网络银行的六个为什么

    |     2015年7月12日   |   文库   |     0 条评论   |    265

||2005-08-21


  今年以来,关于网上银行发生骗盗的报道不断见诸报端。就在本周三又有报道称,在上海有数十位客户收到一些不法分子以几大发卡银行、银联或是所谓“银行联合管理局”的名义发送的诈骗短信。短信称,持卡人的卡号因泄露、被复制、盗用或正在被人冒用消费等,要求持卡人尽快与指定电话联系确认。而这仅仅是众多盗骗网银账号中最老套的一种。


  为什么会发生骗盗


  本周二下午,中国信息安全产品测评认证中心系统工程实验室主任江长青在接受记者采访时表示:上述网上银行被盗事件的发生,主要是因为目前国内的网上银行存在着如下两个问题。


  一是网银自身安全包括技术设计、业务应用和安全管理三个方面。在技术设计上,银行本身不存在大的技术管理上的缺陷。但是目前的大众版都是由银行对客户端的单向识别,这种单向识别就导致了信息的不对等,只有银行可以识别用户的身份而用户无法识别银行的身份,用户就无法识别真假银行网站。在业务应用上,网上支付认证方式存在漏洞。目前国内大多银行的网上支付业务只要用户输入银行账号及密码即可,导致了账号及密码很便捷地通过网上购物的方式被盗走。在安全管理上,银行应该尽可能多地主动注册与自家网站相近似的、差别小的域名,从而预防用户误判。或者可以通过国家立法或与域名管理机构协商,对于与银行注册网站相近的网站严格把关,一律不予注册。而目前国内各家银行还没有或也没有条件这么做。


  二是用户缺乏自我保护意识,这也是目前网银被盗的最主要原因。一些制造虚假网站的不法分子,正是利用了公众对网银的信任,去骗取储户账号信息。此外,由于用户所使用的计算机的系统安全及上网应用安全防范措施较差导致口令及密码被盗。其一是自己在使用过程中被人偷看后窃取;其二是在网上登录输入账号信息过程中被窃取(监控)。因为网上信息的传递必须经过路由器和交换机,黑客可以通过在网络的通道口上安装嗅探器(又叫监控器,一种软件程序),就可以把被监控对象登录网银的记录通过数据包的方式下载下来,就可以窃取用户的储蓄信息。


  为什么专业版至今是零骗盗


  本周三上午,记者采访了中国金融认证中心(CFCA)总经理李晓峰,采访中他告知,目前国内的种种骗盗网银的手段针对的都是大众版的用户,因而被盗的也都是大众版用户。而尚未出现一例专业版被骗盗的事件,这是因为他们多了一重证书的保护。因为光有账号和密码没有认证证书是无法办理网上银行相关业务的。


  该中心一位银行业专家介绍,大众版网上银行是指用户凭账号和密码口令在网上办理的网银业务。


  记者在调查了中国银行、工商银行、建设银行、招商银行、交通银行、民生银行、华夏银行及北京银行等8家的网上银行后了解到,这8家的大众版(普通)用户除中行和华夏两家需要前往营业厅办理开通外,其他的均可直接在网上开通。其中工行、民生、华夏3家除能在网上查询账户余额及明细,还可以进行网上支付、活期转定期、手机缴费等,而中行的网银用户除前面所述外还可以进行外汇买卖、账中划转。尽管大众版用户目前存在着种种安全隐忧,但目前国内网上银行的用户中,还是使用大众版的居多,主要原因还是基于大众版的办理及使用相对于专业版的开通流程更为便捷。


  为什么骗盗后责任认定有区别


  作为银行储户,人们最关心的是银行存款网上被盗,银行应不应该承担相应的责任呢?


