網(wǎng)銀安全缺陷與預(yù)防策略

時間:2022-05-28 03:39:00

導(dǎo)語:網(wǎng)銀安全缺陷與預(yù)防策略一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)銀安全缺陷與預(yù)防策略

網(wǎng)絡(luò)銀行(以下稱網(wǎng)銀)是由各銀行為方便用戶進(jìn)行余額查詢、交易查詢、轉(zhuǎn)賬以及付款等操作而開通的網(wǎng)站[1]。網(wǎng)絡(luò)銀行也被稱為“移動的銀行營業(yè)廳”。截至目前,很多銀行都已經(jīng)開通了網(wǎng)銀業(yè)務(wù)。各個銀行的網(wǎng)銀所提供的業(yè)務(wù)大同小異,但是其使用的安全技術(shù)卻存在較大差異。中國銀行、中國建設(shè)銀行、中國工商銀行和中國農(nóng)業(yè)銀行并稱為四大國有銀行,它們采取了不同的安全機(jī)制來保證用戶資金的安全和網(wǎng)銀業(yè)務(wù)的順利進(jìn)行[2]。

1網(wǎng)絡(luò)銀行現(xiàn)在使用的安全技術(shù)

1.1中國銀行

中國銀行推出2種網(wǎng)銀產(chǎn)品,即查詢版網(wǎng)銀產(chǎn)品和動態(tài)口令牌網(wǎng)銀產(chǎn)品。查詢版網(wǎng)銀只可對關(guān)聯(lián)的賬戶進(jìn)行資金查詢和交易查詢操作,功能有限但是非常安全;動態(tài)口令牌網(wǎng)銀產(chǎn)品支持涉及資金變動的操作。

1.1.1中國銀行的主要安全技術(shù)

中國銀行主要采用動態(tài)口令牌的安全技術(shù)。動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法自動更新動態(tài)口令的硬件,每60秒隨機(jī)更新一個密碼。其使用方法十分簡單,在登錄網(wǎng)銀或者轉(zhuǎn)賬時,用戶只要根據(jù)提示輸入動態(tài)口令牌當(dāng)前顯示的動態(tài)口令即可。在其他安全措施上,中國銀行采用了短信登錄、安全控件防范、短信提醒、預(yù)留“歡迎信息”以及交易限額控制等方法。從資金變動業(yè)務(wù)來看,中國銀行使用三道身份認(rèn)證來保證用戶網(wǎng)銀中的資金安全[3]。

(1)第一道身份認(rèn)證。登錄中國銀行網(wǎng)銀時使用的用戶名和密碼構(gòu)成了第一道身份認(rèn)證。用戶名(6~20位數(shù)字和英文字母)和密碼(8~20位數(shù)字和英文字母)是只有用戶才能掌握的信息,用戶名和密碼不匹配則無法登錄。

(2)第二道身份認(rèn)證。若用戶進(jìn)行涉及資金變動操作的業(yè)務(wù),則需選擇“動態(tài)口令登錄”,此時動態(tài)口令牌所顯示的動態(tài)密碼構(gòu)成第二道身份認(rèn)證要件。

(3)第三道身份認(rèn)證。在用戶使用中國網(wǎng)銀進(jìn)行轉(zhuǎn)賬時,網(wǎng)銀會再次要求用戶輸入動態(tài)口令密碼和交易密碼,動態(tài)口令密碼是隨機(jī)產(chǎn)生的,交易密碼是用戶在銀行柜臺設(shè)定的,這次身份驗證構(gòu)成了賬戶安全的最后一道重要屏障。

1.1.2中國銀行網(wǎng)銀安全小結(jié)

中國銀行網(wǎng)銀安全小結(jié)內(nèi)容見表1。

1.2中國建設(shè)銀行

中國建設(shè)銀行提供兩種網(wǎng)銀產(chǎn)品,即動態(tài)口令卡(區(qū)別于動態(tài)口令牌)網(wǎng)銀產(chǎn)品和U盾網(wǎng)銀產(chǎn)品,2種產(chǎn)品都能夠進(jìn)行資金變動業(yè)務(wù)[4]。中國建設(shè)銀行不提供單純查詢版的網(wǎng)銀產(chǎn)品。

