否進行銀行業使用的APP檢測,以及網路資訊全安檢查,目前雙方還在洽談合作細節。
他說,該公司目前建議銀行業者先做四個重點,一是針對AMT的程式,先挑出白名單(正面表列)程式,即容許在ATM機器上跑的程式,例如廣告或防詐騙警語。第二,清查並剔除調查局在一銀ATM中抓出來的惡意程式。第三,再擴及檢查其他機型的ATM。第四,制定國內ATM資訊安全基準。
他說,這次歹徒敗在最後一哩路,被龐大的現金卡住,未來的數位駭客一定會朝向用程式盜錢,也用網路程式洗錢,不會再帶著笨重的現金逃亡,未來要朝這個方向防堵。
▲勤業眾信獲頒發「鑑識技術與資安實驗室雙授證」。圖/記者劉峻谷攝影
五招防APP風險
勤業眾信風險管理諮詢公司總經理萬幼筠指出,由於APP資訊架構較傳統系統複雜,承載更多機密資訊,且企業APP多半委託外部廠商開發,容易造成資訊安全漏洞、成為駭客攻擊標的,不可輕忽。
萬幼筠指出,要檢測行動應用APP安全有五招,第一,應注意行動應用程式發布的安全性,以防止合法APP遭到偽冒或非法存取個資。第二,應進行敏感性資料保護,以防止敏感性資料以純文字格式直接儲存於資料庫欄位,或未進行加密傳輸。
萬幼筠說,第三,可透過付費資源控管資安,要求付費資源使用前需進行身份認證及主動通知使用者。第四,為了防止交易資料未進行完整性驗證與防護,應設立身分認證、授權與連線安全管理機制。第五,為了防止使用具備公開弱點的程式集,或未核實使用者輸入資料正確性,應驗證行動應用程式碼安全。
◤頭髮保護 這樣做◢
◤2024女大粉美賞◢
