網(wǎng)銀安全缺陷與預防策略

時間:2022-05-28 03:39:00

導語:網(wǎng)銀安全缺陷與預防策略一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)銀安全缺陷與預防策略

網(wǎng)絡銀行(以下稱網(wǎng)銀)是由各銀行為方便用戶進行余額查詢、交易查詢、轉(zhuǎn)賬以及付款等操作而開通的網(wǎng)站[1]。網(wǎng)絡銀行也被稱為“移動的銀行營業(yè)廳”。截至目前,很多銀行都已經(jīng)開通了網(wǎng)銀業(yè)務。各個銀行的網(wǎng)銀所提供的業(yè)務大同小異,但是其使用的安全技術(shù)卻存在較大差異。中國銀行、中國建設銀行、中國工商銀行和中國農(nóng)業(yè)銀行并稱為四大國有銀行,它們采取了不同的安全機制來保證用戶資金的安全和網(wǎng)銀業(yè)務的順利進行[2]。

1網(wǎng)絡銀行現(xiàn)在使用的安全技術(shù)

1.1中國銀行

中國銀行推出2種網(wǎng)銀產(chǎn)品,即查詢版網(wǎng)銀產(chǎn)品和動態(tài)口令牌網(wǎng)銀產(chǎn)品。查詢版網(wǎng)銀只可對關(guān)聯(lián)的賬戶進行資金查詢和交易查詢操作,功能有限但是非常安全;動態(tài)口令牌網(wǎng)銀產(chǎn)品支持涉及資金變動的操作。

1.1.1中國銀行的主要安全技術(shù)

中國銀行主要采用動態(tài)口令牌的安全技術(shù)。動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法自動更新動態(tài)口令的硬件,每60秒隨機更新一個密碼。其使用方法十分簡單,在登錄網(wǎng)銀或者轉(zhuǎn)賬時,用戶只要根據(jù)提示輸入動態(tài)口令牌當前顯示的動態(tài)口令即可。在其他安全措施上,中國銀行采用了短信登錄、安全控件防范、短信提醒、預留“歡迎信息”以及交易限額控制等方法。從資金變動業(yè)務來看,中國銀行使用三道身份認證來保證用戶網(wǎng)銀中的資金安全[3]。

(1)第一道身份認證。登錄中國銀行網(wǎng)銀時使用的用戶名和密碼構(gòu)成了第一道身份認證。用戶名(6~20位數(shù)字和英文字母)和密碼(8~20位數(shù)字和英文字母)是只有用戶才能掌握的信息,用戶名和密碼不匹配則無法登錄。

(2)第二道身份認證。若用戶進行涉及資金變動操作的業(yè)務,則需選擇“動態(tài)口令登錄”,此時動態(tài)口令牌所顯示的動態(tài)密碼構(gòu)成第二道身份認證要件。

(3)第三道身份認證。在用戶使用中國網(wǎng)銀進行轉(zhuǎn)賬時,網(wǎng)銀會再次要求用戶輸入動態(tài)口令密碼和交易密碼,動態(tài)口令密碼是隨機產(chǎn)生的,交易密碼是用戶在銀行柜臺設定的,這次身份驗證構(gòu)成了賬戶安全的最后一道重要屏障。

1.1.2中國銀行網(wǎng)銀安全小結(jié)

中國銀行網(wǎng)銀安全小結(jié)內(nèi)容見表1。

1.2中國建設銀行

中國建設銀行提供兩種網(wǎng)銀產(chǎn)品,即動態(tài)口令卡(區(qū)別于動態(tài)口令牌)網(wǎng)銀產(chǎn)品和U盾網(wǎng)銀產(chǎn)品,2種產(chǎn)品都能夠進行資金變動業(yè)務[4]。中國建設銀行不提供單純查詢版的網(wǎng)銀產(chǎn)品。

