趨勢科技點出最新開放銀行法規的資安風險

金融科技變革可能開啟更多針對企業和消費者的全新攻擊

【2019年9月24日，台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 日前發表一份研究指出，歐洲最新的銀行法規很可能讓網路駭客對金融服務機構及客戶的攻擊面因而大幅增加。

這份最新研究詳細說明了歐盟「第二號支付服務指令」(Payment Services Directive，簡稱 PSD2) 所帶來的影響，未來使用者將對其金融資料擁有更大的掌控權，並可選擇是否願意將其資料與新一代的創新金融科技 (FinTech) 公司分享。這樣的概念正逐漸在全球擴散，掀起了一股所謂「開放銀行」(Open Banking) 的風潮。

趨勢科技網路資安長 Ed Cabrera 表示：「長久以來金融業一直是網路犯罪集團虎視眈眈的目標，PSD2 與開放銀行必將使得駭客有更多機會竊取敏感的個人資訊和金融資料。我們擔憂的是，面對如此大幅增加的攻擊面，業界或許尚未完全做好準備。所以我們才會事先深入了解相關的資安風險，希望能協助金融科技公司和傳統金融產業預先做好相關資產的防護。」

這份報告針對新的法規環境提出了多種可能的攻擊情境：

• 針對 API 的攻擊：公開的程式開發介面 (API) 是開放銀行的核心要素，這些 API 將允許經過核准的第三方廠商為了提供創新金融服務而存取使用者的銀行資料。然而 API 實作上的漏洞，卻可能讓駭客有機會進入後台伺服器竊取資料。
• 針對金融科技公司的攻擊：使用者將被迫信賴銀行的合作廠商，而這些合作廠商或許不像銀行那樣資源充足，對於資料保護也或許缺乏良好的實務經驗。在一項針對「開放銀行金融科技公司」的快速問卷調查當中，趨勢科技發現這類公司的平均員工人數約在 20 人左右，且沒有專業的資安人員。這些公司將是駭客攻擊的理想目標，其所開發的行動應用程式、API、資料分享技術以及資安防護實作未被落實等都可能成為潛在的資安風險。
• 針對應用程式或行動平台的攻擊：絕大部分的開放銀行服務都會透過行動應用程式來實現，因此行動應用app將成為駭客攻擊的首要目標。歹徒只要能取得這些應用程式的使用者名稱、密碼或加密金鑰，就有機會取得使用者的銀行資料並以其身分進行交易。就算這些應用程式不提供支付功能，但還是會儲存一些交易資料，歹徒就能更精準掌握受害者的個人財務狀況。
• 針對使用者的攻擊：由於新的開放銀行應用程式將成為使用者存取金融資料與金融服務的首要方式，因此網路釣魚攻擊很可能成為歹徒獲利的重要來源。

趨勢科技詳細剖析了金融機構該如何提升網路資安以因應最新的情勢變化，包括：絕不在網址當中包含敏感資訊、優先採用安全的通訊協定、去除隱含風險的實務流程等等。

並且，現階段開放銀行應用程式開發商與擁有者必須採取「資安是設計一環」的作法，並定期執行軟體稽核。

如欲進一步了解開放銀行最新規範的網路資安風險，請下載我們的完整報告「準備面對 PSD2 了嗎：開放銀行的風險」(Ready or Not for PSD2: The Risks of Open Banking)： https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-risks-of-open-banking-are-banks-and-their-customers-ready-for-psd2。

關於趨勢科技

趨勢科技為資訊安全解決方案全球領導廠商，致力建立一個安全的資訊交換世界。我們專為消費者、企業及政府機構設計的創新解決方案，能為資料中心、雲端環境、網路、端點裝置提供多層式安全防護。我們的產品皆彼此整合、共享威脅情報，提供環環相扣的威脅防禦與集中化的掌握及監控能力，實現更好、更快的防護。趨勢科技全球共 6,000 多名員工，遍及 50 多國，並擁有全世界最先進的全球威脅情報，能妥善保護您的連網世界。如需更多資訊，請至：www.trendmicro.com。