1.2.1動態(tài)口令卡技術(shù)的網(wǎng)銀產(chǎn)品

動態(tài)口令卡是在辦理業(yè)務(wù)時,銀行交給用戶的密碼口令卡。每張卡覆蓋有30個不同的密碼,每次轉(zhuǎn)賬使用一個,按照次序進(jìn)行。比如用戶按次序使用第12個密碼時,只需刮開使用即可。然后數(shù)字證書配合動態(tài)口令卡,即可完成轉(zhuǎn)賬等涉及資金變動的操作。需要注意的是,這個動態(tài)密碼不是隨機(jī)產(chǎn)生的,而是已經(jīng)“固定”下來了。動態(tài)口令卡使用2道身份認(rèn)證來保證支付賬戶的資金安全。

(1)第一道身份認(rèn)證。中國建設(shè)銀行的身份證號碼和密碼認(rèn)證構(gòu)成了第一道身份認(rèn)證。相對于銀行賬戶和密碼的登錄方式,該方式更有利于增強(qiáng)用戶的安全性。同時,登錄界面使用圖形鍵盤的方式輸入密碼,在一定程度上能夠防范鍵盤記錄木馬的盜取。

(2)第二道身份認(rèn)證。數(shù)字證書和動態(tài)口令卡中的口令構(gòu)成了第二道身份認(rèn)證。數(shù)字證書是一個加密文檔,當(dāng)用戶在銀行柜臺開通該項業(yè)務(wù)后,可在一周之內(nèi)登錄網(wǎng)站下載數(shù)字證書,數(shù)字證書具有唯一性和不可偽造性;動態(tài)口令卡中的密碼也是一次一變;交易密碼是用戶在柜臺辦理時設(shè)定的。

1.2.2U盾技術(shù)的網(wǎng)銀產(chǎn)品

U盾則是使用獨立的物理介質(zhì)和U盾密碼來保證網(wǎng)銀安全。U盾大小、形狀都類似于U盤,由用戶保管。當(dāng)用戶辦理U盾后,轉(zhuǎn)賬之前首先要在計算機(jī)上安裝相應(yīng)的U盾管理軟件。在用戶進(jìn)行轉(zhuǎn)賬時,U盾要插在計算機(jī)上。轉(zhuǎn)賬的時候不僅要輸入交易密碼,也要輸入U盾密碼。同樣,U盾類型的網(wǎng)銀產(chǎn)品需要經(jīng)過2道身份認(rèn)證才可以進(jìn)行涉及資金變動交易。

(1)第一道身份認(rèn)證。和動態(tài)口令卡網(wǎng)銀產(chǎn)品一樣,使用身份證號碼和登錄密碼作為第一道身份認(rèn)證。

(2)第二道身份認(rèn)證。U構(gòu)成盾第二道身份認(rèn)證的要件。使用U盾進(jìn)行資金變動時,需同時滿足3個條件:一是U盾必須要插入用戶的計算機(jī)中,同時要確保計算機(jī)已經(jīng)安裝U盾客戶端管理軟件;二是轉(zhuǎn)賬或者支付時必須輸入交易密碼,該密碼是用戶在銀行柜臺設(shè)定的;三是必須輸入U盾的密碼。3個條件缺一不可。

1.2.3中國建設(shè)銀行網(wǎng)銀安全小結(jié)

中國建設(shè)銀行網(wǎng)銀安全小結(jié)內(nèi)容見表2。

1.3中國農(nóng)業(yè)銀行

中國農(nóng)業(yè)銀行發(fā)行2種網(wǎng)銀產(chǎn)品,一種是動態(tài)口令卡網(wǎng)銀產(chǎn)品,一種是飛天誠信K寶網(wǎng)銀產(chǎn)品,兩種產(chǎn)品的各自功能和特點與中國建設(shè)銀行的動態(tài)口令卡和U盾基本類似[5]。中國農(nóng)業(yè)銀行的動態(tài)口令卡不是一碼一刮的,而是隨機(jī)出現(xiàn)的,轉(zhuǎn)賬的時候會出現(xiàn)類似于H3B4這樣的序列,用戶查詢口令卡即可輸入相應(yīng)密碼。

