防范钓鱼网站,保卫网上银行
摘 要:近年来网上银行诈骗案件频发,“钓鱼网站”的存在威胁着网上银行的安全使用。本文分析了不法分子利用钓鱼网站针对网上银行的作案手段和实质,介绍了各家银行应对钓鱼网站所采取的主要安全手段,并且从用户和银行的角度提出了相应的防范措施。
关键词:钓鱼网站;网上银行
网上银行的兴起大大降低了银行成本、提高了服务效率,也使人们的金融生活更加便捷化、人性化,但安全问题也是一直伴随着网上银行发展的首要问题。近年来发生的网上银行资金盗窃案件大都与钓鱼网站有关,钓鱼网站在全球频繁出现,严重影响了电子商务的发展,危害了公众利益,挫伤了公众应用互联网的信心。据《2010中国电子银行调查报告》数据,2010年新增“钓鱼网站”175万个,比上年增长1186%。在欺骗人数最多的十个“钓鱼网站”中,超过一半仿冒购物网站和银行网站,作案目标直接指向网银用户。
一、钓鱼网站诈骗是目前黑客利用网上银行作案的主要手段。
国内网上银行经过十多年的发展,已形成了一整套比较完善的安全机制。当前各家银行的网上银行系统都有多重防火墙的保护和系统监控措施,因此一般来说,黑客不可能通过恶意程序直接入侵客户的网上银行,并盗取或转移资金的。他们的作案途径主要就是通过伪造的银行网站,也就是钓鱼网站来窃取用户的各种帐号和密码信息,从而利用这些信息登录真实网站,转移用户的资金。
所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户的银行账号、密码等私人资料。钓鱼网站是不法分子精心设计的,表面上与真实网站十分相似,用户一旦访问,输入了银行帐号、密码等信息,这些信息就会被不法分子得到,不法分子会迅速利用这些信息,登录真实网站,达到其转移资金的目的。
因此钓鱼网站并没有太多的技术含量,更多的是通过非技术手段来实现犯罪,其实质就是诈骗。通过伪造的网站获取用户真实的银行信息,既不是木马偷袭,也非黑客攻击。这个特点也让传统的杀毒软件无能为力,毕竟,大部分钓鱼网站的代码完全合法,不包含任何恶意代码,但却包含恶意目的。
二、目前各家银行应对钓鱼网站所采取的主要安全措施。
为了控制风险、应对钓鱼网站诈骗,各家银行在网上银行系统层面上已经采取了一系列措施,主要有:
1、HTTPS协议
当前各网上银行基本上都以Web浏览器作为访问网银系统的客户端,都采用了HTTPS协议。HTTPS协议是以安全为目标的HTTP通道,简单讲就是HTTP的安全版,该协议实现了客户端与网银系统数据传输的私密性。
2、多重密码保护
登录密码、交易密码、私密问题、认证工具密码等多重密码的设置为网银资金安全增加了保护锁,另外这些密码基本都具有错误锁定功能,即连续输入达到一定的错误次数就会锁定网银或交易,这也可以有效防止他人尝试用户的密码,增加了黑客窃取密码的难度。
3、动态口令牌
动态口令牌是一种一次性口令认证机制,常见的有口令卡和TOKEN令牌。动态口令牌的安全性比静态密码更高,但是也可能面临被窃取的风险而遭受资金损失。因此使用动态口令牌的用户更应当注意保护好令牌,防止被偷窥,防止进入钓鱼网站。
4、数字证书认证
数字证书目前分为文件数字证书和移动数字证书。文件数字证书是存储在用户电脑上的身份认证机制,对用户的网银交易进行电子签名。文件数字证书具有较高的安全性,但由于其存储在用户的电脑上,因此其安全性也依赖于用户电脑的安全性。移动数字证书是存储在移动介质上的身份认证机制,移动介质通常为USB Key,形似 U盘,是带有独立CPU和操作系统的智能卡设备。用户每次在网银中交易时,交易的关键信息都会送入USB Key,进行电子签名。所有信息相符后,系统才会最终认可用户的操作,完成交易。移动数字证书与电脑分离,每个用户持有的数字证书都不相同,并且与自己的USB Key绑定,不能被导出或复制,还有自身PIN码的保护,是目前安全性最高的网银认证工具。移动数字证书在理论上是绝对安全的,实践也证明移动证书是目前在国内外网上银行业务中最广泛采用的安全工具,目前还没有看到使用移动证书的用户资金被黑客窃取的报道。
5、预留验证信息
预留验证信息是一种防止客户访问假冒网站的安全措施。客户可以在网银上预留一段文字信息,客户以后登录网银时,该信息就会显示在页面上,用户就可以据此确认访问的是真实的银行网站。
