趋势科技发表研究指出欧盟「第二号支付服务指令」PSD2 所带来的影响，很可能让网路骇客对金融服务机构及客户的攻击大幅增加。   图：趋势科技/提供

资安厂商「趋势科技」发表一份研究指出，欧洲最新的银行法规很可能让网路骇客对金融服务机构及客户的攻击面因而大幅增加。

这份最新研究详细说明了欧盟「第二号支付服务指令」(Payment Services Directive，简称 PSD2) 所带来的影响，未来使用者将对其金融资料拥有更大的掌控权，并可选择是否愿意将其资料与新一代的创新金融科技 (FinTech) 公司分享。这样的概念正逐渐在全球扩散，掀起了一股所谓「开放银行」(Open Banking) 的风潮。

趋势科技网路资安长 Ed Cabrera 表示：「长久以来金融业一直是网路犯罪集团虎视眈眈的目标，PSD2 与开放银行必将使得骇客有更多机会窃取敏感的个人资讯和金融资料。我们担忧的是，面对如此大幅增加的攻击面，业界或许尚未完全做好準备。所以我们才会事先深入了解相关的资安风险，希望能协助金融科技公司和传统金融产业预先做好相关资产的防护。」

这份报告针对新的法规环境提出了多种可能的攻击情境：

• 针对 API 的攻击：公开的程式开发介面 (API) 是开放银行的核心要素，这些 API 将允许经过核准的第三方厂商为了提供创新金融服务而存取使用者的银行资料。然而 API 实作上的漏洞，却可能让骇客有机会进入后台伺服器窃取资料。

• 针对金融科技公司的攻击：使用者将被迫信赖银行的合作厂商，而这些合作厂商或许不像银行那样资源充足，对于资料保护也或许缺乏良好的实务经验。在一项针对「开放银行金融科技公司」的快速问卷调查当中，趋势科技发现这类公司的平均员工人数约在 20 人左右，且没有专业的资安人员。这些公司将是骇客攻击的理想目标，其所开发的行动应用程式、API、资料分享技术以及资安防护实作未被落实等都可能成为潜在的资安风险。

• 针对应用程式或行动平台的攻击：绝大部分的开放银行服务都会透过行动应用程式来实现，因此行动应用app将成为骇客攻击的首要目标。歹徒只要能取得这些应用程式的使用者名称、密码或加密金钥，就有机会取得使用者的银行资料并以其身分进行交易。就算这些应用程式不提供支付功能，但还是会储存一些交易资料，歹徒就能更精準掌握受害者的个人财务状况。

• 针对使用者的攻击：由于新的开放银行应用程式将成为使用者存取金融资料与金融服务的首要方式，因此网路钓鱼攻击很可能成为歹徒获利的重要来源。

趋势科技详细剖析了金融机构该如何提升网路资安以因应最新的情势变化，包括：绝不在网址当中包含敏感资讯、优先採用安全的通讯协定、去除隐含风险的实务流程等等，并认为现阶段开放银行应用程式开发商与拥有者必须採取「资安是设计一环」的作法，并定期执行软体稽核。