網銀用戶請注意:你的網上銀行安全嗎?
“客戶安全須知:尊敬的×××先生,您好!我們是中國工商銀行網銀安全科。由于您的賬號在網上銀行登錄,輸入錯誤密碼次數過多,可能您的賬號和密碼被不法分子盜用,近日已臨時凍結您的賬戶。請您盡快點擊下面鏈接,登錄中國工商銀行e通道修改您的密碼。”
如果你恰好是工行的網上銀行用戶,直接點擊里面的鏈接,修改自己的銀行卡密碼,再去查詢余額時你就會發現賬戶里已經一文不剩。在沒有數字證書和U盾保護的年代,用這種方法盜取網上銀行錢財很容易得手。對每個使用網上銀行的人來說,這無疑是個噩夢。
即便是在有數字證書、U盾、動態口令卡甚至指紋認證等嚴密安全保護的現在,人們享受著網上銀行帶來的方便時,仍在為它的安全性擔心。
方便,但安全嗎?
如果為一小筆匯款或轉賬而去銀行營業廳排上幾十分鐘甚至幾小時的長隊,顯然是在謀殺自己的時間和生命。而開通網上銀行之后就可以足不出戶地完成這些操作,整個過程僅需要短短幾分鐘。然而當網上銀行的方便之門大開的時候,網絡犯罪的黑手也伸了進來。在看到很多網上銀行遭竊的新聞之后,人們不禁要問:我們的網上“錢包”是怎樣被偷的?
其實,網上銀行面臨的安全威脅只有兩種:一種是攻心,即以各種網絡詐騙、網絡釣魚等手段引誘用戶將網上銀行賬戶信息拱手讓給網絡犯罪分子;另一種是實體攻擊,通過木馬、惡意插件、后門程序等惡意程序或黑客技術竊取用戶賬號和密碼等信息。
第一種安全威脅瞄準了安全環節中最容易出問題的地方——人。本文開頭提到的情況,就是用發送垃圾郵件的方法假冒銀行工作人員以騙取用戶網上銀行信息。此外,一些網頁、下載軟件、視頻軟件和聊天軟件等彈出的中獎信息,甚至手機接收到的垃圾短信,都是在竭盡所能地騙取用戶的網上銀行信息。不過,人的因素雖然會帶來不利,但是只要加強防范意識、提高警惕,伸向網上銀行的黑手就很難得逞。
實體攻擊是最主要的安全威脅,不僅花樣繁多,而且新的攻擊手段不斷出現。這種攻擊“技術含量”很高,普通人很難應對,即便提高警惕、加強防范也很容易遭受損失,需要專業的安全技術來應對。
“盜”高一尺,“我”高一丈
針對網上銀行的攻擊手段種類繁多,新的惡意程序和黑客技術不斷出現和發展,因此,相應的安全技術也不斷地發展和完善。卡巴斯基產品部經理高瑋告訴記者:“到目前為止,針對用戶網上銀行賬戶密碼的保護措施大概有五種類型。”它們是伴隨著網上銀行的發展而發展起來的。
1999年招商銀行在國內首家啟動網上銀行的時候,基本的安全措施就是輸入賬號和密碼才可以登錄。在這種情況下,用戶賬戶信息都是明文的,而且與銀行卡的原始信息相同,黑客很容易竊取用戶的錢財。
因此,銀行又開始推出新的安全措施:第一次使用網上銀行的用戶都需要先使用銀行卡的賬號密碼去注冊,自定義一個網上銀行的賬號密碼,這就大大提高了用戶原始賬戶信息的安全性。但是黑客也發明了新的攻擊手段,高瑋說:“一種是在用戶端通過截取用戶操作時的屏幕圖像,并用key logger(鍵盤記錄器)記錄用戶鍵盤輸入來截取賬號密碼;還有一種是通過終端軟件竊取用戶進行網上銀行操作時傳輸的網絡數據,然后將其恢復為能識別的明文來竊取賬號密碼。”
