【IT168 專稿】一、研究背景
目前,電子金融逐漸成為各大銀行重要業(yè)務(wù)辦理渠道。網(wǎng)上銀行可以大幅度降低交易成本,據(jù)統(tǒng)計(jì),完成一次網(wǎng)上銀行交易的成本是1分錢,完成一次傳統(tǒng)銀行交易的成本超過1元錢。因此,發(fā)展網(wǎng)上銀行業(yè)務(wù)是大勢(shì)所趨。中國工商銀行給出的一組數(shù)據(jù)顯示,工商銀行2007年的網(wǎng)上銀行交易量已經(jīng)達(dá)到102.9萬億,約占其所有業(yè)務(wù)辦理渠道交易量的37.2%。
但網(wǎng)上銀行交易就像一把雙刃劍,在便捷的同時(shí)帶來了一系列的安全問題,日益猖獗的木馬、形形色色的釣魚網(wǎng)站以及網(wǎng)絡(luò)犯罪的規(guī)模化、集團(tuán)化。使得普通用戶更需要了解其基本原理,掌握一些必要的安全防范措施。
二、網(wǎng)上銀行交易基本原理
如下圖所示,網(wǎng)上銀行系統(tǒng)由用戶系統(tǒng)、網(wǎng)站、網(wǎng)銀中心、業(yè)務(wù)數(shù)據(jù)中心、銀行柜臺(tái)和CA中心等組成。
銀行方面主要采取的安全措施是基于RSA的加密機(jī)制、數(shù)字簽名機(jī)制、SSL加密傳輸和口令登陸相結(jié)合的方式驗(yàn)證用戶身份,同時(shí)安裝多重防火墻,用于防止Internet的非法攻擊和銀行系統(tǒng)信息外泄。入侵檢測(cè)系統(tǒng)安裝在網(wǎng)站和網(wǎng)銀中心,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的攻擊行為,從而提供對(duì)內(nèi)部攻擊、外部攻擊和非法操作的保護(hù)。
普通網(wǎng)上銀行用戶接觸到的就是用戶系統(tǒng)、網(wǎng)站以及銀行柜臺(tái)三個(gè)方面。
用戶系統(tǒng)是用戶進(jìn)行網(wǎng)上交易的環(huán)境,在用戶系統(tǒng)中可完成認(rèn)證介質(zhì)登陸,訪問網(wǎng)上銀行系統(tǒng)等工作。
銀行網(wǎng)站負(fù)責(zé)銀行信息公布和對(duì)外宣傳,并提供到網(wǎng)銀中心的鏈接。網(wǎng)站是提供給用戶的唯一訪問站點(diǎn),用戶只需記住網(wǎng)站,無需了解銀行內(nèi)部其他主機(jī)地址。
銀行柜臺(tái)位于銀行的營業(yè)網(wǎng)點(diǎn),可授權(quán)進(jìn)行網(wǎng)上銀行業(yè)務(wù)交易。銀行柜臺(tái)可進(jìn)行開戶、存取款交易。
三、網(wǎng)上銀行安全防護(hù)
要攻擊防御體系基本完善的銀行系統(tǒng),取得重要信息或破解經(jīng)過數(shù)字簽名認(rèn)證、加密傳輸?shù)臄?shù)據(jù)對(duì)大多數(shù)“黑客”來說無疑是很困難的,于是他們紛紛將黑手伸向了防范意識(shí)不是很高的普通用戶。下面就結(jié)合相關(guān)案例來談一下安全使用網(wǎng)上銀行方面的幾個(gè)要注意的地方。
案例1:交易前的危險(xiǎn)
楊先生在卡上存入100萬元,第二天卡內(nèi)就少了995050元,僅剩下4950元,而此時(shí)卡、USB Key等文件資料都還好好地躺在他的保險(xiǎn)柜里。為此,楊先生將銀行告上法庭,索賠100萬元。昨日,法院作出一審判決,認(rèn)為原告未妥善保管密碼是巨款被取走的原因,遂駁回其訴訟請(qǐng)求,并判令其負(fù)擔(dān)案件受理費(fèi)13800元。
