1、网上银行作为一种全新的银行客户服务提交渠道,使客户在享受银行提供的服务时不受时间、空间的限制,因此,近几年各商业银行的网上银行业务发展迅速。据 CFCA中国网上银行调查报告显示,个人网银用户比例为 276 ,企业网银则替代了 603的柜台业务。网银业务高速发展的同时,安全性始终是用户与银行的关注重点。一、网络银行现在使用的安全技术以中国建设银行为例,它提供两种网银产品,即动态口令卡(区别于动态口令牌)网银产品和盾网银产品,种产品都能够进行资金变动业务。中国建设银行不提供单纯查询版的网银产品。动态口令卡技术的网银产品动态口令卡是在办理业务时,银行交给用户的密码口令卡。每张卡覆盖有个不同的密码,每
2、次转账使用一个,按照次序进行。比如用户按次序使用第个密码时,只需刮开使用即可。然后数字证书配合动态口令卡,即可完成转账等涉及资金变动的操作。需要注意的是,这个动态密码不是随机产生的,而是已经“固定”下来了。动态口令卡使用道身份认证来保证支付账户的资金安全。()第一道身份认证。中国建设银行的身份证号码和密码认证构成了第一道身份认证。相对于银行账户和密码的登录方式,该方式更有利于增强用户的安全性。同时,登录界面使用图形键盘的方式输入密码,在一定程度上能够防范键盘记录木马的盗取。()第二道身份认证。数字证书和动态口令卡中的口令构成了第二道身份认证。数字证书是一个加密文档,当用户在银行柜台开通该项业务
3、后,可在一周之内登录网站下载数字证书,数字证书具有唯一性和不可伪造性;动态口令卡中的密码也是一次一变;交易密码是用户在柜台办理时设定的。盾技术的网银产品盾则是使用独立的物理介质和盾密码来保证网银安全。盾大小、形状都类似于盘,由用户保管。当用户办理盾后,转账之前首先要在计算机上安装相应的盾管理软件。在用户进行转账时,盾要插在计算机上。转账的时候不仅要输入交易密码,也要输入盾密码。同样,盾类型的网银产品需要经过道身份认证才可以进行涉及资金变动交易。()第一道身份认证。和动态口令卡网银产品一样,使用身份证号码和登录密码作为第一道身份认证。()第二道身份认证。构成盾第二道身份认证的要件。使用盾进行资金
4、变动时,需同时满足个条件:一是盾必须要插入用户的计算机中,同时要确保计算机已经安装盾客户端管理软件;二是转账或者支付时必须输入交易密码,该密码是用户在银行柜台设定的;三是必须输入盾的密码。个条件缺一不可。二、网络银行存在的问题数字证书存在被他人提早下载的漏洞用户在银行柜台开通网银后,如果他人获得了用户账户和密码,就可能抢在用户之前登录网银网站,抢先注册并下载数字证书。虽然这样并不一定导致用户的资金被盗,但这毕竟是危险的“窗口期”动态口令卡存在被窃取的安全威胁口令卡至少有个安全威胁:一是有的口令卡在表膜没有刮开的情况下就可以透过保护层看到密码,只要用强光照射即可;二是如果动态口令卡采取的“固定的
5、”动态密码而不是随机产生的,例如中国建设银行的动态口令卡,那么用户登录了钓鱼网站或者遭遇浏览器劫持,就可能将真实的动态密码提交给他人。数字证书存在被窃取的安全威胁数字证书是配合动态密码共同使用的一项重要的安全保护措施,但是该文件是存放在计算机中的,因此也就存在被窃取的可能。早在年,木马和就能准确识别用户银行系统保存证书的整个流程,并且自动偷取口令,复制证书文件。盾存在被冒用的风险“远程调用”的安全威胁盾作为独立物理介质更安全,但当用户的计算机被远程控制(例如远程协助、远程控制木马)时,插在计算机上的盾则成为了其他人盗取用户网银的“钥匙”。当然,网银网站是无法甄别出用户的盾是否遭遇冒用。三、黑客
6、盗取网银的方法使用综合性木马盗取网银综合性木马是指包含键盘记录、屏幕查看、远程控制等多种功能的木马。使用综合性木马可以盗取盾系列的网银产品。盗取机理:使用键盘记录功能记录下用户登录银行的用户名、密码、交易密码和盾密码,如果用户使用屏幕键盘则采取观察屏幕的方式获取;利用用户盾插入计算机的机会,远程控制用户计算机盗取网银。使用网银木马盗取网银网银木马盗取网银的效率更高。盗取机理:这类木马会自动检测用户浏览网页的网址,一旦出现网银网址就会启动键盘记录,记录账号、密码、交易密码等,并同时盗取用户计算机中的数字证书发至黑客邮箱。一些网银木马还利用浏览器劫持技术在正常的网银页面中弹出“内嵌式”钓鱼网站页面
7、,要求用户输入动态口令密码所有排列组合。使用钓鱼网站盗取网银黑客创建高度仿真的网站,然后通过搜索引擎、门户网站、钓鱼邮件、欺骗短信等方式诱使用户访问。盗取机理:一旦用户信以为真,就会将自己真实的账号和各种密码主动提交给钓鱼网站,对于随机产生口令的动态口令卡;使用坐标轮回技术或者直接诱骗用户输入全部序列口令卡的方式获取。使用浏览器劫持盗取网银盗取机理:盗取思路非常简单,就是替换支付页面,用户购买商品正常情况下应当支付页面账单,但是黑客使用浏览器劫持技术将支付页面替换成为,由于支付页面中没有收款人姓名只有订单号码,用户不察的话就容易上当。各商业银行由于自身业务系统的差异,对网银系统应用架构会有不同的设计,但基本的技术构成是类似的,其各部分的功能也相似。四、如何防范网银业务的高技术性、无纸化和瞬时性的特点,决定了其经营风险要高于实体银行业务,而技术风险又是网银风险的核心内容,也是金融机构和广大客户最为关注的问题,这些技术风险主要包括交易主体的身份识别、交易过程的商业机密、电子通信的安全、交易和其他记录的保存和管理等。只有采用合理的安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、服务器群组防护等) ,才能有效预防技术风险可能造成的经济损失和信用影响。