對此,銀行又推出數字證書用于對傳輸過程中的數據進行加密,同時用于驗證用戶身份,通過數字證書加上密碼的形式來給用戶提供安全保護。江民科技反病毒工程師戴碩告訴記者:“最初數字證書是以軟件形式保存的,雖然也具備了PKI(公開密鑰體系)加密的特性,但是數字證書本身也就是一個普通的計算機文件,很多新的病毒木馬可以偷走證書文件,這樣一來用戶賬戶信息又得不到有效的保障。”
反病毒之路就是這樣,雙方在不斷較量中發展,道高一尺,魔高一丈。針對數字證書可以被竊取的問題,銀行又開始推廣硬件數字證書。例如工商銀行的U盾,將數字證書保存在特制的具有PKI加密功能的USB設備中,用戶進行網上銀行操作時不僅需要提供交易密碼,還需要提供USB設備的訪問密碼來讀取數字證書,以驗證用戶身份并對操作過程進行加密。
現在有的銀行還會采取其他保護措施,比如向用戶提供動態密碼卡片。國外銀行使用這個方法的比較多,一般采取雙重動態密碼,需要兩次認證才能通過,黑客基本沒有辦法對密碼進行截取。
安全不會成為絆腳石
雖然網上銀行的安全保護措施嚴密,但是百密一疏,用戶在使用網上銀行時仍會遭受各種安全威脅的侵襲。
硬件數字證書雖然很安全,但是需要安裝驅動程序,使用時還得插上USB設備,給用戶帶來不少麻煩。此外,由于Vista操作系統和很多USB設備的驅動不兼容,可能會導致其無法應用。戴碩認為,更為可怕的是,大多數網上銀行要在IE瀏覽器上進行操作,而IE允許第三方編寫插件,這使得病毒作者可以編寫特殊的BHO插件。在用戶毫不知情的情況下,這種插件可以將用戶轉給張三100元人民幣的操作修改為轉給李四1萬元,一旦用戶確認,硬件數字證書的保護也起不了作用。
此外,還有類似的方法同樣可以讓用戶蒙受損失。高瑋告訴記者:“在登錄網上銀行頁面時黑客可以將登錄的網站重新定向。很多人認為只要網址輸入正確,那么打開的網站一定會是正確的,其實不然。因為病毒或黑客可以對Windows的hosts文件進行修改,可以將銀行的域名綁定一個偽造的服務器的IP。Windows在對域名進行解析的時候會先去找hosts文件,這時用戶就會被引導到假冒的銀行網站上去。”
因此,除了銀行方面提供的安全保護之外,用戶還需要信息安全廠商提供的專業幫助。面對這種情況,信息安全廠商不斷推出新的應對之策。除了傳統的基于特征庫的反病毒模式之外,很多殺毒軟件還增加了一些其他的反病毒模塊。在安全軟件中添加隱私保護的功能,可以對用戶的安全區域進行保護,使得Windows系統安全區域內保存的數字證書和密碼等關鍵信息免遭竊取。
現在很多殺毒軟件在主動防御中都增加了一個惡意程序的定義,即鍵盤記錄器,以防止試圖記錄用戶輸入的行為。此外,大部分安全軟件融入了IE保護的模塊,可以檢查IE有沒有受到非法的改變。同時還有對用戶關鍵文件區域的監控,一旦發現某些程序或文件正在試圖修改關鍵文件,就會向用戶發出警告。
安全廠商通過不斷開發和應用新的技術和保護模塊,使得用戶網上銀行的安全可以從多個角度得到保障。雖然新的安全威脅不斷產生,但是回顧網上銀行的發展歷程,我們可以發現,新的安全技術和產品也會應勢推出來“降妖除魔”。因此,我們有理由相信,網上銀行必將是新世代銀行的一種發展趨勢,安全問題不會成為發展路上的絆腳石。
【編輯推薦】