  依据6月30日由央行制定的完成意见征集的《电子支付指引(征求意见稿)》的第四十五、四十六条中规定:“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况,银行将承担相关责任。在没有直接责任的情况下,银行只被要求“积极配合客户查找原因,尽量减少客户的损失”。简单地说,“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户。客户使用网上银行专业版进行网上购物,发生的账户盗用损失由银行买单;而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户。客户使用网上银行大众版进行网上购物,只要银行系统不存在问题,无法追回的账户盗用损失由客户自己承担。而“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”此外,如果该数字证书由合法的第三方认证服务机构提供,且第三方认证服务机构不能证明自己无过错的,将由其承担相应责任。


  目前,绝大多数银行的专业版网上银行都使用了由中国金融认证中心颁发的数字证书,以保证认证的第三方性,为一旦发生网上交易纠纷时依法进行仲裁提供有效的证据。


  上述8家银行的营业网点柜台业务员在记者调查时表示,若大众版(普通版)个人网上银行业务因用户自身的原因导致存款被盗的,银行不负赔偿责任,银行只对业务的使用风险做出提示。本周二,中国银联总部一位不愿透露姓名的高层人士在接受本报记者采访时透露,征求意见稿中网银被盗的大众版用户将自担责任一条还没有最终定论。


  江长青主任表示,网银对大众版产生的问题,用户自担责任的规定,在国家法律的框架内是合理的,但从最终用户服务方面还要全方位改进,从技术上改进保护网银系统的安全以及从用户到终端的端到端的安全。而网银的安全有赖于整个互联网及网上交易的安全、国家整治网络经济犯罪法律法规的完善、国家对公众信息服务安全投入的加大。其呼吁建立类似于


  天气预报般的网络安全预警系统、提供安全的网络环境、银行与个人用户有更恰当的责任分配,而银行应多承担一定的网银风险或由公共的社会保障机构来承担。


  为什么大众版用户要小心五种陷阱


  自去年以来,国内网络银行安全开始突显出来,尤其是申办程序简单、安全级别相对较低的大众版。而各家银行在加大自身金融安全方面注重推行专业版、客户证书及签约用户,对于大众版却少见推出更为有效的安全措施,因而我们看到在众多相关盗银报道中出现问题的大多数是大众版用户。


  本周一下午,瑞星公司研发部副总经理毛杰在接受记者采访时称,针对网银大众版用户的盗取途径大致有五类,这些都属于钓鱼类网络威胁。一是通过制作假银行网站进行诱骗;二是通过冒充银行发送电子邮件实行诱骗;三是假借银行之名发送短信诱骗;四是假冒银行客服打电话套取;五是通过网络发起攻击向计算机种植木马及间谍软件以盗取。被装入了木马或间谍程序,并不是说黑客能借此直接看到PC屏幕上的内容(你在相关截面输入的密码信息)。


  比方说首先,在对计算机注入木马程序后,驻留在中招计算机系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给盗银贼,他们再据此进行反读取以破译,钱便被黑走了。


  其次,由前者衍生出的截取键盘记录法(键盘钩子)黑客在键盘敲击给系统进行信息处理时,利用原先在系统接口处挂上的程序或驱动实现盗取。它不像远程控制一样直接操控你的PC,而是等待机会,一旦得到银行交易的信息,就自动被发送到他预先指定的信箱。但他同时表示,这并不是说计算机一旦被种了木马、间谍软件的就一定会被盗,因为木马和间谍程序有很多种,不全是针对网络银行的,只是被盗的风险会大很多。


  -小链接


  常用查余额及明细方式


  其实很多人用网络银行只是为了查询一下自己的存款余额或明细,很少会用到网上银行的其他功能。那么,如果只是为了这两个需要,其实也还有其他非常方便的办法。


  1.电话银行。


  拨打银行卡上的客服电话,按提示步骤输入即可。缺点:按键繁琐,客服电话常提示忙碌难拨通。


  2.ATM取款机。


  在ATM取款机上依屏幕提示步骤进行即可。缺点:受银行网点位置的限制。


  记者通过调查了解到,现8家银行均开通了个人网银业务,其中建设银行、招商银行、民生银行三家除有大众版外还开设了专业版,工商银行则分为普通用户和拥有个人网上银行客户证书的用户,而华夏银行、交通银行、北京银行虽然没有如前的分法,但是实际上他们还是有普通储户和开通网银或签约用户的分别。而中国银行则需在营业网点开通网银业务,由于没有单独的安全证书,实际上也是一种普通个人网银业务。


  专业版网上银行指到银行网点办理开通后,借以长度为上百位的签名密钥数字证书,通过PKI技术在网上银行交易时可以验证双方身份的网银业务。


  工商银行使用的是移动USB盘客户安全证书。个人网上银行证书客户安全的最大保障是一个带智能芯片、形状类似于U盘的硬件设备(客户证书)它是应用了智能芯片信息加密技术的一种数字签名工具。在网上银行办理转账汇款、B2C支付等业务都必须启用客户证书进行验证,而客户证书是唯一的。


