趋势科技研究指出,欧盟“第二号支付服务指令”PSD2 所带来的影响,很可能让网络骇客对金融服务机构及客户的攻击大幅增加。(趋势科技提供)
资安厂商趋势科技 (4704) 日前发表1份研究指出,欧洲最新的银行法规很可能让骇客对金融服务机构及客户的攻击面大幅增加,该研究指出,欧盟“第二号支付服务指令”(PSD2) 所带来的影响,让使用者对其金融资料拥有更大的掌控权,并可选择是否将其资料分享给金融科技公司(FinTech) ,但API实作上的漏洞,却可能让骇客有机会进入后台服务器窃取资料。
PSD2是欧盟执行委员会的银行业指令,着重在标准化、整合及提高支付效率,同时促进创新并提供更好的消费者保护,原本该法立意良善,是希望银行利用API推动创新,将后端系统与行动应用程序整合,透过新的数位通路创造吸引人的客户体验,但随之而来的也是新风险,趋势科技网络资安长Ed Cabrera表示,PSD2 与开放银行必将使得骇客有更多机会窃取资料,因为面对如此大幅增加的攻击面,业界可能尚未完全做好准备。
该报告针对新法规环境提出多种可能的攻击情境,包括骇客针对API 实作漏洞,攻击金融科技公司;另一方面,被迫信赖银行的合作厂商,限于公司规模仅20~30人,可能无法落实资安防护的风险;加上行动应用app的资安防护能力薄弱,如果骇客精心计划进行的针对性的网络钓鱼攻击,有可能让消费者个资与金融资讯,一夕间全被骇客窃取。
对此,趋势科技也提出基本防范3建议,包括“绝不”在网址当中包含敏感资讯、优先采用“安全加密”的通讯协定、及去除隐“含风险”的实务流程等。趋势科技也呼吁,现阶段开放银行应用程序开发商与拥有者,必须落实“资安是整个流程一环”的设计理念,并定期执行软件资安稽核。
