在中国,黑客真的能侵入银行?那得看是什么银行

 5 年 + 的银行 IT 战略规划经验,简单说下,不伤筋动骨的。

从银行系统黑钱的方式,主要有以下几种:

1. 内部利用应用系统的权限或漏洞,或者越权操作,隐蔽操作等,比如说小额系统等监管合规不严的系统。和黑客技术无关。

2. 利用职权操作。和黑客技术无关。

3. 黑掉某帐户,非帐户系统,转账到某卡,提款,跑。(ATM 机装摄像头也属这种类型)

4. 利用职权,获取帐户信息(姓名、联系方式、存款、消费等),整体出卖,不少钱呢,优质资料一条好几块钱。

但是,直接黑掉银行核心系统拿钱的,我从来没有听说过。不管是拿到 web 系统服务器权限,还是拿到 ATM 机权限啥的,都没用,我就算开放行内生产网给一个黑客,他想搞破坏容易,拿钱出来很难。银行的核心系统 + ESB 或者前置之类的体系超级复杂,每个银行完全不一样,关系超级复杂,数据结构根本看不懂,某些人想象的直接去改核心数据库根本不可能。唯一的可能性就是 @张书嘉 提到的外包团队干的,但是确实没听说有发生过这种事。

银行安全里有个段子,当年的黑客界领军人物小榕,写流光溯雪的那位前辈,后来供职于某 IT 公司,去某个银行做交流时,在会议室随便插了一个以太端口,过了没多久,把银行的一套重要系统的权限拿到了,然后签了一张安全大单。我非常质疑这个传说,按照银行正常内部环境,会议室的网络根本无法访问生产服务器区域,破解难度非常高,而且不可能是那么一时半会能做到的。本着八卦精神,我一直四处打听,最后找到了小榕部门的销售,证实这事子虚乌有。从那时起,我现在对很多段子性的黑客故事,抱有充分的怀疑。

但是,我现在很担忧一件事。就是这两年的互联网金融这一块,很多小银行都在急匆匆的上马这块业务。这方面内容和网银不一样,网银的账务交互是连内网核心系统的,只是柜面系统的外延。但是互联网金融是全新的模式,通常做法以网上商城为主要内容,因为要适配多个银行的银行卡,所以是和核心系统无关的单独的一套电子账户系统,有帐户余额。整个互联网金融系统现在良莠不齐,有些就是小开发商拿个小电子商城的系统改一下就上的,安全保护机制也不行,也没有成熟的监管扎帐合规体系,漏洞非常大,技术上从外网直接黑掉电子帐户系统直接改钱是非常有可能的