“因業(yè)務(wù)需要,我與第三方約定對(duì)此100萬元存款雙控,也就是雙方同時(shí)控制賬號(hào)”,
經(jīng)過分析,問題終于浮出水面,主要原因就是該用戶開通了網(wǎng)上銀行,設(shè)置了網(wǎng)上銀行的密碼,設(shè)置了帳戶安全方式:USBKEY驗(yàn)證,但是他卻將帳戶、密碼告訴了第三方,以為第三方?jīng)]有USBKEY就無法轉(zhuǎn)帳,看起來好像是沒有問題的,但實(shí)際操作中,該用戶應(yīng)該在USBKEY下載了證書之后再將密碼告訴第三方。問題就出在該用戶還沒有下載USBKEY證書就把密碼告訴了第三方,那么第三方很容易就可以去再買個(gè)USBKEY,馬上下載證書,配合密碼就可以轉(zhuǎn)款了。像這種雙方控款的情形,應(yīng)該是把查詢密碼可以告訴第三方,把轉(zhuǎn)款密碼不能告訴任何人。現(xiàn)在一般的網(wǎng)上銀行都是設(shè)置查詢密碼和轉(zhuǎn)帳密碼的,轉(zhuǎn)帳密碼是絕對(duì)不可以告訴任何人的。
總結(jié):用戶開戶后應(yīng)該盡快登陸網(wǎng)上銀行,按提示下載證書,設(shè)置新的查詢和取款密碼等。如果你開戶時(shí)密碼讓第三方知道了,那么,第三方可以馬上登陸銀行網(wǎng)站,搶在你的前面把合法的證書下載到他的電腦上面,或者裝進(jìn)他的USBkey中,那么他就變成了合法的用戶。所以,必須盡快得到證書并保護(hù)好自己的密碼。
案例2:社會(huì)工程學(xué)帶來的危險(xiǎn)
1、電子郵件/欺詐信息/手機(jī)短信 釣魚網(wǎng)站鏈接
利用招商銀行名義發(fā)送郵件,該郵件以對(duì)賬、核實(shí)賬戶消費(fèi)記錄等名義要求客戶登錄招行網(wǎng)站查詢?cè)斍椋⑻峁┱行芯W(wǎng)站的超級(jí)鏈接,如果點(diǎn)擊鏈接就會(huì)打開一個(gè)冒充招商銀行的頁面。該網(wǎng)頁不僅從頁面布局及內(nèi)容方面仿冒得很像,足以以假亂真,而且域名也很具有欺騙性。該網(wǎng)站的域名是www.cmb95555.com,真招行網(wǎng)站的域名是www.cmbchina.com,cmb是招行的英文縮寫,而95555是使用招行賬戶的用戶都非常熟悉的招行電話銀行號(hào)碼,不法分子將cmb與95555組合在一起,就會(huì)讓用戶不會(huì)對(duì)它產(chǎn)生懷疑,具有較強(qiáng)的欺騙性。用戶往往誤認(rèn)為自己進(jìn)入了招行的真正網(wǎng)站,其實(shí)用戶所造訪的不過是一個(gè)經(jīng)過精心設(shè)計(jì)的假冒網(wǎng)站而已。
如果用戶在釣魚網(wǎng)站上輸入個(gè)人信息,不法分子便會(huì)利用電子郵件將帳戶信息自動(dòng)發(fā)送到事先設(shè)定好的郵箱,竊取用戶的賬號(hào)、密碼。
還有諸如出現(xiàn)過的某假冒工行網(wǎng)站,網(wǎng)址為http://www.1cbc.com.cn/ ,而真正銀行網(wǎng)站是http://www.icbc.com.cn/ ,犯罪分子利用數(shù)字1和字母i非常相近的特點(diǎn)蒙蔽用戶。
又如曾發(fā)現(xiàn)的假公司網(wǎng)站(網(wǎng)址為 http://www.1enovo.com ),而真正網(wǎng)站為 http://www.lenovo.com ,詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布贈(zèng)送QQ幣的虛假消息,引誘用戶訪問。
2、利用虛假的電子商務(wù)進(jìn)行詐騙