1.2.1動態(tài)口令卡技術(shù)的網(wǎng)銀產(chǎn)品

動態(tài)口令卡是在辦理業(yè)務時,銀行交給用戶的密碼口令卡。每張卡覆蓋有30個不同的密碼,每次轉(zhuǎn)賬使用一個,按照次序進行。比如用戶按次序使用第12個密碼時,只需刮開使用即可。然后數(shù)字證書配合動態(tài)口令卡,即可完成轉(zhuǎn)賬等涉及資金變動的操作。需要注意的是,這個動態(tài)密碼不是隨機產(chǎn)生的,而是已經(jīng)“固定”下來了。動態(tài)口令卡使用2道身份認證來保證支付賬戶的資金安全。

(1)第一道身份認證。中國建設銀行的身份證號碼和密碼認證構(gòu)成了第一道身份認證。相對于銀行賬戶和密碼的登錄方式,該方式更有利于增強用戶的安全性。同時,登錄界面使用圖形鍵盤的方式輸入密碼,在一定程度上能夠防范鍵盤記錄木馬的盜取。

(2)第二道身份認證。數(shù)字證書和動態(tài)口令卡中的口令構(gòu)成了第二道身份認證。數(shù)字證書是一個加密文檔,當用戶在銀行柜臺開通該項業(yè)務后,可在一周之內(nèi)登錄網(wǎng)站下載數(shù)字證書,數(shù)字證書具有唯一性和不可偽造性;動態(tài)口令卡中的密碼也是一次一變;交易密碼是用戶在柜臺辦理時設定的。

1.2.2U盾技術(shù)的網(wǎng)銀產(chǎn)品

U盾則是使用獨立的物理介質(zhì)和U盾密碼來保證網(wǎng)銀安全。U盾大小、形狀都類似于U盤,由用戶保管。當用戶辦理U盾后,轉(zhuǎn)賬之前首先要在計算機上安裝相應的U盾管理軟件。在用戶進行轉(zhuǎn)賬時,U盾要插在計算機上。轉(zhuǎn)賬的時候不僅要輸入交易密碼,也要輸入U盾密碼。同樣,U盾類型的網(wǎng)銀產(chǎn)品需要經(jīng)過2道身份認證才可以進行涉及資金變動交易。

(1)第一道身份認證。和動態(tài)口令卡網(wǎng)銀產(chǎn)品一樣,使用身份證號碼和登錄密碼作為第一道身份認證。

(2)第二道身份認證。U構(gòu)成盾第二道身份認證的要件。使用U盾進行資金變動時,需同時滿足3個條件:一是U盾必須要插入用戶的計算機中,同時要確保計算機已經(jīng)安裝U盾客戶端管理軟件;二是轉(zhuǎn)賬或者支付時必須輸入交易密碼,該密碼是用戶在銀行柜臺設定的;三是必須輸入U盾的密碼。3個條件缺一不可。

1.2.3中國建設銀行網(wǎng)銀安全小結(jié)

中國建設銀行網(wǎng)銀安全小結(jié)內(nèi)容見表2。

1.3中國農(nóng)業(yè)銀行

中國農(nóng)業(yè)銀行發(fā)行2種網(wǎng)銀產(chǎn)品,一種是動態(tài)口令卡網(wǎng)銀產(chǎn)品,一種是飛天誠信K寶網(wǎng)銀產(chǎn)品,兩種產(chǎn)品的各自功能和特點與中國建設銀行的動態(tài)口令卡和U盾基本類似[5]。中國農(nóng)業(yè)銀行的動態(tài)口令卡不是一碼一刮的,而是隨機出現(xiàn)的,轉(zhuǎn)賬的時候會出現(xiàn)類似于H3B4這樣的序列,用戶查詢口令卡即可輸入相應密碼。

1.4中國工商銀行

中國工商銀行同樣提供動態(tài)口令卡和動態(tài)口令牌兩種形式的網(wǎng)銀身份認證方式[6]。動態(tài)口令卡類似于農(nóng)業(yè)銀行的動態(tài)口令卡,動態(tài)口令牌類似于中國銀行的動態(tài)口令牌。

