【IT168 专稿】一、研究背景
目前,电子金融逐渐成为各大银行重要业务办理渠道。网上银行可以大幅度降低交易成本,据统计,完成一次网上银行交易的成本是1分钱,完成一次传统银行交易的成本超过1元钱。因此,发展网上银行业务是大势所趋。中国工商银行给出的一组数据显示,工商银行2007年的网上银行交易量已经达到102.9万亿,约占其所有业务办理渠道交易量的37.2%。
但网上银行交易就像一把双刃剑,在便捷的同时带来了一系列的安全问题,日益猖獗的木马、形形色色的钓鱼网站以及网络犯罪的规模化、集团化。使得普通用户更需要了解其基本原理,掌握一些必要的安全防范措施。
二、网上银行交易基本原理
如下图所示,网上银行系统由用户系统、网站、网银中心、业务数据中心、银行柜台和CA中心等组成。
银行方面主要采取的安全措施是基于RSA的加密机制、数字签名机制、SSL加密传输和口令登陆相结合的方式验证用户身份,同时安装多重防火墙,用于防止Internet的非法攻击和银行系统信息外泄。入侵检测系统安装在网站和网银中心,实时监测网络的攻击行为,从而提供对内部攻击、外部攻击和非法操作的保护。
普通网上银行用户接触到的就是用户系统、网站以及银行柜台三个方面。
用户系统是用户进行网上交易的环境,在用户系统中可完成认证介质登陆,访问网上银行系统等工作。
银行网站负责银行信息公布和对外宣传,并提供到网银中心的链接。网站是提供给用户的唯一访问站点,用户只需记住网站,无需了解银行内部其他主机地址。
银行柜台位于银行的营业网点,可授权进行网上银行业务交易。银行柜台可进行开户、存取款交易。
三、网上银行安全防护
要攻击防御体系基本完善的银行系统,取得重要信息或破解经过数字签名认证、加密传输的数据对大多数“黑客”来说无疑是很困难的,于是他们纷纷将黑手伸向了防范意识不是很高的普通用户。下面就结合相关案例来谈一下安全使用网上银行方面的几个要注意的地方。
案例1:交易前的危险
杨先生在卡上存入100万元,第二天卡内就少了995050元,仅剩下4950元,而此时卡、USB Key等文件资料都还好好地躺在他的保险柜里。为此,杨先生将银行告上法庭,索赔100万元。昨日,法院作出一审判决,认为原告未妥善保管密码是巨款被取走的原因,遂驳回其诉讼请求,并判令其负担案件受理费13800元。
“因业务需要,我与第三方约定对此100万元存款双控,也就是双方同时控制账号”,
经过分析,问题终于浮出水面,主要原因就是该用户开通了网上银行,设置了网上银行的密码,设置了帐户安全方式:USBKEY验证,但是他却将帐户、密码告诉了第三方,以为第三方没有USBKEY就无法转帐,看起来好像是没有问题的,但实际操作中,该用户应该在USBKEY下载了证书之后再将密码告诉第三方。问题就出在该用户还没有下载USBKEY证书就把密码告诉了第三方,那么第三方很容易就可以去再买个USBKEY,马上下载证书,配合密码就可以转款了。像这种双方控款的情形,应该是把查询密码可以告诉第三方,把转款密码不能告诉任何人。现在一般的网上银行都是设置查询密码和转帐密码的,转帐密码是绝对不可以告诉任何人的。
总结:用户开户后应该尽快登陆网上银行,按提示下载证书,设置新的查询和取款密码等。如果你开户时密码让第三方知道了,那么,第三方可以马上登陆银行网站,抢在你的前面把合法的证书下载到他的电脑上面,或者装进他的USBkey中,那么他就变成了合法的用户。所以,必须尽快得到证书并保护好自己的密码。
案例2:社会工程学带来的危险
1、电子邮件/欺诈信息/手机短信 钓鱼网站链接
利用招商银行名义发送邮件,该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情,并提供招行网站的超级链接,如果点击链接就会打开一个冒充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像,足以以假乱真,而且域名也很具有欺骗性。该网站的域名是www.cmb95555.com,真招行网站的域名是www.cmbchina.com,cmb是招行的英文缩写,而95555是使用招行账户的用户都非常熟悉的招行电话银行号码,不法分子将cmb与95555组合在一起,就会让用户不会对它产生怀疑,具有较强的欺骗性。用户往往误认为自己进入了招行的真正网站,其实用户所造访的不过是一个经过精心设计的假冒网站而已。
如果用户在钓鱼网站上输入个人信息,不法分子便会利用电子邮件将帐户信息自动发送到事先设定好的邮箱,窃取用户的账号、密码。
还有诸如出现过的某假冒工行网站,网址为http://www.1cbc.com.cn/ ,而真正银行网站是http://www.icbc.com.cn/ ,犯罪分子利用数字1和字母i非常相近的特点蒙蔽用户。
