據悉,任意被偽造、修改的手機轉帳應用程序(application)在網上傳開,而且被頻繁用於實際交易上。專家們警告說這些偽造、修改的應用程序可以成為在使用者不知覺的情況下轉走個人信息或給第3者轉帳資金的“釣魚(phishing)”工具。但是大多數金融公司對此未能制定有效的對策。
19日根據東亞日報確認的農協中央會智能手機金融應用程序登陸現況,通過偽造、修改的應用程序試圖登錄系統的次數每日平均高達700多次。農協中央會有關人士表示:“為了防止偽造、修改應用程序的接近,從今年初開始統計了登陸試圖現況,初期為每日600多次的平均登陸試圖在本月增加到了700多次”,“最近建立了自行系統,完全切斷了通過偽造、修改應用程序的登陸。”
估計在其他市中銀行業也有與農協雷同的登陸試圖。但是這些中多數未能切斷登陸,連登出現況也未能掌握。
部分使用者在金融交易中使用偽造、修改應用程序的理由是因為使用所謂的“越獄(rooting)手機”。“越獄手機”是為了提高速度或免費下載交費應用程序而改造的智能手機。市中銀行以保安問題為由,禁止使用越獄手機進行金融交易。
根據去年末韓國版權委員會的設問調查,每10名智能手機使用者中有1名具有“越獄”經驗。智能手機業界認為實際上有更多的使用者在使用越獄手機。
在網絡搜索中很容易找到偽造、修改金融應用程序。在網絡搜索頁中搜索“用△△手機使用○○銀行應用程序”、“智能轉帳△△”等等,就可以找到數十個偽造、修改的文件和使用方法。 使用這些應用程序的話可以繞過銀行阻止的保安墻壁,登陸轉帳系統。即,使用者不用直接偽造、修改應用程序,可以直接設置他人事前制作好的應用程序進行金融交易。
問題是在這種偽造、修改應用程序中如果含有其他意圖的命令語,就可以引發嚴重的金融事故。目前為止雖然沒有被報告的事例,但是有可能給其他帳戶轉帳或修改轉帳上限額。而且也可以搜集居民登錄號或帳戶號、密碼等個人信息,或稱為遵從特定命令的“僵屍(Zombie)手機”。
因為這些風險,金融當局在去年10月份修改了“電子金融監督規定”,規定金融公司在4月10日之前制定針對偽造、修改應用程序的對策。因為去年末到現在,利用智能手機的手機轉帳使用者超過了1000萬名,增加速度很快。但是大多數銀行對此還未能制定有效對策。
一名市中銀行有關人士透露:“在強化網絡轉帳保安就已經不夠人手,手機轉帳根本沒時間管”,“估計其他銀行的情況也差不多。”
要求匿名的一名有關保安的教授主張:“放置不管偽造、修改應用程序等於是抱著可以引發大型金融事故的炸彈”,“讓維持源代碼公開政策的古歌在金融應用程序上設立另行認證,不讓程序代碼能輕易被偽造、修改,這也可以成為一種解決方法。”
部分人也主張允許越獄手機使用者使用正式版應用程序。目前通過越獄手機的轉帳系統登陸本身就被禁止,因此越獄手機使用者們只能尋找偽造、修改應用程序。
樸昌奎 kyu@donga.com
About Dong-A Ilbo