2四大銀行網(wǎng)銀存在的安全隱患

2.1網(wǎng)銀存在的安全隱患

2.1.1數(shù)字證書存在被他人提早下載的漏洞

用戶在銀行柜臺開通網(wǎng)銀后,如果他人獲得了用戶賬戶和密碼,就可能搶在用戶之前登錄網(wǎng)銀網(wǎng)站,搶先注冊并下載數(shù)字證書。雖然這樣并不一定導致用戶的資金被盜,但這畢竟是危險的“窗口期”[7]。

2.1.2動態(tài)口令卡存在被竊取的安全威脅

口令卡至少有2個安全威脅:一是有的口令卡在表膜沒有刮開的情況下就可以透過保護層看到密碼,只要用強光照射即可;二是如果動態(tài)口令卡采取的“固定的”動態(tài)密碼而不是隨機產(chǎn)生的,例如中國建設銀行的動態(tài)口令卡,那么用戶登錄了釣魚網(wǎng)站或者遭遇瀏覽器劫持,就可能將真實的動態(tài)密碼提交給他人。

2.1.3數(shù)字證書存在被竊取的安全威脅

數(shù)字證書是配合動態(tài)密碼共同使用的一項重要的安全保護措施,但是該文件是存放在計算機中的,因此也就存在被竊取的可能。早在2004年,木馬Tro-janSpy.Banker.s和TrojanSpy.Banker.t就能準確識別用戶銀行系統(tǒng)保存證書的整個流程,并且自動偷取口令,復制證書文件[8]。

2.1.4U盾存在被

“遠程調(diào)用”的安全威脅U盾作為獨立物理介質(zhì)更安全,但當用戶的計算機被遠程控制(例如QQ遠程協(xié)助、遠程控制木馬)時,插在計算機上的U盾則成為了其他人盜取用戶網(wǎng)銀的“鑰匙”。當然,網(wǎng)銀網(wǎng)站是無法甄別出用戶的U盾是否遭遇冒用。

2.2四大銀行的網(wǎng)銀安全漏洞

從網(wǎng)銀產(chǎn)品的安全漏洞角度,可以整理出不同網(wǎng)銀產(chǎn)品存在的安全威脅,如表3所示。

3黑客盜取網(wǎng)銀的方法

3.1使用綜合性木馬盜取網(wǎng)銀

綜合性木馬是指包含鍵盤記錄、屏幕查看、遠程控制等多種功能的木馬。使用綜合性木馬可以盜取U盾系列的網(wǎng)銀產(chǎn)品。盜取機理:使用鍵盤記錄功能記錄下用戶登錄銀行的用戶名、密碼、交易密碼和U盾密碼,如果用戶使用屏幕鍵盤則采取觀察屏幕的方式獲??;利用用戶U盾插入計算機的機會,遠程控制用戶計算機盜取網(wǎng)銀。

3.2使用網(wǎng)銀木馬盜取網(wǎng)銀

網(wǎng)銀木馬盜取網(wǎng)銀的效率更高。盜取機理:這類木馬會自動檢測用戶瀏覽網(wǎng)頁的網(wǎng)址,一旦出現(xiàn)網(wǎng)銀網(wǎng)址就會啟動鍵盤記錄,記錄賬號、密碼、交易密碼等,并同時盜取用戶計算機中的數(shù)字證書發(fā)至黑客郵箱。一些網(wǎng)銀木馬還利用瀏覽器劫持技術(shù)在正常的網(wǎng)銀頁面中彈出“內(nèi)嵌式”釣魚網(wǎng)站頁面,要求用戶輸入動態(tài)口令密碼所有排列組合。