1.4中國工商銀行

中國工商銀行同樣提供動態(tài)口令卡和動態(tài)口令牌兩種形式的網(wǎng)銀身份認(rèn)證方式[6]。動態(tài)口令卡類似于農(nóng)業(yè)銀行的動態(tài)口令卡,動態(tài)口令牌類似于中國銀行的動態(tài)口令牌。

2四大銀行網(wǎng)銀存在的安全隱患

2.1網(wǎng)銀存在的安全隱患

2.1.1數(shù)字證書存在被他人提早下載的漏洞

用戶在銀行柜臺開通網(wǎng)銀后,如果他人獲得了用戶賬戶和密碼,就可能搶在用戶之前登錄網(wǎng)銀網(wǎng)站,搶先注冊并下載數(shù)字證書。雖然這樣并不一定導(dǎo)致用戶的資金被盜,但這畢竟是危險的“窗口期”[7]。

2.1.2動態(tài)口令卡存在被竊取的安全威脅

口令卡至少有2個安全威脅:一是有的口令卡在表膜沒有刮開的情況下就可以透過保護(hù)層看到密碼,只要用強(qiáng)光照射即可;二是如果動態(tài)口令卡采取的“固定的”動態(tài)密碼而不是隨機(jī)產(chǎn)生的,例如中國建設(shè)銀行的動態(tài)口令卡,那么用戶登錄了釣魚網(wǎng)站或者遭遇瀏覽器劫持,就可能將真實的動態(tài)密碼提交給他人。

2.1.3數(shù)字證書存在被竊取的安全威脅

數(shù)字證書是配合動態(tài)密碼共同使用的一項重要的安全保護(hù)措施,但是該文件是存放在計算機(jī)中的,因此也就存在被竊取的可能。早在2004年,木馬Tro-janSpy.Banker.s和TrojanSpy.Banker.t就能準(zhǔn)確識別用戶銀行系統(tǒng)保存證書的整個流程,并且自動偷取口令,復(fù)制證書文件[8]。

2.1.4U盾存在被

“遠(yuǎn)程調(diào)用”的安全威脅U盾作為獨立物理介質(zhì)更安全,但當(dāng)用戶的計算機(jī)被遠(yuǎn)程控制(例如QQ遠(yuǎn)程協(xié)助、遠(yuǎn)程控制木馬)時,插在計算機(jī)上的U盾則成為了其他人盜取用戶網(wǎng)銀的“鑰匙”。當(dāng)然,網(wǎng)銀網(wǎng)站是無法甄別出用戶的U盾是否遭遇冒用。

2.2四大銀行的網(wǎng)銀安全漏洞

從網(wǎng)銀產(chǎn)品的安全漏洞角度,可以整理出不同網(wǎng)銀產(chǎn)品存在的安全威脅,如表3所示。

3黑客盜取網(wǎng)銀的方法

3.1使用綜合性木馬盜取網(wǎng)銀

綜合性木馬是指包含鍵盤記錄、屏幕查看、遠(yuǎn)程控制等多種功能的木馬。使用綜合性木馬可以盜取U盾系列的網(wǎng)銀產(chǎn)品。盜取機(jī)理:使用鍵盤記錄功能記錄下用戶登錄銀行的用戶名、密碼、交易密碼和U盾密碼,如果用戶使用屏幕鍵盤則采取觀察屏幕的方式獲取;利用用戶U盾插入計算機(jī)的機(jī)會,遠(yuǎn)程控制用戶計算機(jī)盜取網(wǎng)銀。

3.2使用網(wǎng)銀木馬盜取網(wǎng)銀

網(wǎng)銀木馬盜取網(wǎng)銀的效率更高。盜取機(jī)理:這類木馬會自動檢測用戶瀏覽網(wǎng)頁的網(wǎng)址,一旦出現(xiàn)網(wǎng)銀網(wǎng)址就會啟動鍵盤記錄,記錄賬號、密碼、交易密碼等,并同時盜取用戶計算機(jī)中的數(shù)字證書發(fā)至黑客郵箱。一些網(wǎng)銀木馬還利用瀏覽器劫持技術(shù)在正常的網(wǎng)銀頁面中彈出“內(nèi)嵌式”釣魚網(wǎng)站頁面,要求用戶輸入動態(tài)口令密碼所有排列組合。

