扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
网络时代改变了大众的生活方式,也改变了金融服务的含义。网上银行因其功能全面、全天候、低成本、方便快捷等优点,越来越被广大用户所接受,人们的日常生活也越来越多地涉及到网上支付、转账等服务。然而,就在银行为客户提供便利的网银服务时,网络交易风险也随之产生。近年来,一些不法分子将目光盯向了网上银行个人用户,他们通过假邮件、假网站、木马病毒,以及蓄意诈骗等欺诈手法,窃取用户个人信息,进而盗取客户账户资金。在3.15消费者权益日来临之际,本报推出网银安全特别策划,希望能对广大网银用户有所裨益。
技术篇:
鉴于当前网络上欺诈消费者的“钓鱼网站”等手段层出不穷,他们究竟是通过什么技术方法达到牟利目的的呢,采访了深圳徽剑网络顾问机构创始人——网络专家徽剑先生。
据徽剑先生介绍,现在网络上常见的欺诈手法是先做一个页面跟真正银行网站很类似的网站(这种仿冒网站在技术上制作起来非常简单,高手只要几个小时就能够完成。虽然银行网站有很多链接,不可能面面俱到,但一般只要几个主页面像就可以了,关键是几个输入用户名和密码的页面,其他页面可以连接到真的网站上去),在域名上也采用非常接近银行的域名,然后用模拟银行的客户服务邮箱给用户发邮件,提示用户您的网上银行出现问题,这样用户就会输入自己的账号和密码。为让用户进入那个假网站,通常有两种方式,一种是邮件采用HTML格式,里面就是一个完全仿真的网上银行界面,有用户名和密码的输入框;另一种是给一个和真的银行网址很相似的网址,用户一不小心就点上了。
网络欺诈者制作“钓鱼网站”的最终目的是要把他人账户上的金额变现,所以一旦盗取了用户的卡号和密码他就可登陆网上银行,然后进行转账。通常这边一转,那边就马上提款,等到用户发现问题向银行举报,银行想冻结账户已经来不及了。虽然现在去银行开户要检验身份证,但有一种假身份证,是用被盗或者丢失的第一代身份证,然后用技术手段换掉里面的照片,这样的证件银行很难查验出来。而且国家没有禁止第一代身份证流通,用第一代身份证开户是合法的。于是,那些网络欺诈者花几百块钱买一个假身份证,等到转账变现后就弃而不用,这样银行也就很难查到他本人了。
除了用邮件通知的方式,还有就是注册一个跟真银行很相似的域名,放在网络上,用户搜索银行网站,一不小心就进到这里来了。
对于目前银行开发的一些网络安全工具,像电子口令卡、短信通知等,徽剑先生认为这些手段确实起到了很好的作用,但是还有一种方式,就是利用木马来盗取用户的资料,比如木马可以截取用户输入的指令,可以复制用户的安全文件,可以读取用户电子口令卡上的数据,然后加以复制,再来盗取。即使现在很多网上银行的密码输入是用鼠标在屏幕键盘上直接点取,也只能防范键盘钩子这样的窃取手段,而屏幕上的键盘也还是计算机数据,只要木马从内存里面截取了这个数据,破译也不是难事。徽剑先生认为,目前在国内相比较而言,招商银行在网银安全方面做的最好,招行的账号被盗取的次数也最少。
银行防范篇:
一向以创新闻名的招商银行最早在国内大力推广网络银行,可以说它是国内网络银行的鼻祖。招行网银在业内一直是享有盛名,它的个人网上银行“一网通”已经成为该银行的招牌业务,一直受到网民们的喜爱,也成为其他网上银行追赶的对象。而安全性是网络银行最大的考核要素,在这方面招行也是颇下功夫,位于深南大道上的招商银行大厦,请招商总行零售银行部副总经理胡滔女士介绍银行方面保障用户网络资金安全的防范措施。
据了解,招商银行多年来不断推出各种业务和技术的安全措施,形成了网上银行全方位、多层次的保障,倾力打造了 “一网通网盾”网上银行安全体系。这套体系包括专业版系统、存放在“优 KEY”上的新型移动数字证书、支付限额控制、新用户保护期、登录界面密码安全控件、动态验证码、交易短信和邮件通知、能识别假网站和伪冒邮件的 “一网通网盾”安全软件等多项安全措施,在虚拟世界为用户组成一面庞大而坚强的防护盾,保证其资金安全。
