□晨报记者 刘志飞
中国互联网信息举报中心监测数据显示,近期网银盗窃侵财型案件举报数百起,特别是假冒中国银行网站大幅增加。据了解,钓鱼网站主要针对使用中行动态口令卡的网银用户。中行周三正式回应称,该行在技术、业务、法律等方面都已尽到相关业务,中行网银的安全机制完全符合监管部门的规定。业内专业表示,银行动态口令的认证方式存在一定隐患,最好采取多渠道认证方式,比如证书+动态口令+手机验证的认证方式,进一步保证网银用户的交易安全。
钓鱼网站瞄准动态口令
据了解,犯罪分子针对中行网银用户的作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中国银行网站进行升级。一旦事主登录短信内留下的假冒网站,所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取,其网银账户内款项在几分钟内被迅速转走。有媒体报道,据不完全统计,仅1月10日-20日之间,江苏省此类案件就发生上百起,浙江省也有近50起,涉案总金额巨大。
为什么犯罪分子只盯上了动态口令卡用户?所谓动态口令,也叫动态密码,就是只能使用一次的密码。每个网银用户会获配发一个钥匙扣大小的小硬件,它通过一个特定的计算方式产生一个随机密码,银行后台利用同样技术也能产生相同的密码,用户使用这个密码登录网银时,网银后台将两个密码对比,若相同则用户可以进行下一步的操作。
然而,动态口令有个致命缺陷,就是银行端可以用这个密码来辨认用户,而用户却无法使用密码来辨认自己登录的是否就是正确的网站;而且动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在一分钟内都会有效。而就是这短短的一分钟,如果你登陆的是钓鱼网站,就给不法分子提供了可乘之机。
没有绝对的安全手段
中行电子银行部相关负责人表示,犯罪分子并不是攻破了中行网银的安全机制,客户在中行门户网站上进行网银交易,安全是有保证的。但少数客户安全防范意识不强,被诱骗登录假冒网站后不加识别即输入网银认证关键信息,最终导致资金被盗——对动态密码用户而言,最怕的就是钓鱼网站。
目前业内主流的网银安全手段主要是数字证书和动态口令,前者在业内应用得更广泛。数字证书是一段包含用户身份信息的电子文件,通常被存储在UKey,比如工行的“U盾”、建设银行的“E盾”、农行的“金E顺”等。数字证书就像是用户的“网络身份证”,用户登录银行网站进行交易时,在电脑上插入Ukey,向银行亮出这个“网络身份证”后,银行就可以辨认出是否是正确的用户。即使犯罪分子通过钓鱼网站窃取了密码,只要UKey在你身上,对方也无法动用你的资金。当然,当你的UKey插在自己的电脑上的时候,不排除黑客远程控制你的电脑,利用你的电脑登陆你的网银。
所以,无论是何种安全方式都有一个前提,就是客户要正确使用。否则,就相当于客户自己把防盗门的钥匙交给了不法分子。而事实上,在客户被骗的情况下,所有安全措施都很难发挥作用。
网银安全还要靠自己
针对近期发生的网络诈骗案件,中行加强了客户防诈骗提示公告及安全教育,并进一步增加了技术控制手段,增加了手机交易码短信认证。
手机认证是今年网银安全的一种新兴技术,每次涉及大额支付或转账时,除了提供支付密码外,用户还必须输入银行发送至手机的动态密码,此动态密码每次均不同,所以即使钓鱼网站获取支付密码和动态密码,也无法登陆进网银用户的网站,目前交通银行的网银就有手机注册版,而诸如平安、招行等信用卡支付网关也会增加手机短信确认的步骤。
不过,技术不是万能的。专家表示,除了银行方面的努力,还有赖于用户的安全风险意识和行为。如要养成保管好私密信息的习惯,不在网吧、酒吧等场所上网;登录网银时,一定要核对自己所登录的网址与自己和银行签订的协议书中的法定网址是否一致;每次使用网银后及时退出。现在银行为保护客户资金安全,尤其是网上转账、支付这一块,都设了很多限额,用户可设定限额,可根据使用需要,对额度进行控制。有的银行对网上转账和支付分两个限额,都可自己控制,在网点上调高、调低都可以,但互联网上只能调低。