学习
实践
活动
工具
TVP
写文章

黑客真的可以入侵银行吗?在中国能做到吗?

从银行系统黑钱的方式,主要有以下几种:

1. 内部利用应用系统的权限或漏洞,或者越权操作,隐蔽操作等,比如说小额系统等监管合规不严的系统。和黑客技术无关。

2. 利用职权操作。和黑客技术无关。

3. 黑掉某帐户,非帐户系统,转账到某卡,提款,跑。(ATM机装摄像头也属这种类型)

4. 利用职权,获取帐户信息(姓名、联系方式、存款、消费等),整体出卖,不少钱呢,优质资料一条好几块钱。

但是,直接黑掉core banking 系统拿钱的,我从来没有听说过。不管是拿到web系统服务器权限,还是拿到ATM机权限啥的,都没用,我就算开放行内生产网给一个黑客,他想搞破坏容易,拿钱出来很难。银行的核心系统+ESB或者前置之类的体系超级复杂,每个银行完全不一样,关系超级复杂,数据结构根本看不懂,某些人想象的直接去改核心数据库根本不可能。唯一的可能性就是 提到的外包团队干的,但是确实没听说有发生过这种事。

银行安全里有个段子,当年的黑客界领军人物小榕,写流光溯雪的那位前辈,后来供职于某IT公司,去某个银行做交流时,在会议室随便插了一个以太端口,过了没多久,把银行的一套重要系统的权限拿到了,然后签了一张安全大单。我非常质疑这个传说,按照银行正常内部环境,会议室的网络根本无法访问生产服务器区域,破解难度非常高,而且不可能是那么一时半会能做到的。本着八卦精神,我一直四处打听,最后找到了小榕部门的销售,证实这事子虚乌有。从那时起,我现在对很多段子性的黑客故事,抱有充分的怀疑。

--------

但是,我现在很担忧一件事。就是这两年的互联网金融这一块,很多小银行都在急匆匆的上马这块业务。这方面内容和网银不一样,网银的账务交互是连内网核心系统的,只是柜面系统的外延。但是互联网金融是全新的模式,通常做法以网上商城为主要内容,因为要适配多个银行的银行卡,所以是和核心系统无关的单独的一套电子账户系统,有帐户余额。整个互联网金融系统现在良莠不齐,有些就是小开发商拿个小电子商城的系统改一下就上的,安全保护机制也不行,也没有成熟的监管扎帐合规体系,漏洞非常大,技术上从外网直接黑掉电子帐户系统直接改钱是非常有可能的。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180712A0AV1000?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券