网上银行的实际安全性究竟如何

ZDNet安全频道原创翻译 转载请注明作者以及出处

在读了一篇评论文章后，笔者开始改变对网上银行的认识了。你或许想知道原因是什么。
--------------------------------------------------------------------------------------------

　　在《黑客挫败双因素安全保护》中，揭示出了一个严重的安全问题。文章指出，网络犯罪行为已经开始变得非常复杂。实际上，犯罪软件(crimeware)这个新词就是用来形容他们的成果的。

　　犯罪软件

　　根据维基百科的解释，犯罪软件是一种以盗取用户个人信息以实现自动从网上银行不正当地窃取金钱的犯罪行为为目的而制作的恶意软件。

　　“犯罪软件(有别于间谍软件、广告软件和恶意软件)是被设计(通过社会化工程或隐形技术)用来进行身份盗窃活动，以获取计算机用户的上在网上银行和在线零售业务帐户，同时通过未经授权的交易从这些账户中获取资金或完成偷窃行为的犯罪控制软件。”

　　50万美元

　　我一直在思考导致一家加利福尼亚建筑公司费尔马44.7万美元被盗事件的原因。为了避免产生混淆，首先我要指出，案发后，法医计算机专家经过技术分析确定费尔马使用的一台计算机被未公开的犯罪软件感染。显然，感染发生在访问某个网站时。以下是感染的发生过程：

　　1、一名费尔马员工登陆到网上银行的帐户中。

　　2、网站通过包含6位数字的一次性代码进行二次验证。

　　3、在验证通过后，该员工开始支付费用。

　　4、与此同时，该犯罪软件通过27次转帐将总额44.7万美元的资金转移到其它帐户上。

　　看起来，在这种情况下并没有监测到犯罪软件的存在。我并不怀疑这一点，如果该代码是有效的，就可以确定该帐户有44.7万美元的限制，并自动控制转帐使交易达到这一数额。

　　多因子认证

　　关于该事件的报道中，有人认为这属于多因子认证模式的一个失败案例。我不同意这种观点。多因子认证模式已经迫使网络犯罪分子延长战线到获取帐户连接上了。这里确实存在问题，坏家伙再次找到了一种回避方法。

　　解决方案

　　专家们提供了各种解决办法，来对现有制度进行强化。下面就是一些例子：

　　² 设立一台只能用于访问银行门户网站的专门终端。

　　² 用户在登陆到银行门户网站中进行交易的时间，对使用一次性密码的每笔交易进行确认。

　　² 在用户退出网上银行的时间，使用reCAPTCHA确认每一次转帐。

　　问题的真正关键

　　在我看来，上述解决方案都没有抓住重点。这台计算机已经被感染了，所有已知的危险都可能出现了。否则的话，就不会发生犯罪行为了。我们又回到了老问题，试图领先坏家伙。好吧，其实真正的情况更象是要赶上他们。

　　我的解决方案

　　对于在线信用卡交易，我选择为每笔业务都使用一次性密码。不过，由于不知道这一新犯罪软件的功能有多强大，所以，我的方法可能也存在风险。

　　我的银行并没有使用真正的多因子认证模式。他们认为安全问题是一个次要因素，但它们并不是。我也会被提醒批准交易，但并没有一次性密码的限制。所以我的身份验证过程的安全性还不如费尔马的银行。

　　我计划从现在开始，使用LiveCD环境处理任何形式的网上银行业务或零售交易。这样，我就可以确保操作系统不会受到损害。这是一个痛苦的决定，但在当前时间，我不认为存在任何有效的其它解决方法。

　　最后的思考

　　归根结底，对计算机的信任导致了恶意软件的流行。我不希望冒一冒险。如果你有更好的解决方案，请告诉我。