“客戶(hù)安全須知：尊敬的×××先生，您好!我們是中國(guó)工商銀行網(wǎng)銀安全科。由于您的賬號(hào)在網(wǎng)上銀行登錄，輸入錯(cuò)誤密碼次數(shù)過(guò)多，可能您的賬號(hào)和密碼被不法分子盜用，近日已臨時(shí)凍結(jié)您的賬戶(hù)。請(qǐng)您盡快點(diǎn)擊下面鏈接，登錄中國(guó)工商銀行e通道修改您的密碼?！?/P>

如果你恰好是工行的網(wǎng)上銀行用戶(hù)，直接點(diǎn)擊里面的鏈接，修改自己的銀行卡密碼，再去查詢(xún)余額時(shí)你就會(huì)發(fā)現(xiàn)賬戶(hù)里已經(jīng)一文不剩。在沒(méi)有數(shù)字證書(shū)和U盾保護(hù)的年代，用這種方法盜取網(wǎng)上銀行錢(qián)財(cái)很容易得手。對(duì)每個(gè)使用網(wǎng)上銀行的人來(lái)說(shuō)，這無(wú)疑是個(gè)噩夢(mèng)。

即便是在有數(shù)字證書(shū)、U盾、動(dòng)態(tài)口令卡甚至指紋認(rèn)證等嚴(yán)密安全保護(hù)的現(xiàn)在，人們享受著網(wǎng)上銀行帶來(lái)的方便時(shí)，仍在為它的安全性擔(dān)心。

方便，但安全嗎?

如果為一小筆匯款或轉(zhuǎn)賬而去銀行營(yíng)業(yè)廳排上幾十分鐘甚至幾小時(shí)的長(zhǎng)隊(duì)，顯然是在謀殺自己的時(shí)間和生命。而開(kāi)通網(wǎng)上銀行之后就可以足不出戶(hù)地完成這些操作，整個(gè)過(guò)程僅需要短短幾分鐘。然而當(dāng)網(wǎng)上銀行的方便之門(mén)大開(kāi)的時(shí)候，網(wǎng)絡(luò)犯罪的黑手也伸了進(jìn)來(lái)。在看到很多網(wǎng)上銀行遭竊的新聞之后，人們不禁要問(wèn)：我們的網(wǎng)上“錢(qián)包”是怎樣被偷的?

其實(shí)，網(wǎng)上銀行面臨的安全威脅只有兩種：一種是攻心，即以各種網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚(yú)等手段引誘用戶(hù)將網(wǎng)上銀行賬戶(hù)信息拱手讓給網(wǎng)絡(luò)犯罪分子;另一種是實(shí)體攻擊，通過(guò)木馬、惡意插件、后門(mén)程序等惡意程序或黑客技術(shù)竊取用戶(hù)賬號(hào)和密碼等信息。

第一種安全威脅瞄準(zhǔn)了安全環(huán)節(jié)中最容易出問(wèn)題的地方——人。本文開(kāi)頭提到的情況，就是用發(fā)送垃圾郵件的方法假冒銀行工作人員以騙取用戶(hù)網(wǎng)上銀行信息。此外，一些網(wǎng)頁(yè)、下載軟件、視頻軟件和聊天軟件等彈出的中獎(jiǎng)信息，甚至手機(jī)接收到的垃圾短信，都是在竭盡所能地騙取用戶(hù)的網(wǎng)上銀行信息。不過(guò)，人的因素雖然會(huì)帶來(lái)不利，但是只要加強(qiáng)防范意識(shí)、提高警惕，伸向網(wǎng)上銀行的黑手就很難得逞。

實(shí)體攻擊是最主要的安全威脅，不僅花樣繁多，而且新的攻擊手段不斷出現(xiàn)。這種攻擊“技術(shù)含量”很高，普通人很難應(yīng)對(duì)，即便提高警惕、加強(qiáng)防范也很容易遭受損失，需要專(zhuān)業(yè)的安全技術(shù)來(lái)應(yīng)對(duì)。

