【51CTO.com 综合消息】与传统的商业银行相比,网络银行具有许多竞争优势,主要体现在方便快捷、成本领先、个性化服务、信息积累和市场发现等方面。
《Netguide 2007中国互联网调查报告》显示,2003-2006年,企业网上银行用户数从33万增长到84万,同期个人用户数从810万增长到6500万。随着安全技术的进步、电子商务的发展,个人网上银行将会取得较快的进展,近几年中国网上银行市场规模保持高速增长,而2007年则出现加速增长的态势。全年网上银行用户数涨幅达54.7%,而交易量更是有100.8%的增长。预计2010年用户数将有望超亿。
网银安全吗?这是网银用户最关心的问题,也是制约网银业务发展的关键性问题。“如果您的网银采用我们的动态口令卡很安全,如果采用Usb key那就绝对安全,如果使用动态口令卡+Usb key的话。。。,我看没那个必要”,银行小姐如是说。甚至更有银行放出狠话“如果谁能破解我行网银采用**的**,将获奖励**万元”。上述话音未落,**银行的网银用户**先生呆呆的问道:“为何我的网银采用了Usb key,怎么还被盗了n万元呢,这是为什么呢?”,“你的机器中了木马,与银行无关,况且这种情况纯属个案,不具有代表性,网银还是很安全的”,就是!这么明白的道理还问,地球人都知道。但君不见“**网银维权联盟”中那些受害者无助、欲哭无泪的经历欲与何人诉说。
“一般我自己能办到的事从来不求别人”----求人不如求己,因此我们应该完善自己关于网银安全方面的知识。做到知其然并知其所以然,进而才能做到防患于未然。接下来我们将逐步剖析网银客户端的安全现状。
己
“知己知彼”方能百战不殆,下面我们就先看看网银所采用的几种主要技术手段:
文件数字证书:本地硬盘存储的ie数字证书等,容易被窃取且远控木马容易控制装有文件证书的电脑进行伪造交易。
传输加密:HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层。SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。
Usb Key:移动数字证书,里面保存着数字证书和用户私钥。
软键盘:动态弹出键盘,利用鼠标输入防止击键记录。
图形验证码:防范暴力破解密码或者恶意登录。
返回确认图片:一些银行为了防止木马修改交易数据采取的一种安全技术手段,交易时由服务器返回带有交易信息和验证码的图片,用户确认交易信息后输入验证码完成交易。
安全控件:防止木马通过击键记录和ie的com接口获取密码等重要信息。
动态口令:一次一密,理论上木马即使获得密码也无用。包括动态口令卡和口令牌等。
驱动保护:为了防止击键记录所采用的驱动层技术手段,有破坏系统稳定性的隐患。
彼
网银客户端虽然在安全方面力所能及的做了很多努力,但“道高一尺,魔高一丈”,网银大盗们夜以继日的挖掘着网银的安全漏洞。“功夫不负有心人”对谁都是公平的。
你有“金钟罩”,他会“挖地道”,什么“动态软键盘”、“安全控件”,木马制作者只需“见招拆招”。分析javascript软键盘的加密过程,反其道而行之,动态软键盘迎刃而解;“安全控件”采用各种消息钩子,甚至使用键盘过滤驱动拦截键盘输入,但键盘过滤驱动就是最底层的拦截吗?答案是否定的。
我有“动态口令”,一次一密,看你“小马”怎么办。哦,这样啊,但那些“网银大盗”也不是吃“干饭”的。假设你用动态口令卡在输入动态口令后被木马截获、木马随后关闭ie,结束你的交易过程,然后“养马人”在远程伪造交易结果会怎样呢?“不可能,我会让你随机输入动态口令的”,“真是每次都随机吗?不尽然吧!”,“网银”的脸有些红了。“我还有动态口令牌,定时会改变动态口令,可以达到随机了吧”,但是假如你的时间间隔够长,网银大盗的手够快,结果又会怎样呢?网银无语了。
“我有杀手锏---Usb key,没招了吧”;“是人都会犯错误的,假如你的主人没有及时将Usb key取走,“养马人”是否就可以远程控制它,需要身份认证时喂它正常的数据,它也应该吐出想要的验证数据呢?”。
上述一些隐患可以认为只是在认证阶段,但假如木马绕过认证阶段,对交易的数据进行修改,例如你要转帐给张三,而你所看到的所有可见信息包括确认信息、交易查询信息都是正常的,可结果钱却转给了李四,不用疑惑“这是为什么呢?”。一定是木马拦截了你的网银通信数据,在ssl等加密措施前将相应张三的数据改为李四,再修改用户所见数据欺骗你的眼睛。无论是基于ie的b/s客户端还是招行的c/s客户端其实它们都是“一样一样的”。
