来源:投资者报 作者:李雅琪 发布时间:2011年03月14日
最近频繁出现的山寨网银,不少银行因此陷入尴尬境地,近期光大银行又是一例。
山寨网站,又名钓鱼网站,不法分子通过简单的网页制作技术,模仿和制作出与原银行网站相仿的网站,并申请相似域名。
随后,利用这样的网站,通过短信群发的方式,以网上银行升级,地址更改为由,误导用户进入。获取用户名、密码和动态口令等绝密信息后,转走用户账户上的存款。
前段时间,这项威胁到用户资金安全的网络诈骗行为,已由中国银行蔓延到光大银行。而这一切的焦点,都集中于动态口令,这项网银的安全认证技术。
光大中招 真假网站难分辨
不少网友反映,收到关于光大银行网银升级的信息,提示客户升级。信息称:"光大阳光令牌用户,因系统升级改进为确保账户安全请登录www.cebbaek.com升级。"
信息全文格式正式,短信结尾还留有光大银行95595的客服电话,而光大银行(CHINA EVERBRIGHT BANK)的英文缩写CEB也是正确的。
由于短信信息中,以确保账户安全的系统升级为理由,不少用户接收到短信后,较为自然地就会马上登录该网站,去执行所谓的系统升级。
而山寨光大银行,不论是颜色还是栏目设置,和真正的光大银行官网基本一样,就连从该网站进入的文章链接,也都是光大银行官网网站的链接。更加难以分辨真假。
这个骗局仅有两个漏洞,其一,山寨光大银行网站的域名为"cebbaek.com",真正的光大银行官网的域名为"cebbank.com",仅仅相差1个英文字母,即银行"bank"一词拼写的错误。
其二,就是发送短信并非是以95595为结尾的短息号码,但是,基于银行发送短信的服务号码以一长串数字为主,多数用户并不会认真识别。
遭秒杀 银行不冤被钻漏洞
这项骗局能够得以实施,是因为不法分子利用了光大银行动态口令的安全漏洞,用户仅输入用户名(账户信息)、密码和动态口令信息,就能将账户内资金转走。
那么,被不法分子看上,并且费尽心力地做出这样以假乱真的山寨银行,难倒是犯罪分子随机选择模仿的银行吗?金山网络工程师李铁军告诉记者说,"并不是如此"。
"现在是骗子们一窝蜂而上针对动态口令的网银用户实施抢劫。"李铁军告诉记者说。而使用动态口令的银行正是中国银行、光大银行还有深圳发展银行等,山寨网站集中模仿的几家银行。
所以说,这些银行被山寨,实在是因为确实有漏洞可钻,在安全防范措施上失效,进而让用户蒙受损失。而这一切,都指向"动态口令"这项安全认证技术。
"动态口令牌,是一种内置电源、密码生成芯片和显示屏,根据专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密(OTP)系统,即用户的身份验证密码是变化的,每60秒随机更新一次,显示为6位数字,密码在使用过一次后就失效,下次登录时的密码是完全不同的新密码。"他这样介绍动态口令。
银行使用动态口令,这种设计考虑到网银账号密码被木马盗取,不法分子异地登录的情况,以木马盗取,回收动态口令,时间超过60秒就会失效。
"对付山寨银行,动态口令并不太有效。 "李铁军分析说:"动态口令每60秒随机更新一次。账号密码和动态口令在某种情况下被他人获得,在60秒内,使用这个账号密码和动态口令,可以在任意一台电脑获得登录网银的全部权限。"
60秒时间,能够让犯罪分子完全获取用户信息吗?李铁军认为,"完全可能,60秒,一般人看来,时间挺短啊,说几句话就过去了。而对于蓄意攻击的钓鱼网站设计者来说,完全可以人工登录,或者设计一个自动登录的程序,在网民错误地提交账号密码动态口令之后的几秒钟内登录网银,完成资金的转移。"
动态口令 安全与易用之争
既然动态口令存在这么明显的安全漏洞,为什么中行、光大等银行依然坚持采用这项安全认证技术呢?
光大银行的相关人士无奈地告诉记者:"动态口令对于用户来讲,是使用最为便捷的登录方式,如果采用数字证书,或者移动硬盘登录方式。一旦数字证书损坏或者丢失,将会为用户带来诸多不便,在这样的情况下,用户还需要到柜台重新办理。光大银行的设计实际上,是在最大程度地考虑网银用户使用的便捷性。"
中国金融认证中心(CFCA)相关负责人表示:"目前网上银行采用的安全认证手段主要有数字证书和动态口令两种形式,这两种形式各有特点,动态口令使用起来较为便捷,数字证书则可全方面地保障网银交易的真实性、完整性、私密性和抗抵赖性,在我国,第三方认证服务机构发放的数字证书从技术上和管理上都受到有关部门的严格监管,可以切实保障用户权益。"
对于网上银行的易用性和安全性,一直都存在鱼和熊掌不可兼得的情况。不少用户针对银行必须使用数字证书下载,或者移动硬盘收费的问题,发出过抱怨。而这样的抱怨,主要就是对于网银的易用性提出的。
张女士最近办了一张民生银行的借记卡,使用转账功能必须到民生银行的柜台签写协议,申请数字证书,开通费用收取10元。
张女士仅使用两周时间,由于电脑出现问题,重新安装了操作系统。之前安装的民生银行网上银行数字证书就失效了。在没有备份的情况下,张女士必须重新到柜台提交申请,补办网银数字证书。
对于张女士,这样使用网银带来诸多不便。但是相对于安全性来讲,仅针对"山寨网站"这个骗局,数字证书的安全性明显高于动态口令卡。
网上银行的安全与易用之争,是困扰银行的"玲珑棋局"。
移动证书是最安全的方式
近期登录各家银行网站,但凡使用动态口令卡作为认证技术的网站,都挂出对用户安全提示,注意防范诈骗案件,并提供安全策略。
银行的安全提示只是被动防范,"最有效的方式是移动安全证书",对于网络安全有着多年经验的金山网络工程师李铁军表示;"USBkey,是银行柜台发给用户的文件型数字证书,银行的系统也是拒绝备份在本地硬盘的。这样就最大程度避免了黑客的攻击。"
像山寨网站这样的骗术,拿移动数字证书没辙,因为不法分子没有办法拿到有效的数字证书。
"移动型数字证书将是未来网银安全的方向,而文件型数字证书很快将被市场淘汰。"李铁军对未来网银技术的发展是这样预测的。
文件型数字证书最大的安全隐患是担心黑客进入电脑,将证书复制走,而移动证书本身拒绝复制到本地电脑,这也最大程度地防范了黑客的攻击。
李铁军的另一个建议是,"网民使用USBkey操作完网银之后,应该立即拔下USBkey,不要在本人离开的情况下,长时间将USBkey插在电脑上。"
专题推荐
为加强对网络借贷信息中介机构业务活动的监督管理,促进网络借贷行业健康发展,依据《中华人民共和国民法通则》、《中华人民共和国公司法》、《中华人民共和国合同法》等法律法规,中国银监会、工业…[详情]