“盜”高一尺，“我”高一丈

針對(duì)網(wǎng)上銀行的攻擊手段種類(lèi)繁多，新的惡意程序和黑客技術(shù)不斷出現(xiàn)和發(fā)展，因此，相應(yīng)的安全技術(shù)也不斷地發(fā)展和完善。卡巴斯基產(chǎn)品部經(jīng)理高瑋告訴記者：“到目前為止，針對(duì)用戶(hù)網(wǎng)上銀行賬戶(hù)密碼的保護(hù)措施大概有五種類(lèi)型?！彼鼈兪前殡S著網(wǎng)上銀行的發(fā)展而發(fā)展起來(lái)的。

1999年招商銀行在國(guó)內(nèi)首家啟動(dòng)網(wǎng)上銀行的時(shí)候，基本的安全措施就是輸入賬號(hào)和密碼才可以登錄。在這種情況下，用戶(hù)賬戶(hù)信息都是明文的，而且與銀行卡的原始信息相同，黑客很容易竊取用戶(hù)的錢(qián)財(cái)。

因此，銀行又開(kāi)始推出新的安全措施：第一次使用網(wǎng)上銀行的用戶(hù)都需要先使用銀行卡的賬號(hào)密碼去注冊(cè)，自定義一個(gè)網(wǎng)上銀行的賬號(hào)密碼，這就大大提高了用戶(hù)原始賬戶(hù)信息的安全性。但是黑客也發(fā)明了新的攻擊手段，高瑋說(shuō)：“一種是在用戶(hù)端通過(guò)截取用戶(hù)操作時(shí)的屏幕圖像，并用key logger(鍵盤(pán)記錄器)記錄用戶(hù)鍵盤(pán)輸入來(lái)截取賬號(hào)密碼;還有一種是通過(guò)終端軟件竊取用戶(hù)進(jìn)行網(wǎng)上銀行操作時(shí)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，然后將其恢復(fù)為能識(shí)別的明文來(lái)竊取賬號(hào)密碼?！?/P>

對(duì)此，銀行又推出數(shù)字證書(shū)用于對(duì)傳輸過(guò)程中的數(shù)據(jù)進(jìn)行加密，同時(shí)用于驗(yàn)證用戶(hù)身份，通過(guò)數(shù)字證書(shū)加上密碼的形式來(lái)給用戶(hù)提供安全保護(hù)。江民科技反病毒工程師戴碩告訴記者：“最初數(shù)字證書(shū)是以軟件形式保存的，雖然也具備了PKI(公開(kāi)密鑰體系)加密的特性，但是數(shù)字證書(shū)本身也就是一個(gè)普通的計(jì)算機(jī)文件，很多新的病毒木馬可以偷走證書(shū)文件，這樣一來(lái)用戶(hù)賬戶(hù)信息又得不到有效的保障?！?/P>

反病毒之路就是這樣，雙方在不斷較量中發(fā)展，道高一尺，魔高一丈。針對(duì)數(shù)字證書(shū)可以被竊取的問(wèn)題，銀行又開(kāi)始推廣硬件數(shù)字證書(shū)。例如工商銀行的U盾，將數(shù)字證書(shū)保存在特制的具有PKI加密功能的USB設(shè)備中，用戶(hù)進(jìn)行網(wǎng)上銀行操作時(shí)不僅需要提供交易密碼，還需要提供USB設(shè)備的訪問(wèn)密碼來(lái)讀取數(shù)字證書(shū)，以驗(yàn)證用戶(hù)身份并對(duì)操作過(guò)程進(jìn)行加密。

現(xiàn)在有的銀行還會(huì)采取其他保護(hù)措施，比如向用戶(hù)提供動(dòng)態(tài)密碼卡片。國(guó)外銀行使用這個(gè)方法的比較多，一般采取雙重動(dòng)態(tài)密碼，需要兩次認(rèn)證才能通過(guò)，黑客基本沒(méi)有辦法對(duì)密碼進(jìn)行截取。

安全不會(huì)成為絆腳石

雖然網(wǎng)上銀行的安全保護(hù)措施嚴(yán)密，但是百密一疏，用戶(hù)在使用網(wǎng)上銀行時(shí)仍會(huì)遭受各種安全威脅的侵襲。

