“客户安全须知:尊敬的×××先生,您好!我们是中国工商银行网银安全科。由于您的账号在网上银行登录,输入错误密码次数过多,可能您的账号和密码被不法分子盗用,近日已临时冻结您的账户。请您尽快点击下面链接,登录中国工商银行e通道修改您的密码。”
如果你恰好是工行的网上银行用户,直接点击里面的链接,修改自己的银行卡密码,再去查询余额时你就会发现账户里已经一文不剩。在没有数字证书和U盾保护的年代,用这种方法盗取网上银行钱财很容易得手。对每个使用网上银行的人来说,这无疑是个噩梦。
即便是在有数字证书、U盾、动态口令卡甚至指纹认证等严密安全保护的现在,人们享受着网上银行带来的方便时,仍在为它的安全性担心。
方便,但安全吗?
如果为一小笔汇款或转账而去银行营业厅排上几十分钟甚至几小时的长队,显然是在谋杀自己的时间和生命。而开通网上银行之后就可以足不出户地完成这些操作,整个过程仅需要短短几分钟。然而当网上银行的方便之门大开的时候,网络犯罪的黑手也伸了进来。在看到很多网上银行遭窃的新闻之后,人们不禁要问:我们的网上“钱包”是怎样被偷的?
其实,网上银行面临的安全威胁只有两种:一种是攻心,即以各种网络诈骗、网络钓鱼等手段引诱用户将网上银行账户信息拱手让给网络犯罪分子;另一种是实体攻击,通过木马、恶意插件、后门程序等恶意程序或黑客技术窃取用户账号和密码等信息。
第一种安全威胁瞄准了安全环节中最容易出问题的地方——人。本文开头提到的情况,就是用发送垃圾邮件的方法假冒银行工作人员以骗取用户网上银行信息。此外,一些网页、下载软件、视频软件和聊天软件等弹出的中奖信息,甚至手机接收到的垃圾短信,都是在竭尽所能地骗取用户的网上银行信息。不过,人的因素虽然会带来不利,但是只要加强防范意识、提高警惕,伸向网上银行的黑手就很难得逞。
实体攻击是最主要的安全威胁,不仅花样繁多,而且新的攻击手段不断出现。这种攻击“技术含量”很高,普通人很难应对,即便提高警惕、加强防范也很容易遭受损失,需要专业的安全技术来应对。
“盗”高一尺,“我”高一丈
针对网上银行的攻击手段种类繁多,新的恶意程序和黑客技术不断出现和发展,因此,相应的安全技术也不断地发展和完善。卡巴斯基产品部经理高玮告诉记者:“到目前为止,针对用户网上银行账户密码的保护措施大概有五种类型。”它们是伴随着网上银行的发展而发展起来的。
1999年招商银行在国内首家启动网上银行的时候,基本的安全措施就是输入账号和密码才可以登录。在这种情况下,用户账户信息都是明文的,而且与银行卡的原始信息相同,黑客很容易窃取用户的钱财。
因此,银行又开始推出新的安全措施:第一次使用网上银行的用户都需要先使用银行卡的账号密码去注册,自定义一个网上银行的账号密码,这就大大提高了用户原始账户信息的安全性。但是黑客也发明了新的攻击手段,高玮说:“一种是在用户端通过截取用户操作时的屏幕图像,并用key logger(键盘记录器)记录用户键盘输入来截取账号密码;还有一种是通过终端软件窃取用户进行网上银行操作时传输的网络数据,然后将其恢复为能识别的明文来窃取账号密码。”
对此,银行又推出数字证书用于对传输过程中的数据进行加密,同时用于验证用户身份,通过数字证书加上密码的形式来给用户提供安全保护。江民科技反病毒工程师戴硕告诉记者:“最初数字证书是以软件形式保存的,虽然也具备了PKI(公开密钥体系)加密的特性,但是数字证书本身也就是一个普通的计算机文件,很多新的病毒木马可以偷走证书文件,这样一来用户账户信息又得不到有效的保障。”
反病毒之路就是这样,双方在不断较量中发展,道高一尺,魔高一丈。针对数字证书可以被窃取的问题,银行又开始推广硬件数字证书。例如工商银行的U盾,将数字证书保存在特制的具有PKI加密功能的USB设备中,用户进行网上银行操作时不仅需要提供交易密码,还需要提供USB设备的访问密码来读取数字证书,以验证用户身份并对操作过程进行加密。
现在有的银行还会采取其他保护措施,比如向用户提供动态密码卡片。国外银行使用这个方法的比较多,一般采取双重动态密码,需要两次认证才能通过,黑客基本没有办法对密码进行截取。
安全不会成为绊脚石
虽然网上银行的安全保护措施严密,但是百密一疏,用户在使用网上银行时仍会遭受各种安全威胁的侵袭。
硬件数字证书虽然很安全,但是需要安装驱动程序,使用时还得插上USB设备,给用户带来不少麻烦。此外,由于Vista操作系统和很多USB设备的驱动不兼容,可能会导致其无法应用。戴硕认为,更为可怕的是,大多数网上银行要在IE浏览器上进行操作,而IE允许第三方编写插件,这使得病毒作者可以编写特殊的BHO插件。在用户毫不知情的情况下,这种插件可以将用户转给张三100元人民币的操作修改为转给李四1万元,一旦用户确认,硬件数字证书的保护也起不了作用。
此外,还有类似的方法同样可以让用户蒙受损失。高玮告诉记者:“在登录网上银行页面时黑客可以将登录的网站重新定向。很多人认为只要网址输入正确,那么打开的网站一定会是正确的,其实不然。因为病毒或黑客可以对Windows的hosts文件进行修改,可以将银行的域名绑定一个伪造的服务器的IP。Windows在对域名进行解析的时候会先去找hosts文件,这时用户就会被引导到假冒的银行网站上去。”
因此,除了银行方面提供的安全保护之外,用户还需要信息安全厂商提供的专业帮助。面对这种情况,信息安全厂商不断推出新的应对之策。除了传统的基于特征库的反病毒模式之外,很多杀毒软件还增加了一些其他的反病毒模块。在安全软件中添加隐私保护的功能,可以对用户的安全区域进行保护,使得Windows系统安全区域内保存的数字证书和密码等关键信息免遭窃取。
现在很多杀毒软件在主动防御中都增加了一个恶意程序的定义,即键盘记录器,以防止试图记录用户输入的行为。此外,大部分安全软件融入了IE保护的模块,可以检查IE有没有受到非法的改变。同时还有对用户关键文件区域的监控,一旦发现某些程序或文件正在试图修改关键文件,就会向用户发出警告。
安全厂商通过不断开发和应用新的技术和保护模块,使得用户网上银行的安全可以从多个角度得到保障。虽然新的安全威胁不断产生,但是回顾网上银行的发展历程,我们可以发现,新的安全技术和产品也会应势推出来“降妖除魔”。因此,我们有理由相信,网上银行必将是新世代银行的一种发展趋势,安全问题不会成为发展路上的绊脚石。
【编辑推荐】