  招商银行的个人银行专业版支持两种证书类型:文件证书和移动(USB)证书。文件证书是以文件作为数字证书的存储介质;移动证书如前也是以USBKEY作为数字证书的存储介质。


  建设银行和民生银行则是在营业厅开通业务后,拿着授权码回家下载银行的授权证书。这是进入专业版的钥匙,建议先将密码备份到一张3.5英寸的盘上,以备不时之需。


  为什么说专业版风险来自用户


  瑞星公司的毛副总在接受采访中表示,相对于只有一层密码的大众版用户,专业版的双因子认证是很安全的。因为设定了双因子认证后,即使盗贼拿到了密码,也很难破解二层认证的密钥。而对于双因子而言,如果没有额外的硬件支持,即认证的密钥不是单独存储在移动类存储中,相对也是有被破解的风险的。因而在双因子认证中的移动USB证书应用是最安全的,但前提是自己使用的PC没有被事先种下木马,否则也有被盗的危险。


  认证中心的江主任也表示,移动USB证书要比文本证书安全。但是,如果用户有一些不良的计算机使用习惯,如:上不良网站、不及时修补计算机IE浏览器或系统存在漏洞,证书也有被偷走的风险。而据某权威调查显示,目前有80%左右的个人电脑已被植入了木马及间谍软件,若这些计算机用户即使是使用最安全的移动USB数字认证证书进行网银业务,也存在被盗的可能。而计算机的安全防护也是必不可少的,一台没有安全防护措施的电脑,只要5分钟内就会被黑客控制。系统一旦被攻破,就会被安装上自动化监测的软件,这些软件会每时每刻对电脑系统进行扫描并下载。


  为什么说自我防范最重要


  有业内人士指出,作为未来的必然的发展主趋势,网络银行的安全性亟待加强。对于正在使用的普通用户而言,应该通过有效的方法来降低自己的使用风险。在使用中应该切实注意如下九点:


  一、普通版用户若有大笔金额的转账或资金流动需求,一定要升级为专业版使用。若无如前需求就不要使用网上查询的功能,不仅容易被盗,还让盗贼过足网上购物的瘾。


  二、按照银行卡上的准确银行网址登录,最好不要使用超级链接进行登录。


  三、每次登录网银欢迎页面时查看页面上的“上次登录时间”和实际登录情况是否相符,便于及时发现异常情况。特别是在每次使用网上银行后,不要只关闭浏览器,请点击页面右上角的“退出登录”结束使用。


  四、密码设置应避免使用与自己在其他网上服务中相同的用户名和密码。同时,网上银行登录密码和用以对外转账的支付密码设置不要一样。


  五、不要在公共场所(如网吧、公共图书馆等)使用网上银行,避免因计算机被安装了恶意监测程序导致存款被盗。


  六、在任何时候及情况下,不要将自己的账号、密码告诉别人;不要相信任何通过电子邮件、短信、电话等方式索要卡号和密码的行为。


  七、如果个人资料有任何更改(例如,联系方式、地址等有变动),应尽快通知银行。


  八、定期下载安装更新操作系统及浏览器的安全程序、补丁和个人防火墙。此外,将计算机中的hosts文件修改为只读。


  九、安装并及时更新杀毒软件,养成定期更新杀毒软件的习惯。


  -小链接


  网上银行如何开通


  记者向8家银行了解到的开通情况如下:


  大众版——除中国银行的个人网上银行业务(普通版)需要本人携


  长城借记卡及身份证等有效身份证明,先前往营业网点开通电话银行业务再办理个人网银的登记注册才能开通使用之外。其他7家均只要在各自银行的官方主页上进行注册即可开通。目前都是免费开通、免费使用的。


  专业版——4家均需本人带开户卡及身份证明前往所属银行营业网点办理。除工行需花65—88元购买USB安全证书及招行需要10元的开通费(均免费使用)外,另两家是免费开通及使用。

责编:admin

转载请注明来源:网络银行的六个为什么

相关文章

回复 取消