最近頻繁出現(xiàn)的山寨網(wǎng)銀�����,不少銀行因此陷入尷尬境地�,近期光大銀行又是一例。
山寨網(wǎng)站��,又名釣魚網(wǎng)站��,不法分子通過簡單的網(wǎng)頁制作技術,模仿和制作出與原銀行網(wǎng)站相仿的網(wǎng)站�,并申請相似域名。
隨后�,利用這樣的網(wǎng)站,通過短信群發(fā)的方式����,以網(wǎng)上銀行升級�����,地址更改為由����,誤導用戶進入。獲取用戶名����、密碼和動態(tài)口令等絕密信息后,轉走用戶賬戶上的存款�。
前段時間,這項威脅到用戶資金安全的網(wǎng)絡詐騙行為��,已由中國銀行蔓延到光大銀行�����。而這一切的焦點,都集中于動態(tài)口令��,這項網(wǎng)銀的安全認證技術���。
光大中招 真假網(wǎng)站難分辨
不少網(wǎng)友反映�����,收到關于光大銀行網(wǎng)銀升級的信息�����,提示客戶升級����。信息稱:"光大陽光令牌用戶�,因系統(tǒng)升級改進為確保賬戶安全請登錄www.cebbaek.com升級。"
信息全文格式正式����,短信結尾還留有光大銀行95595的客服電話,而光大銀行(CHINA EVERBRIGHT BANK)的英文縮寫CEB也是正確的。
由于短信信息中����,以確保賬戶安全的系統(tǒng)升級為理由,不少用戶接收到短信后��,較為自然地就會馬上登錄該網(wǎng)站�,去執(zhí)行所謂的系統(tǒng)升級。
而山寨光大銀行��,不論是顏色還是欄目設置�,和真正的光大銀行官網(wǎng)基本一樣,就連從該網(wǎng)站進入的文章鏈接���,也都是光大銀行官網(wǎng)網(wǎng)站的鏈接。更加難以分辨真假��。
這個騙局僅有兩個漏洞�,其一,山寨光大銀行網(wǎng)站的域名為"cebbaek.com"�����,真正的光大銀行官網(wǎng)的域名為"cebbank.com"�����,僅僅相差1個英文字母,即銀行"bank"一詞拼寫的錯誤��。
其二�����,就是發(fā)送短信并非是以95595為結尾的短息號碼�,但是,基于銀行發(fā)送短信的服務號碼以一長串數(shù)字為主�����,多數(shù)用戶并不會認真識別�����。
遭秒殺 銀行不冤被鉆漏洞
這項騙局能夠得以實施�,是因為不法分子利用了光大銀行動態(tài)口令的安全漏洞,用戶僅輸入用戶名(賬戶信息)����、密碼和動態(tài)口令信息,就能將賬戶內資金轉走�。
那么,被不法分子看上,并且費盡心力地做出這樣以假亂真的山寨銀行��,難倒是犯罪分子隨機選擇模仿的銀行嗎����?金山網(wǎng)絡工程師李鐵軍告訴記者說,"并不是如此"�����。
"現(xiàn)在是騙子們一窩蜂而上針對動態(tài)口令的網(wǎng)銀用戶實施搶劫�。"李鐵軍告訴記者說。而使用動態(tài)口令的銀行正是中國銀行��、光大銀行還有深圳發(fā)展銀行等�����,山寨網(wǎng)站集中模仿的幾家銀行�����。
所以說�����,這些銀行被山寨��,實在是因為確實有漏洞可鉆���,在安全防范措施上失效�����,進而讓用戶蒙受損失��。而這一切��,都指向"動態(tài)口令"這項安全認證技術�����。
"動態(tài)口令牌�,是一種內置電源��、密碼生成芯片和顯示屏�,根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件?����;谠搫討B(tài)密碼技術的系統(tǒng)又稱一次一密(OTP)系統(tǒng),即用戶的身份驗證密碼是變化的���,每60秒隨機更新一次��,顯示為6位數(shù)字��,密碼在使用過一次后就失效����,下次登錄時的密碼是完全不同的新密碼�。"他這樣介紹動態(tài)口令。
銀行使用動態(tài)口令�����,這種設計考慮到網(wǎng)銀賬號密碼被木馬盜取�����,不法分子異地登錄的情況���,以木馬盜取,回收動態(tài)口令����,時間超過60秒就會失效�����。
"對付山寨銀行��,動態(tài)口令并不太有效��。 "李鐵軍分析說:"動態(tài)口令每60秒隨機更新一次�����。賬號密碼和動態(tài)口令在某種情況下被他人獲得�����,在60秒內���,使用這個賬號密碼和動態(tài)口令,可以在任意一臺電腦獲得登錄網(wǎng)銀的全部權限��。"
60秒時間����,能夠讓犯罪分子完全獲取用戶信息嗎�����?李鐵軍認為����,"完全可能����,60秒,一般人看來��,時間挺短啊�����,說幾句話就過去了���。而對于蓄意攻擊的釣魚網(wǎng)站設計者來說����,完全可以人工登錄�����,或者設計一個自動登錄的程序��,在網(wǎng)民錯誤地提交賬號密碼動態(tài)口令之后的幾秒鐘內登錄網(wǎng)銀����,完成資金的轉移。"
動態(tài)口令 安全與易用之爭
既然動態(tài)口令存在這么明顯的安全漏洞��,為什么中行�、光大等銀行依然堅持采用這項安全認證技術呢?