3.3使用釣魚網(wǎng)站盜取網(wǎng)銀

黑客創(chuàng)建高度仿真的網(wǎng)站,然后通過搜索引擎、門戶網(wǎng)站、釣魚郵件、欺騙短信等方式誘使用戶訪問。盜取機理:一旦用戶信以為真,就會將自己真實的賬號和各種密碼主動提交給釣魚網(wǎng)站,對于隨機產(chǎn)生口令的動態(tài)口令卡;使用坐標輪回技術(shù)或者直接誘騙用戶輸入全部序列口令卡的方式獲取。

3.4使用瀏覽器劫持盜取網(wǎng)銀

盜取機理:盜取思路非常簡單,就是替換支付頁面,用戶購買商品正常情況下應當支付A頁面賬單,但是黑客使用瀏覽器劫持技術(shù)將支付頁面替換成為B,由于支付頁面中沒有收款人姓名只有訂單號碼,用戶不察的話就容易上當。

4網(wǎng)銀安全的重要法則

4.1安全法則

保證網(wǎng)銀的安全并非難事,只要做到以下幾點就足可以保證網(wǎng)銀的安全[9]。

(1)使用安全的網(wǎng)銀產(chǎn)品。建議使用U盾或者動態(tài)口令牌,不建議使用動態(tài)口令卡[10]。在使用網(wǎng)銀轉(zhuǎn)賬時,注意在需要插入U盾的時候插入,完成轉(zhuǎn)賬后應立即拔出。

(2)必須使用短信驗證。短信驗證信息無疑是黑客無法獲取的信息,因此短信驗證能夠幫助用戶建立一道堅固的安全屏障。

(3)準確記住網(wǎng)銀的正確網(wǎng)址、付款時確認收款人姓名。準確記住網(wǎng)銀的正確網(wǎng)址,手工輸入是最穩(wěn)妥的方法。在付款環(huán)節(jié)一定要查清收款人的姓名,在電子商務支付時一定要看清訂單的金額。

(4)各種類密碼應不同。用戶的登錄密碼、交易密碼、U盾密碼、數(shù)字證書安裝驗證密碼等諸密碼要保證碼碼不同。

(5)開啟系統(tǒng)防火墻并且不允許例外。為了防止黑客利用木馬控制計算機,在計算機無其他對外服務程序的情況下,可以將系統(tǒng)防火墻打開并且選擇“不允許例外”,這樣,由于系統(tǒng)就會拒絕對外部提供服務,從而導致木馬失效,杜絕了黑客遠程控制計算機的可能。

4.2網(wǎng)銀盜取的防范措施總結(jié)

5網(wǎng)銀安全的其他注意事項

為了保證網(wǎng)銀的安全,除了要遵守網(wǎng)絡安全的重要法則外,還需要注意以下幾個方面:

(1)使用專用網(wǎng)銀賬戶??梢允褂眯沦~戶并開通網(wǎng)銀,堅持“花多少、存多少”的原則,避免大金額損失。

(2)使用短信通知。綁定賬戶的手機短信通知可以及時了解賬戶的金額變化,以便采取掛失、凍結(jié)賬號等及時措施。

(3)定期查詢賬單明細。定期查詢賬單明細,可以防止盜取者“螞蟻搬家”式的盜取行為。

(4)堅持圖形鍵盤密碼。在輸入密碼時,如果有圖形鍵盤則盡量使用圖形鍵盤。因為圖形鍵盤相對于輸入鍵盤安全性高。

(5)不在公共計算機上使用網(wǎng)銀。除非特別需要,不要在公共計算機上使用網(wǎng)銀。

(6)及時對系統(tǒng)進行更新維護,定期掃描殺毒。及時進行系統(tǒng)更新,及時更新殺毒軟件病毒庫,定期進行掃描殺毒,查殺木馬。

(7)使用網(wǎng)銀的安全控件。各個網(wǎng)銀的安全控件對于保護密碼、防止木馬入侵具有一定的保護作用,應當正確使用,保證網(wǎng)銀安全。