“就这样人生被掏空”……只因一次误点,栽在那家伙手里[热点专访]
Toss白帽黑客团队成员 Lee Jongho、Ji Hanbyeol、Jeong Hansol、Choi Jeongsu 专访
随意点陌生网址,身份证与金融信息恐被盗走
Lee Seunggeon 强调“客户信任”…Toss子公司构建“黑客章节”
“您的手机已经被黑客占领。此刻黑客正通过自己的电脑读取您的身份证和金融信息。”
Toss白帽黑客团队本月7日在首尔江南区驿三洞Arc Place接受采访并拍照。从左起为研究员 Choi Jeongsu、负责人 Lee Jongho、研究员 Ji Hanbyeol、研究员 Jeong Hansol。Toss提供
View original image在每年7月第二个星期三到来的“信息保护日”之际,记者于本月7日在首尔江南区驿三洞Arc Place对Toss白帽黑客团队进行采访时,Toss安全技术组研究员Choi Jeongsu通过一条看上去只是普通快递退货处理的短信,演示了黑客如何窃取消费者的手机。
不到1分钟,Choi研究员和Toss白帽黑客团队成员只按了几下手机按键,就把消费者手机中存储的位置信息、联系人、短信、消费模式、重要文档以及相册全部窃走。包括银行交易信息在内,连身份证照片、在校生活记录簿、国民养老金参保证明书都被一扫而空。消费者只是因为误点了一次短信中的互联网地址(URL),就瞬间遭遇了以往只在口头上听说过的“短信钓鱼”(短信支付诈骗)。
![“就这样人生被掏空”……只因一次误点,栽在那家伙手里[热点专访]](http://www.asiae.co.kr/news/img_view.htm?img=2025070915451039679_1752043510.jpg)
黑客的手法十分简单。消费者点击伪装成快递退货处理短信中的URL后,手机便与黑客预先植入的恶意应用程序(App)相连。就在那一刻,消费者手机中的信息被同步到黑客的电脑上,几乎以实时转播的形式呈现出消费者的金融信息、居民身份证、学校生活记录簿等。黑客在短短几秒内就完全控制了消费者的手机,并随意恶意利用其个人信息。
Toss白帽黑客团队像实战一样分成攻击组和防守组进行演练。当天展示的是拦截验证码和拦截电话的演练。消费者一旦不经意点击URL,恶意App就会被安装。手机屏幕上会弹出提示,要求输入常在手机支付时使用的6位数字。消费者毫不怀疑地输入后,黑客就此掌握了个人信息,随后利用受害者手机中保存的全部电话号码群发短信,制造二次受害。
例如,会发送类似“这里是OO银行。现有一款与政府联动的低利率贷款产品,有兴趣的客户请致电咨询”之类的短信欺骗消费者。黑客伪装成银行客服人员,套取消费者居民登记号码后6位和支付密码,然后登录银行App,擅自办理贷款。
Toss的恶意App检测解决方案“Phishing Zero”可以在3秒内识别消费者是否已被恶意App感染。消费者一打开Toss App,就会弹出恶意App检测警告。屏幕上会显示恶意App的名称及特性(如伪装快递公司、伪装银行等),下方“删除”按钮被激活。在相关App彻底删除之前,Toss App将无法运行。点击删除按钮后,恶意App系统被清除,与黑客一侧的画面连接也随之中断。
据Toss介绍,每月约有3700名用户接触到Phishing Zero。Toss于2022年4月开发并导入Phishing Zero。3年来共拦截了7万多个新型变种恶意App,但目前仍以月均1000多个的速度发现新的恶意App。
白帽黑客团队叮嘱消费者,只要遵守5条短信钓鱼和网络钓鱼预防守则即可。首先,对陌生号码打来的电话要谨慎应对,有必要务必怀疑对方是否有诱导安装App的意图。即使是以“1588-”开头的客服中心号码打来的电话,只要内容异常,也要提高警惕。实际上,现场演示中,Toss白帽黑客团队就展示了黑客如何用被夺取的消费者手机拨打“1588-”号码。其次,绝不能泄露个人信息和金融信息。最后,要立即向警方、金融监督院以及银行客服中心等机构举报。
Toss对人工智能(AI)的投入可谓不遗余力,本月7日还为全体员工引入了付费版ChatGPT账号。Toss代表Lee Seunggun上月6日(当地时间)在美国加利福尼亚州洛思阿图斯举办“Toss USA Meetup”活动时表示,将在AI和数据领域招聘三位数规模(100人以上)的人才。今年5月,又新设了专门负责人才招聘的“数据与AI招聘团队”。该团队负责并管理约100个以产品为中心的基础设施。
白帽黑客团队的DNA已经深深植入Toss全公司范围内的AI与数据经营之中。关键在于名为“黑客章节”的组织架构。Toss白帽黑客团队在社区(指Toss的关联公司和子公司整体,即所谓“集团”)内的主要子公司——如Bank、Payments、Securities、Insurance等拥有黑客团队的子公司之间,搭建了随时沟通的组织渠道。无论是开发团队、业务团队还是设计团队,从产品策划的初期阶段起,就“随时”共享关于金融事故、内部控制,乃至在紧急情况下金融监管当局检查与调查等各方面的意见。
国际防御性黑客大赛Codegate冠军、被称为“黑客界Faker”的Toss安全技术团队负责人Lee Jongho(昵称Hellsonic)表示:“代表Lee Seunggun把客户信任视为核心价值,强调我们团队不仅要守护Toss系统本身,更是要成为守护整个Toss社区,乃至整个金融行业信任的最后防线。”他还强调说:“通过‘我的数据’等服务,企业(客户公司)之间被紧密连接在一起,在这样一个只要一家公司出事故就可能动摇整个行业信任的时代,安全的重要性不言而喻。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
