保護個人網銀秘訣：數字證書結合三道關

　　作者：木淼鑫

　　【賽迪網-IT技術報道】針對近年來網銀事故頻發的現象，各家銀行對網上銀行已經采取了更加嚴密的安全保障措施，首先從保障客戶資金安全角度出發，取消了以往的"賬號+密碼"的簡單模式，而普遍采用雙因素、多因素的認證手段，比如采用數字證書或動態口令等。

　　據了解，數字證書是一個包含個人身份信息的電子文件，被譽為雙方網上交易的"身份證"。目前的數字證書有數字證文件證書和移動證書USBKEY兩種形式。“我們主張網銀用戶使用移動USBKEY，它對每個用戶來說都是惟一的、不可復制的，對網銀木馬是一道最嚴密的防火牆。”銀行機構的相關人士表示。

　　在許多銀行業內人士看來，網銀安全是互相的，保護也是雙方的。在銀行不斷夯實網銀安全防線的同時，作為網銀用戶，也應變消極防御為主動出擊。對此，中國金融認證中心(CFCA)的專家給網銀用戶開了一劑好藥――“網銀安全=數字證書+ 三道關”，即采用數字證書是核心，登錄正確網站、保護個人電腦安全、保護好密碼和證書。

　　據介紹，目前的網銀黑客都是抓住用戶“軟肋”而實施攻擊的，網銀用戶必須要登錄正確的銀行網站，避免在他人發來的“交易網址”上進行網銀操作，以防止釣魚網站和惡意代碼、病毒的植入；其次要對在公共場所上網留下的信息要及時清除，以免一些地方性支付平台對個人信息的洩露；同時要切記打消貪小便宜和抱僥幸的心理。

　　銀行機構在完善自己技術和管理體系之余，只有不斷教育用戶正確、安全使用網銀服務，才能真正避免網銀安全事故的發生。

　　作者：木淼鑫

　　【賽迪網-IT技術報道】目前國內並未發生一起銀行系統被黑客入侵的事件。相對攻擊難度高、代價大的銀行系統，不法分子更多的是對使用網銀交易的終端用戶“下黑手”，網銀安全事故的發生集中在用戶對於網銀的使用過程中。

　　據了解，國內網銀目前分為大眾版和專業版兩種。“根據這兩種形態，網銀安全問題主要包括密碼安全保護和數字證書安全保護。”360安全中心的石曉虹博士表示，“一般來說，不法分子主要通過盜取網銀賬戶密碼作案、在‘肉雞’電腦上直接轉賬、充分利用網銀用戶不良使用習慣等三種手段偷錢。其中，第一種手段主要針對大眾版，而後兩種主要針對專業版。”

　　石曉虹表示：“網銀交易危機頻發的症結關鍵在於用戶的安全意識和防護措施。國內網銀用戶的安全意識普遍比較薄弱，誤認為設置復雜的密碼就可以保護網銀安全。其實利用木馬的盜竊團伙大多是偷窺到用戶的密碼，然後隨意進入受害用戶的大眾版網銀，並采用小額盜竊方式，很多用戶丟了錢可能自己並不知道。相對於安全系數較高的專業版網銀，大眾版網銀的安全隱患尤為突出。”

　　據介紹，從前不法分子主要是利用“字典攻擊”和“窮舉攻擊”破解密碼，也就是編個軟件自動試探密碼，而目標賬戶的生日和電話等身份信息也極容易成為密碼被猜透的根源。銀行安全體系為此分別在技術上和管理上進行針鋒相對的防護，比如設置網銀和銀行卡密碼輸入錯誤次數的限制。很多人更是在耳濡目染中形成了根深蒂固的觀念，認為設置復雜的密碼就足以保護賬戶安全，而事實上，目前犯罪分子的手段已經從“破解密碼”轉變成了“偷竊密碼”，在各類“肉雞”控制工具和網銀盜號木馬的面前，密碼復雜與否並沒有本質差別。

　　在石曉虹看來，不法分子用木馬盜竊網銀和用攝像頭偷窺銀行卡密碼的本質其實是一樣的：在銀行卡被盜用案例中，最為常見的是ATM機上被不法分子偷貼針孔攝像頭，一旦有人使用銀行卡取錢，密碼就會被偷錄下來。而在木馬盜取網銀的案例中，那些潛伏在用戶電腦中的木馬程序同樣具備了“攝像頭”的功能，相當於不法分子給自己裝上了“千裡眼”：用戶的鍵盤操作、電腦桌面、浏覽器的交互數據都被嚴密監控，密碼設置得再復雜也無濟於事，一旦不法分子“記錄”下了密碼，便可通過大眾版網銀以小額支付或轉賬的方式竊取錢財。

　　“相對而言，使用U盾數字證書的專業版網銀安全系數還是很高的，但用戶也必須在完成網銀操作後及時將U盾拔下來，否則對於‘灰鴿子’等‘肉雞’控制工具來說，可以直接遠程操作在受害用戶電腦上進行轉賬交易。”石曉虹提醒專業版網銀用戶也不可放松警惕：“此外，不法分子在盜取網銀時詐騙手段的使用特別活躍。在各類理財論壇中，很多用戶反饋自己被一些特價信息蒙蔽，在‘釣魚’頁面上按引導支付1元之後網銀密碼便失竊了，造成的損失通常在上千元人民幣。”