6、短信提醒
短信提醒通常是用户登录网银或进行网银交易后,银行端向客户绑定的手机发送短信通知的业务,该业务也可以有效防范网银异常登录或交易,目前也被多数网上银行所采用。
7、用户端安全保护措施
各家网上银行常见的用户端安全保护措施有密码软键盘、安全控件等,这些程序在很大程度上可以防止密码被盗或恶意网站的威胁。
三、广大网银用户应当提高风险意识、安全使用网上银行。
通过上述分析和介绍,我们发现钓鱼网站并不可怕,并不深奥,银行已经采取了多种安全手段,那么用户只要提高防范意识,便可轻松应对。
1、学会识别真假网站。一般来说,真实网上银行的URL地址都以“https”打头,浏览器上会显示一把小锁,这些是钓鱼网站所不具备的,如果能够注意这些特征,用户就会在很大程度上避免访问假冒网站。此外,假网站虽然看起来和真网站一样,但用户输入的各种信息,它是不做校验的。如果感觉登录的网站可疑,那么可以通过输入错误的登录信息验证一下,如果能用错误的信息登录成功,那么就需要提高警惕了。
2、养成良好的登录习惯。用户可以在收藏夹中保存正确的网站地址,通过点击收藏夹的地址登录。使用移动数字证书的用户也可以通过插入USB Key自动弹出网站页面来登录。不要通过点击邮件或其它网站中的不明链接登录网银,也不要轻易相信不明短信中的登录网址。
3、避免在公用的计算机上或不熟悉的计算机上使用网上银行。因为我们不清楚这类计算机上是否装有恶意程序,因此最好避而远之。
4、建议经常办理转帐业务的用户使用移动数字证书。移动数字证书与电脑分离,黑客可以窃取用户的帐号、交易密码
5、用户在遇到网络诈骗行为时要有法律意识,及时举报,配合相关部门打击网银盗窃。
四、银行端应当继续采取措施,保卫网上银行的安全。
为了应对钓鱼网站,确保客户资金安全,各家银行还应当从以下几个方面考虑:
1、及时对自己的网站和钓鱼信息进行排查。建立钓鱼信息排查机制,通过系统监控与人工排查的方式,一旦发现可疑网站或其它钓鱼信息,及时上报并配合相关部门予以严厉打击。
2、加快网上银行安全技术创新。商业银行应当借鉴国内外同行业的先进经验,专门针对防范钓鱼网站来创新研发安全技术,一是提升网银系统本身的安全性,二是通过引进或研发反钓鱼软件来防范钓鱼网站,保障网上银行的安全运行。
3、建立应急风险处理机制。一旦出现了网络风险事故,银行内部应当能够紧密配合,在第一时间掌握事故信息,通过应急流程予以处理,争取将损失和负面影响降到最低。
4、建立网上银行反欺诈联动机制。各商业银行应与国家计算机中心、监管部门、公安部门等建立网上反欺诈联动机制,实现信息共享,建立风险事件协同调查机制,提高网上银行案件调查处理效率,有效打击和遏制网上银行犯罪。
5、降低非USB Key认证工具的网银限额。随着业务的发展,各家银行的网上银行交易限额正在逐步放大,在带来便利的同时也增大了风险。由于动态口令牌、静态密码等认证工具都存在可能被钓鱼网站窃取并转移资金的风险,因此应当降低这类认证工具的限额,以控制风险。
6、做好网银知识的宣传普及工作。许多网上银行的用户并不是专业技术人员,计算机水平不高,对网上银行的了解并不深入,风险意识匮乏,从而导致操作不规范,给了犯罪分子以可乘之机。因此银行应当通过各种渠道积极宣传,普及网银知识,培养用户安全使用网上银行。
7、重视用户的信息反馈。目前许多用户在使用网上银行遇到问题时,都会及时拨打银行的服务电话来咨询,银行客服中心就成了接收客户反馈信息的第一站。不少热心用户除了咨询业务之外,还会向银行反馈遇到的问题、指出系统的不足、提出自己的建议等等,银行应当对这些信息予以重视,充分利用这些信息,及时通过汇总分析,发现风险,堵塞漏洞。
参考文献
[1]李钧. 运筹帷幄:决胜网络钓鱼之战[J]. 网络与信息,2010,(12).
[2]毕圣杰. 13种技术为网上银行铸造安全屏障[J].中国金融电脑,2010,(12).
[3]王晓莉.“网络钓鱼”行为的危害及应对措施[J].金融发展研究,2008,(6).
[4]程思思.陈蓉.“钓鱼网站”多半盯上网银用户[N].长江日报,2011.5.14(7).
[5] 余伟.CNNIC联手金融业成立中国反钓鱼网站联盟[J/OL].
下一篇:电信运营企业实施顾客参与浅论