又如曾发现的假公司网站(网址为 http://www.1enovo.com ),而真正网站为 http://www.lenovo.com ,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布赠送QQ币的虚假消息,引诱用户访问。
2、利用虚假的电子商务进行诈骗
犯罪分子通过建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,通常他们在收到受害人的购物汇款后就销声匿迹。大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓超低价、免税的名义出售各种产品,或以次充好,很多人在低价的诱惑下上当受骗。
案例3:利用黑客技术手段窃取用户信息
主要是利用木马手段。木马制作者通过发送邮件或在网站中隐藏木马通过漏洞触发等方式传播木马,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱。利用木马屏幕监控功能进行录象破解决软键盘登陆的事例也时有发生。
近日清远市清城区人民法院获悉,谭某等7名被告人利用网络技术窃取网上银行客户资料盗窃存款一案经该院一审后,已于近日二审终结,7名被告人分别被判处1年至14年不等有期徒刑,并处罚金。据了解,谭某、梁×鹏、黄×风、黄×俊、曾×航、蔡某、骆某7人均是20岁左右的年轻人,彼此通过互联网QQ相识。去年1月,黄×俊通过QQ发给梁×鹏一个“香港某集团”的网址,告知梁×鹏内有许多网上银行客户资料,要求梁入侵该网站, 下载数据库资料,想办法将别人的银行存款拿出来。梁×鹏发现了该网站的漏洞,破坏了该网站的服务器,并上传某病毒程序下载了该网站数据库,取得了上万个网上银行客户的资料,然后与黄×俊两人通过QQ分别将客户资料提供给谭某、蔡某、骆某、黄×风、曾×航等人密谋盗窃。7人主要通过远程操控他人电脑在网上转账,或利用假身份证办理银行信用卡取款的方法盗取存款。7人共作案9次盗得他人存款85万多元。持卡人发现账户上资金被他人转走,当即报案。经公安侦查,上述7人先后被抓获归案。
案例2、案例3总结:
(1)对要求输入账号信息、信用卡账号之类的邮件和短信中奖等信息不予理睬,如确需验证应手工输入正确的网银网址并认真核对确保其正确,也可将其保存于本机的收藏夹内方便使用,不要轻易点击邮件、邮件附件及不知名网站内的链接地址
以工行为例:个人网上银行登录页面和网上支付页面都经过128位SSL加密处理,在打开上述页面时,在IE浏览器右下角状态栏上会显示一个“挂锁”图形的安全证书标识。点击挂锁,应显示如下信息
颁发给:mybank.icbc.com.cn
颁发者:www.verisign.com/CPS Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign
(2)网上银行登录密码,最好使用数字加字符这样的复杂密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码,防止不被黑客轻易破解,定期修改密码。
(3)针对虚假电子商务信息的情况应当认清:一是虚假购物、拍卖网站看上去都比较“正规”,有公司名称、地址、联系电话、联系人、电子邮箱等;二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货,也不退款,一些消费者迫于第一笔款已汇出,抱着侥幸心理继续再汇;四是在进行网络交易前,要对交易网站和交易对方的资质进行全面了解。
(4)其他网络安全防范措施。安装防火墙和正版防病毒软件,并经常升级;注意经常给操作系统打补丁,修补系统漏洞,同时注意机器安装的软件如暴风影音类播放软件、QQ、雅虎通等的及时升级; 禁止浏览器运行 JavaScript和ActiveX代码,有选择的定期清除Cookies及历史;不要上一些不太了解的网站,控制自己的欲望,不要登陆一些不健康网站,这部分网站最容易被挂马;不要执行从网上下载后未经杀毒处理的软件,打开MSN或QQ等传输的文件要注意;提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;尽量避免在网吧等公共场所使用网上电子商务服务。
(5)清楚机器启动加载运行的程序有哪写,卸载不必要的程序,禁用不必要的服务,关闭不需要的端口,设置日志记录等安全策略。尽量不要采用安全级别很低的“账号 密码”方式进行网上交易,如果需要比较频繁地进行网上交易操作,建议一定要采用由合法、权威的第三方安全认证机构颁发的数字证书,即使用网上银行的专业版和证券交易软件的证书版。否则,一旦用户的个人电脑被植入木马、病毒等恶意代码,账号和密码等信息就很容易被窃取,进而造成资金损失。
(6)使用银行提供的安全措施来保障安全如工行的U盾、 电子银行口令卡等产品。
(7)如果真的不幸帐户信息被盗,尽快更换密码和挂失信用卡,安装专业的反钓鱼软件,并将可疑软件转发给网络安全机构,共同维护一个良好健康的网络环境。