光大銀行的相關人士無奈地告訴記者:"動態(tài)口令對于用戶來講�����,是使用最為便捷的登錄方式����,如果采用數(shù)字證書,或者移動硬盤登錄方式����。一旦數(shù)字證書損壞或者丟失,將會為用戶帶來諸多不便����,在這樣的情況下����,用戶還需要到柜臺重新辦理���。光大銀行的設計實際上����,是在最大程度地考慮網(wǎng)銀用戶使用的便捷性�。"
中國金融認證中心(CFCA)相關負責人表示:"目前網(wǎng)上銀行采用的安全認證手段主要有數(shù)字證書和動態(tài)口令兩種形式,這兩種形式各有特點���,動態(tài)口令使用起來較為便捷��,數(shù)字證書則可全方面地保障網(wǎng)銀交易的真實性���、完整性、私密性和抗抵賴性����,在我國,第三方認證服務機構發(fā)放的數(shù)字證書從技術上和管理上都受到有關部門的嚴格監(jiān)管�����,可以切實保障用戶權益。"
對于網(wǎng)上銀行的易用性和安全性����,一直都存在魚和熊掌不可兼得的情況����。不少用戶針對銀行必須使用數(shù)字證書下載,或者移動硬盤收費的問題�����,發(fā)出過抱怨����。而這樣的抱怨,主要就是對于網(wǎng)銀的易用性提出的��。
張女士最近辦了一張民生銀行的借記卡���,使用轉賬功能必須到民生銀行的柜臺簽寫協(xié)議���,申請數(shù)字證書,開通費用收取10元。
張女士僅使用兩周時間�,由于電腦出現(xiàn)問題,重新安裝了操作系統(tǒng)����。之前安裝的民生銀行網(wǎng)上銀行數(shù)字證書就失效了。在沒有備份的情況下�����,張女士必須重新到柜臺提交申請��,補辦網(wǎng)銀數(shù)字證書��。
對于張女士�����,這樣使用網(wǎng)銀帶來諸多不便�����。但是相對于安全性來講���,僅針對"山寨網(wǎng)站"這個騙局�����,數(shù)字證書的安全性明顯高于動態(tài)口令卡����。
網(wǎng)上銀行的安全與易用之爭,是困擾銀行的"玲瓏棋局"����。
移動證書是最安全的方式
近期登錄各家銀行網(wǎng)站�����,但凡使用動態(tài)口令卡作為認證技術的網(wǎng)站�,都掛出對用戶安全提示,注意防范詐騙案件�����,并提供安全策略���。
銀行的安全提示只是被動防范����,"最有效的方式是移動安全證書",對于網(wǎng)絡安全有著多年經(jīng)驗的金山網(wǎng)絡工程師李鐵軍表示����;"USBkey,是銀行柜臺發(fā)給用戶的文件型數(shù)字證書�,銀行的系統(tǒng)也是拒絕備份在本地硬盤的。這樣就最大程度避免了黑客的攻擊�。"
像山寨網(wǎng)站這樣的騙術,拿移動數(shù)字證書沒轍�,因為不法分子沒有辦法拿到有效的數(shù)字證書。
"移動型數(shù)字證書將是未來網(wǎng)銀安全的方向��,而文件型數(shù)字證書很快將被市場淘汰��。"李鐵軍對未來網(wǎng)銀技術的發(fā)展是這樣預測的����。
文件型數(shù)字證書最大的安全隱患是擔心黑客進入電腦,將證書復制走����,而移動證書本身拒絕復制到本地電腦,這也最大程度地防范了黑客的攻擊��。
李鐵軍的另一個建議是��,"網(wǎng)民使用USBkey操作完網(wǎng)銀之后,應該立即拔下USBkey��,不要在本人離開的情況下����,長時間將USBkey插在電腦上。"