一些银行的服务器会返回一个含有重要交易信息和确认码的图片,确认码智能识别确实是个难题,但木马为什么这么做呢?它完全可以将交易信息抹掉,再配以欺骗性的提示,结果会怎样呢?甚至木马制作者完全可以采取相对“笨拙”的手段在远程控制端雇佣几个“民工”专门负责识别木马发来的验证码,然后返回识别后的结果进行伪造,相信“庞大”的“木马帝国”有这样的能力和财力。
防
1.严防“李鬼”:
登录网上银行时,须核对登录网址与自己同银行签订的协议书中的网址是否相符。要避免使用搜索引擎等第三方途径登录网银,以防落入一些假网银网址设下的陷阱。同时警惕电子邮件链接。网银一般不会通过电子邮件发出“系统维护、升级”提示,若遇重大事件,系统会暂停服务,银行会提前公告。一旦发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。
充分利用银行提供的一些防钓鱼手段,如预留信息、登陆次数及相关信息提示,甚至还有的银行提供了钓鱼网站检测的小工具。
2.定期检查详细交易记录
做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻。结合网银的详细交易记录,确认没有被木马伪造、篡改交易。可能的话可以选择非进行交易的电脑进行查询,防止交易机被木马控制后会篡改网银交易信息使网银用户不能查询真实交易信息。
3.充分利用银行提供的附加增值服务
现在很多银行都提供了交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态,反正大多数是免费,但有些服务可能需要网银用户申请开通。
4.尽量使用“干净”的系统
可能的话,网银用户尽量使用“干净”、专用的系统进行网银操作,为Windows系统打开自动更新功能,及时更新补丁程序;专用的机器可能有些不切实际,但可以采用“干净”的虚拟机代替。同时切记不要在公用电脑(如网吧的)上进行网银操作,那里是木马、病毒的“温床”。
5. 安装杀毒软件
尽管现在的杀毒软件还是以“特征码”查毒为主,多有诟病,但毕竟可以对那些“登记造册”有案底的病毒、木马起到查杀和防范作用,聊胜于无。况且现在的主要杀毒软件厂商还在主动防御方面都号称有所突破和创新。我们还可以结合一些银行为防范网银木马通过杀软公司定制的专用小工具或者360安全卫士等一些免费工具在网银操作前查杀木马。
6.Usb Key注意事项
没事的时候不要将Usb Key接入电脑,只在交易时候进行接入。交易时接入Usb Key,输入pin码完成交易后,立即将Usb Key取走。
存于硬盘的文件数字证书较容易被窃取,有些银行已经开始弃用。所以建议网银用户不要采用此种方式。
瞻
由于Windows等平台的不可信性,决定了基于其上的网银客户端安全性不可能得到根本的保障,只能不断通过技术手段增强其安全性,增加其被破解的难度。若要从根本上解决网银的安全问题,必须借助一个相对安全、可信的第三方。
基于手机的解决方案:手机的普及及其相对安全的特性使其具有了成为可信第三方硬件的可能,而且现在很多银行都在业务上有对手机短信的使用。银行服务端只需在网银用户进行到交易确认步骤时,给用户注册的手机返回主要交易信息(如转帐业务中转入帐号、转入金额等)以及一个用于完成交易的确认码,用户确认交易信息无误并输入确认码后才能正确完成交易。这样基本可以杜绝在客户端利用信息伪造进行网银盗窃。但现在几乎所有的银行都没有采用这种方式,可能是基于成本或者短信实时性方面还不完善等方面的考虑。
基于带有显示屏、确认键的Usb Key:通过Usb Key中足够安全的加密我们可以假设从Usb Key输出的内容是安全的,那么如何保证输入信息的真实性和用户的可参与性则成为网银安全的关键。显示屏用来将用户通过客户端输入的内容真实的显示出来,用户完成交易信息确认后通过Usb Key的确认键完成交易。这样也可以有效的防止交易信息的伪造。
值得庆幸的是金融行业已经开始出现了带有显示屏、确认键的二代Usb Key的网银系统,尽管还处于内测阶段,相信不久就会正式面市,其价格肯定会比一代Usb Key贵些,应该在百元左右,尽管价格不菲,如果其安全性果如其然,对进行频繁网银业务或者大额网银业务的用户还是物有所值的。
鉴于成本等方面的考虑,未来的网银的安全手段不可能在短时间内出现某种技术一枝独秀、一统天下的局面,“裸奔”(只依赖计算机安全)的用户、动态口令用户、Usb Key用户等诸侯割据的局面还会在相当长的一段时间内共存,网银用户可以根据自己对安全性的不同需求进行相应的选择。