電子銀行體驗機是一種為銀行客戶提供電子化交易的工具,與銀行的ATM自動存取款機有相似,只是它主要涉及轉帳、支付功能等。電子銀行體驗機一方面方便了用戶辦主理業務,節省時間,提高了銀行效率;但另一方面,其安全隱患也一直被外界擔憂。國內許多大銀行電子銀行體驗機都被指存在巨大安全漏洞。
2012年2月23日,媒體報導瑞星公司的一份《關於農業銀行體驗機問題的說明》,該說明指出,“我們認為,烏雲網上的漏洞報告:"中國農業銀行電子銀行體驗機終端許可權繞過"真實性成立,因此向網民發布安全警告。”並且,瑞星公司表示,近期也將出具對《關於建設銀行體驗機問題的說明》。該說明還表示,農行某支行存在安全問題為:“可突破封裝環境,使IE跳出。鑒於安全公司職責,未做進一步滲透。推測如被黑客利用,可使用此機器訪問區域網路資源。”
瑞星公司在針對此事的一份分析報告中稱,“這些機器的作業系統都是Windows系統,雖然出問題的機器禁止了Windows作業系統的快捷鍵、組合鍵、滑鼠右鍵,並保持自身程式始終置於前段和全螢幕,但是在"網銀登陸"頁面使用usbkey時候可以繞過限制系統去訪問Windows系統磁碟及運行檔案。”
“黑客趁機可能通過植入木馬去盜竊訪問該終端的賬戶信息;另外某些網點的機器可以訪問內部網路,利用漏洞可獲取本機管理員許可權,再利用本機許可權去對區域網路進行滲透攻擊。”瑞星安全專家進一步指出,黑客一旦取得本地資料夾的瀏覽許可權,便會通過提升許可權的操作獲得最高系統管理員許可權,便會在機器上搞破壞,諸如植入木馬、記錄用戶姓名、密碼、手機等信息,更有甚者,直接進行轉賬,套取用戶金錢。
“從技術上講,入侵銀行的電子銀行體驗機的難度跟入侵一台普通PC沒什麼區別,如果銀行沒有在系統上做必要的安全防護,這台機器就成了黑客的提款機,最終受害的是普通用戶。”瑞星安全專家王占濤認為。
