金融安全资讯精选 2018年第九期:生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析

简介: 生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析
54ec4a3d3e7777032035de0b46e35102993813df



【金融行业安全动态】生物识别技术应用预测

概要:英国的Atom银行已成为全球首家应用人脸识别技术验证客户身份、为客户开户的银行;新韩银行的新用户可在无人网点内使用静脉识别技术作为认证手段自助开户;汇丰银行、浦发银行、微众银行、中原银行、华泰证券、长城证券等均已推出人脸识别开户功能,为银行客户提供安全便捷的金融服务。中原银行的人脸识别技术应用在线下渠道和线上渠道,包括开户、激活、密码重置、挂失换卡等线下交易场景,以及大额转账、征信查询授权、信用卡网申等线上场景;

而指纹识别技术应用于柜面系统柜员登录、交易本地授权及厅堂自助设备交易本地授权、信贷系统征信查询授权和手机银行APP身份识别场景等方面,目前中原银行正在规划应用指静脉识别或虹膜识别功能代替银行卡介质,探索应用识别率高、失误率低的虹膜识别技术取代客户的密码。

点评:云计算和移动访问的日益普及、物联网安全意识的提高,以及数据分析技术的发展带来了更多智能、互联的身份识别体验。由于技术本身给用户带来了很大的便捷性和安全性,反过来用户对技术的接受程度自然而然地会提高,这两者是互为促进的因果关系。在安全风险防范方面,目前生物识别技术在金融场景应用中要解决的是来自于系统和数据两类安全风险——保证系统能阻止和免受各类非法网络攻击,确保生物特征信息被采集后在传输、存储过程中被截获或篡改。

一方面组要提高交叉验证的强度,通过交叉验证进一步降低误识别率。另一方面,应用“活体检测”生物识别技术降低潜在安全风险。此外,用户隐私保护是生物识别需要跨越的第三道门槛。为此,生物识别必须对生物特征进行数据加密和脱敏,确保即使数据泄露,也无法被还原。在法律法规方面,亟须完善和制定相关的经济金融、网络信息安全等相关法律法规,规范生物识别的适用范围、技术安全和信息保护等。最后是加强生物识别相关金融标准研究,建设公共服务平台和服务体系。(来源:金融电子化)


【金融行业安全动态】广东网贷平台合规“排名”

概要:去年12月网贷整治办发布的“57号”文,要求各地于2018年 4 月底之前完成辖内主要网贷机构的备案登记工作,最迟应当于 2018 年 6 月末之前完成相关工作。至2018 年 2 月,广东省金融办终下发了《关于进一步做好全省网络借贷信息中介机构整改验收有关事项的通知》。同时,还发布了《广东省网络借贷信息中介机构合规审核与整改验收工作指引表》和法律意见书、经营专项审核报告、整改验收自评报告 3 个指引文件。融资易平台进军前20强,合规总分值达71.5,位列第8名。其前20名中,大部分为传统知名度、背景实力较强的头部大平台,如团贷网、民贷天下、礼德财富、PPmoney、广州e贷等。



【相关安全事件】Ubuntu 16.04 4.4 系列内核本地提权漏洞

概要:2018年3月16日,阿里云云盾应急响应中心监测到国外安全研究人员公开Ubuntu 16.04版本存在高危本地提权漏洞,恶意攻击者可以利用此漏洞来进行本地提权操作。经分析,阿里云云平台自身不受此漏洞影响。阿里云安全应急响应中心建议:尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该漏洞发动提权攻击。目前,阿里云已发布官方公告,并会以站内信、短信的方式通知用户。


【云上视角】JbossMiner 挖矿蠕虫分析

概要:从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。

当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”。

自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外扫描扩散。本次受害主机以Jboss服务为主,我们将其命名为“JbossMiner”。

通过监控JbossMiner相关情报,阿里云安全团队发现,JbossMiner挖矿蠕虫在18年初爆发式增长,随后增速迅猛,近期稍有回落。

点评:本文将以“JbossMiner”的核心代码为基础,分别从扫描、入侵、利用、挖矿等功能进行展开,完整分析并还原整个过程:希望研究者,和非安全专业领域的读者们,能从全局角度看到,挖矿木马如何瞄准“宿主”,扩张木马僵尸网络,并可持续利用。为企业和机构的入侵 - 挖矿防范,提供新的视角。

注:JbossMiner中用到的漏洞,阿里云上已默认可拦截,并且,安骑士已可以检测JbossMiner中的恶意程序,和执行的恶意命令。建议及时关注威胁提示,如有异常事件可尽快处理。


快来阿里云新年采购季限时优惠(点击直接进入会场)

9大实用安全产品,助力企业快速优化安全效果。

把好第一道ROI关卡,让企业安全在2018年全面升级。

今天,从这里开始!



订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
【邀请函】金融行业隐私计算应用闭门研讨会
        蚂蚁链摩斯诚邀蚂蚁集团、阿里集团各BU及生态伙伴,参与“2023WAIC金融行业隐私计算应用研讨会”,一起交流探讨隐私计算行业前沿应用、案例和趋势。      大会内容详见下文。本次研讨会参与采用闭门邀请制,如有兴趣,可以联系 @箬兮 报名。      7月7日,上海见!也可以进入钉群交流(群号35544266),钉群二维码如下: 
【邀请函】金融行业隐私计算应用闭门研讨会
|
机器学习/深度学习 人工智能 安全
WAIC“可信隐私计算高峰论坛”「线上+线下活动」
WAIC“可信隐私计算高峰论坛”「线上+线下活动」
|
安全 区块链
金融安全资讯精选 2018年第二期:正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
2726 0
|
安全 网络安全
金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
2385 0
新鲜出炉!2016 中国互联网仿冒态势分析报告
本报告由阿里巴巴安全部和中国信息通信研究院联合出品。
3734 0
|
安全 区块链
金融安全资讯精选 2018年第十期:数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
2629 0
|
安全 测试技术 区块链
|
云安全 安全 区块链
金融安全资讯精选 2018年第七期:JP摩根大通首次承认加密货币是“风险”,比特大陆利润或赶超英伟达,Mindlost勒索病毒技术分析,阿里云愿为医疗机构提供安全公益排查支持
JP摩根大通首次承认加密货币是“风险”,比特大陆利润或赶超英伟达,Mindlost勒索病毒技术分析,阿里云愿为医疗机构提供安全公益排查支持
2490 0
|
人工智能 安全 网络协议
政府安全资讯精选 2017年第十七期 全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动;中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程
全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动;中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程;美国北卡罗来纳州政府服务器遭勒索软件攻击
3626 0
|
安全 NoSQL 大数据
金融安全资讯精选 2017年第十五期:普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型系统整合中的建议
普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型 系统整合是关键
2444 0