招行个人网上银行分为大众版和专业版,表面上看两者只是功能大小不同,但其本质区别在于安全级别:大众版无需数字安全证书,专业版则必须申请并安装了数字安全证书才能使用。大众版的好处是无需到柜台办理任何手续以及不收取任何费用,只要你手中有招行一卡通,即可在线进行操作,使得广大用户可以方便地体验网上银行。但是大众版有一定的安全隐患,所以招商银行只为客户提供本人账户下的功能,包括账户查询、本人名下账户之间的转帐、本人名下的基金和理财产品的购买等。
招行网银专业版功能强大,采用证书+客户端,安全性极高。办理专业版,需要用户带着一卡通银行卡和本人身份证到柜台申请,申请完成后会获得一个授权码,凭此在电脑上登陆并注册,会有一个“安全证书”保存在这台电脑上。每次登录专业版,该软件都会对你的证书信息进行在线认证,以确保不是他人冒用(没有证书是无法登录的)。招行网银证书是不允许备份在直接备份在硬盘上,只能备份U盘、移动硬盘等设备上,这也是为了网银的安全性考虑,以防他人漏取证书。有证书以及客户端存在,别人如果想盗用你存款,就首先要知道网络银行的登陆密码,掌握安装有证书的电脑,同时还要知道取款密码。另外,专业版证书分成“优key”移动数字证书和文件证书两种,可以说,招行现在的网络银行安全性相对是较高的。
除了数字证书的保障外,在登录专业版时,招行会强制客户关闭浏览器远程终端选项才能启动,因此不必担心被黑客远程操纵。此外,刚开通完毕的网银专业版还不具备网上支付功能,需要我们手工开启这项功能。在我们开启某项功能时,专业版都需要你提供验证信息,这样即使万一账号被盗也不会有太大的损失。比如,用户可以在设置“每日交易限额”一项中,根据自身需求设定一个每日允许支付的数额,这项功能也能够在一定程度上保证我们的存款安全,假设网络欺诈者进入了你的专业版网银进行消费,他每天最多只能消费你所设置的金额。如果你将限额设置得很低,那么即使账号被黑,损失也不会很严重。
用户篇:
网上银行作为一个新生事物,必然要经历不断完善的发展过程。总体而言,以招行网银为代表的国内各大网络银行已经为用户提供了较充分的安全保障,消费者在尽情享受网上支付带给我们便利和乐趣的同时只要保持一定的警觉意识,正确使用网银服务,就大可不必害怕上当乃至因噎废食。
对广大用户而言,安全使用网上银行关键是保护好银行账号和密码的信息,一旦泄露,银行资金极可能被盗用,因此,一定妥善保管账号和密码是安全使用网上银行业务前提条件。
首先,要坚决抵制任何通过电子邮件、短信、电话、弹出网页等方式索要账号、密码或身份证的行为。银行不会通过邮件形式要求客户办理密码重置、修改电话、以及跨行转账和账户冻结要求激活账户等业务,这类业务均要求客户自己通过银行提供柜面、电话或网站上办理相关业务。如果你不小心输入了相关账户信息,要尽快通过银行客服电话、营业网点、或网上银行办理修改密码或紧急挂失,以确保账户资金安全。在这方面如果能记住银行的客服信箱和正确网址当然最好,现在招行开发了一款名叫“网盾”的软件,客户可以到招行主网站或招行大众版、专业版下载,可以轻松验证网站的真伪;
其次,为了防范木马病毒,要下载并安装由银行提供的用于保护客户端安全的控件,保护卡号和密码不被窃取。定期下载安装最新的操作系统和浏览器安全程序或补丁,打开Windows XP自带的防火墙,关闭远程功能。不要使用盗版反病毒软件和防火墙软件,须用正版相关软件,并及时升级更新。避免让太多人使用你的个人电脑,长时间无人操作电脑时,中断计算机网络联接或关机。使用网上银行的电脑不作为资料、文件共享等类型的服务器。网银的文件证书不要备份在电脑硬盘或邮箱中,不要在网吧、图书馆等在公共场所的电脑上使用网上银行。上网购物时要选择知名度较高的购物网站,如无意购买或只想试用,请不要留下个人资料。
关于网银的安全措施还有很多,各银行的情况也不尽相同,所以建议网银用户详细了解所属银行的相关说明,规范使用,为自己账户的平安增添最重的砝码。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。