3.3使用釣魚網(wǎng)站盜取網(wǎng)銀

黑客創(chuàng)建高度仿真的網(wǎng)站,然后通過搜索引擎、門戶網(wǎng)站、釣魚郵件、欺騙短信等方式誘使用戶訪問。盜取機(jī)理:一旦用戶信以為真,就會將自己真實的賬號和各種密碼主動提交給釣魚網(wǎng)站,對于隨機(jī)產(chǎn)生口令的動態(tài)口令卡;使用坐標(biāo)輪回技術(shù)或者直接誘騙用戶輸入全部序列口令卡的方式獲取。

3.4使用瀏覽器劫持盜取網(wǎng)銀

盜取機(jī)理:盜取思路非常簡單,就是替換支付頁面,用戶購買商品正常情況下應(yīng)當(dāng)支付A頁面賬單,但是黑客使用瀏覽器劫持技術(shù)將支付頁面替換成為B,由于支付頁面中沒有收款人姓名只有訂單號碼,用戶不察的話就容易上當(dāng)。

4網(wǎng)銀安全的重要法則

4.1安全法則

保證網(wǎng)銀的安全并非難事,只要做到以下幾點就足可以保證網(wǎng)銀的安全[9]。

(1)使用安全的網(wǎng)銀產(chǎn)品。建議使用U盾或者動態(tài)口令牌,不建議使用動態(tài)口令卡[10]。在使用網(wǎng)銀轉(zhuǎn)賬時,注意在需要插入U盾的時候插入,完成轉(zhuǎn)賬后應(yīng)立即拔出。

(2)必須使用短信驗證。短信驗證信息無疑是黑客無法獲取的信息,因此短信驗證能夠幫助用戶建立一道堅固的安全屏障。

(3)準(zhǔn)確記住網(wǎng)銀的正確網(wǎng)址、付款時確認(rèn)收款人姓名。準(zhǔn)確記住網(wǎng)銀的正確網(wǎng)址,手工輸入是最穩(wěn)妥的方法。在付款環(huán)節(jié)一定要查清收款人的姓名,在電子商務(wù)支付時一定要看清訂單的金額。

(4)各種類密碼應(yīng)不同。用戶的登錄密碼、交易密碼、U盾密碼、數(shù)字證書安裝驗證密碼等諸密碼要保證碼碼不同。

(5)開啟系統(tǒng)防火墻并且不允許例外。為了防止黑客利用木馬控制計算機(jī),在計算機(jī)無其他對外服務(wù)程序的情況下,可以將系統(tǒng)防火墻打開并且選擇“不允許例外”,這樣,由于系統(tǒng)就會拒絕對外部提供服務(wù),從而導(dǎo)致木馬失效,杜絕了黑客遠(yuǎn)程控制計算機(jī)的可能。

4.2網(wǎng)銀盜取的防范措施總結(jié)

5網(wǎng)銀安全的其他注意事項

為了保證網(wǎng)銀的安全,除了要遵守網(wǎng)絡(luò)安全的重要法則外,還需要注意以下幾個方面:

(1)使用專用網(wǎng)銀賬戶。可以使用新賬戶并開通網(wǎng)銀,堅持“花多少、存多少”的原則,避免大金額損失。

(2)使用短信通知。綁定賬戶的手機(jī)短信通知可以及時了解賬戶的金額變化,以便采取掛失、凍結(jié)賬號等及時措施。

(3)定期查詢賬單明細(xì)。定期查詢賬單明細(xì),可以防止盜取者“螞蟻搬家”式的盜取行為。

(4)堅持圖形鍵盤密碼。在輸入密碼時,如果有圖形鍵盤則盡量使用圖形鍵盤。因為圖形鍵盤相對于輸入鍵盤安全性高。

(5)不在公共計算機(jī)上使用網(wǎng)銀。除非特別需要,不要在公共計算機(jī)上使用網(wǎng)銀。

(6)及時對系統(tǒng)進(jìn)行更新維護(hù),定期掃描殺毒。及時進(jìn)行系統(tǒng)更新,及時更新殺毒軟件病毒庫,定期進(jìn)行掃描殺毒,查殺木馬。

(7)使用網(wǎng)銀的安全控件。各個網(wǎng)銀的安全控件對于保護(hù)密碼、防止木馬入侵具有一定的保護(hù)作用,應(yīng)當(dāng)正確使用,保證網(wǎng)銀安全。