硬件數(shù)字證書(shū)雖然很安全，但是需要安裝驅(qū)動(dòng)程序，使用時(shí)還得插上USB設(shè)備，給用戶(hù)帶來(lái)不少麻煩。此外，由于Vista操作系統(tǒng)和很多USB設(shè)備的驅(qū)動(dòng)不兼容，可能會(huì)導(dǎo)致其無(wú)法應(yīng)用。戴碩認(rèn)為，更為可怕的是，大多數(shù)網(wǎng)上銀行要在IE瀏覽器上進(jìn)行操作，而IE允許第三方編寫(xiě)插件，這使得病毒作者可以編寫(xiě)特殊的BHO插件。在用戶(hù)毫不知情的情況下，這種插件可以將用戶(hù)轉(zhuǎn)給張三100元人民幣的操作修改為轉(zhuǎn)給李四1萬(wàn)元，一旦用戶(hù)確認(rèn)，硬件數(shù)字證書(shū)的保護(hù)也起不了作用。

此外，還有類(lèi)似的方法同樣可以讓用戶(hù)蒙受損失。高瑋告訴記者：“在登錄網(wǎng)上銀行頁(yè)面時(shí)黑客可以將登錄的網(wǎng)站重新定向。很多人認(rèn)為只要網(wǎng)址輸入正確，那么打開(kāi)的網(wǎng)站一定會(huì)是正確的，其實(shí)不然。因?yàn)椴《净蚝诳涂梢詫?duì)Windows的hosts文件進(jìn)行修改，可以將銀行的域名綁定一個(gè)偽造的服務(wù)器的IP。Windows在對(duì)域名進(jìn)行解析的時(shí)候會(huì)先去找hosts文件，這時(shí)用戶(hù)就會(huì)被引導(dǎo)到假冒的銀行網(wǎng)站上去?！?/P>

因此，除了銀行方面提供的安全保護(hù)之外，用戶(hù)還需要信息安全廠商提供的專(zhuān)業(yè)幫助。面對(duì)這種情況，信息安全廠商不斷推出新的應(yīng)對(duì)之策。除了傳統(tǒng)的基于特征庫(kù)的反病毒模式之外，很多殺毒軟件還增加了一些其他的反病毒模塊。在安全軟件中添加隱私保護(hù)的功能，可以對(duì)用戶(hù)的安全區(qū)域進(jìn)行保護(hù)，使得Windows系統(tǒng)安全區(qū)域內(nèi)保存的數(shù)字證書(shū)和密碼等關(guān)鍵信息免遭竊取。

現(xiàn)在很多殺毒軟件在主動(dòng)防御中都增加了一個(gè)惡意程序的定義，即鍵盤(pán)記錄器，以防止試圖記錄用戶(hù)輸入的行為。此外，大部分安全軟件融入了IE保護(hù)的模塊，可以檢查IE有沒(méi)有受到非法的改變。同時(shí)還有對(duì)用戶(hù)關(guān)鍵文件區(qū)域的監(jiān)控，一旦發(fā)現(xiàn)某些程序或文件正在試圖修改關(guān)鍵文件，就會(huì)向用戶(hù)發(fā)出警告。

安全廠商通過(guò)不斷開(kāi)發(fā)和應(yīng)用新的技術(shù)和保護(hù)模塊，使得用戶(hù)網(wǎng)上銀行的安全可以從多個(gè)角度得到保障。雖然新的安全威脅不斷產(chǎn)生，但是回顧網(wǎng)上銀行的發(fā)展歷程，我們可以發(fā)現(xiàn)，新的安全技術(shù)和產(chǎn)品也會(huì)應(yīng)勢(shì)推出來(lái)“降妖除魔”。因此，我們有理由相信，網(wǎng)上銀行必將是新世代銀行的一種發(fā)展趨勢(shì)，安全問(wèn)題不會(huì)成為發(fā)展路上的絆腳石。

【編輯推薦】

1. 使用第三方數(shù)字證書(shū)，確保網(wǎng)上銀行安全
2. 網(wǎng)上銀行安全手冊(cè)：安全使用網(wǎng)銀要點(diǎn)
3. 盜竊問(wèn)題出在病毒　網(wǎng)上銀行安全不安全