犯罪分子通過建立電子商務(wù)網(wǎng)站,或是在比較知名、大型的電子商務(wù)網(wǎng)站上發(fā)布虛假的商品銷售信息,通常他們?cè)谑盏绞芎θ说馁徫飬R款后就銷聲匿跡。大部分人采用在知名電子商務(wù)網(wǎng)站上,如“易趣”、“淘寶”、“阿里巴巴”等,發(fā)布虛假信息,以所謂超低價(jià)、免稅的名義出售各種產(chǎn)品,或以次充好,很多人在低價(jià)的誘惑下上當(dāng)受騙。
案例3:利用黑客技術(shù)手段竊取用戶信息
主要是利用木馬手段。木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬通過漏洞觸發(fā)等方式傳播木馬,當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時(shí),木馬程序即以鍵盤記錄的方式獲取用戶賬號(hào)和密碼,并發(fā)送給指定郵箱。利用木馬屏幕監(jiān)控功能進(jìn)行錄象破解決軟鍵盤登陸的事例也時(shí)有發(fā)生。
近日清遠(yuǎn)市清城區(qū)人民法院獲悉,譚某等7名被告人利用網(wǎng)絡(luò)技術(shù)竊取網(wǎng)上銀行客戶資料盜竊存款一案經(jīng)該院一審后,已于近日二審終結(jié),7名被告人分別被判處1年至14年不等有期徒刑,并處罰金。據(jù)了解,譚某、梁×鵬、黃×風(fēng)、黃×俊、曾×航、蔡某、駱某7人均是20歲左右的年輕人,彼此通過互聯(lián)網(wǎng)QQ相識(shí)。去年1月,黃×俊通過QQ發(fā)給梁×鵬一個(gè)“香港某集團(tuán)”的網(wǎng)址,告知梁×鵬內(nèi)有許多網(wǎng)上銀行客戶資料,要求梁入侵該網(wǎng)站, 下載數(shù)據(jù)庫資料,想辦法將別人的銀行存款拿出來。梁×鵬發(fā)現(xiàn)了該網(wǎng)站的漏洞,破壞了該網(wǎng)站的服務(wù)器,并上傳某病毒程序下載了該網(wǎng)站數(shù)據(jù)庫,取得了上萬個(gè)網(wǎng)上銀行客戶的資料,然后與黃×俊兩人通過QQ分別將客戶資料提供給譚某、蔡某、駱某、黃×風(fēng)、曾×航等人密謀盜竊。7人主要通過遠(yuǎn)程操控他人電腦在網(wǎng)上轉(zhuǎn)賬,或利用假身份證辦理銀行信用卡取款的方法盜取存款。7人共作案9次盜得他人存款85萬多元。持卡人發(fā)現(xiàn)賬戶上資金被他人轉(zhuǎn)走,當(dāng)即報(bào)案。經(jīng)公安偵查,上述7人先后被抓獲歸案。
案例2、案例3總結(jié):
(1)對(duì)要求輸入賬號(hào)信息、信用卡賬號(hào)之類的郵件和短信中獎(jiǎng)等信息不予理睬,如確需驗(yàn)證應(yīng)手工輸入正確的網(wǎng)銀網(wǎng)址并認(rèn)真核對(duì)確保其正確,也可將其保存于本機(jī)的收藏夾內(nèi)方便使用,不要輕易點(diǎn)擊郵件、郵件附件及不知名網(wǎng)站內(nèi)的鏈接地址
以工行為例:個(gè)人網(wǎng)上銀行登錄頁面和網(wǎng)上支付頁面都經(jīng)過128位SSL加密處理,在打開上述頁面時(shí),在IE瀏覽器右下角狀態(tài)欄上會(huì)顯示一個(gè)“掛鎖”圖形的安全證書標(biāo)識(shí)。點(diǎn)擊掛鎖,應(yīng)顯示如下信息
頒發(fā)給:mybank.icbc.com.cn
頒發(fā)者:www.verisign.com/CPS Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign
(2)網(wǎng)上銀行登錄密碼,最好使用數(shù)字加字符這樣的復(fù)雜密碼,不要選諸如身份證號(hào)碼、出生日期、電話號(hào)碼等作為密碼,建議用字母、數(shù)字混合密碼,盡量避免在不同系統(tǒng)使用同一密碼,防止不被黑客輕易破解,定期修改密碼。
(3)針對(duì)虛假電子商務(wù)信息的情況應(yīng)當(dāng)認(rèn)清:一是虛假購物、拍賣網(wǎng)站看上去都比較“正規(guī)”,有公司名稱、地址、聯(lián)系電話、聯(lián)系人、電子郵箱等;二是交易方式單一,消費(fèi)者只能通過銀行匯款的方式購買,且收款人均為個(gè)人,而非公司,訂貨方法一律采用先付款后發(fā)貨的方式;三是詐取消費(fèi)者款項(xiàng)的手法如出一轍,當(dāng)消費(fèi)者匯出第一筆款后,騙子會(huì)來電以各種理由要求匯款人再匯余款、風(fēng)險(xiǎn)金、押金或稅款之類的費(fèi)用,否則不會(huì)發(fā)貨,也不退款,一些消費(fèi)者迫于第一筆款已匯出,抱著僥幸心理繼續(xù)再匯;四是在進(jìn)行網(wǎng)絡(luò)交易前,要對(duì)交易網(wǎng)站和交易對(duì)方的資質(zhì)進(jìn)行全面了解。
(4)其他網(wǎng)絡(luò)安全防范措施。安裝防火墻和正版防病毒軟件,并經(jīng)常升級(jí);注意經(jīng)常給操作系統(tǒng)打補(bǔ)丁,修補(bǔ)系統(tǒng)漏洞,同時(shí)注意機(jī)器安裝的軟件如暴風(fēng)影音類播放軟件、QQ、雅虎通等的及時(shí)升級(jí); 禁止瀏覽器運(yùn)行 JavaScript和ActiveX代碼,有選擇的定期清除Cookies及歷史;不要上一些不太了解的網(wǎng)站,控制自己的欲望,不要登陸一些不健康網(wǎng)站,這部分網(wǎng)站最容易被掛馬;不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件,打開MSN或QQ等傳輸?shù)奈募⒁?提高自我保護(hù)意識(shí),注意妥善保管自己的私人信息,如本人證件號(hào)碼、賬號(hào)、密碼等,不向他人透露;盡量避免在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)上電子商務(wù)服務(wù)。
(5)清楚機(jī)器啟動(dòng)加載運(yùn)行的程序有哪寫,卸載不必要的程序,禁用不必要的服務(wù),關(guān)閉不需要的端口,設(shè)置日志記錄等安全策略。盡量不要采用安全級(jí)別很低的“賬號(hào) 密碼”方式進(jìn)行網(wǎng)上交易,如果需要比較頻繁地進(jìn)行網(wǎng)上交易操作,建議一定要采用由合法、權(quán)威的第三方安全認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書,即使用網(wǎng)上銀行的專業(yè)版和證券交易軟件的證書版。否則,一旦用戶的個(gè)人電腦被植入木馬、病毒等惡意代碼,賬號(hào)和密碼等信息就很容易被竊取,進(jìn)而造成資金損失。
(6)使用銀行提供的安全措施來保障安全如工行的U盾、 電子銀行口令卡等產(chǎn)品。
(7)如果真的不幸?guī)粜畔⒈槐I,盡快更換密碼和掛失信用卡,安裝專業(yè)的反釣魚軟件,并將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡(luò)安全機(jī)構(gòu),共同維護(hù)一個(gè)良好健康的網(wǎng)絡(luò)環(huán)境。
