【51CTO.com 綜合消息】與傳統(tǒng)的商業(yè)銀行相比，網(wǎng)絡(luò)銀行具有許多競爭優(yōu)勢，主要體現(xiàn)在方便快捷、成本領(lǐng)先、個性化服務(wù)、信息積累和市場發(fā)現(xiàn)等方面。

《Netguide 2007中國互聯(lián)網(wǎng)調(diào)查報告》顯示，2003-2006年，企業(yè)網(wǎng)上銀行用戶數(shù)從33萬增長到84萬，同期個人用戶數(shù)從810萬增長到6500萬。隨著安全技術(shù)的進步、電子商務(wù)的發(fā)展，個人網(wǎng)上銀行將會取得較快的進展，近幾年中國網(wǎng)上銀行市場規(guī)模保持高速增長，而2007年則出現(xiàn)加速增長的態(tài)勢。全年網(wǎng)上銀行用戶數(shù)漲幅達54.7%，而交易量更是有100.8%的增長。預(yù)計2010年用戶數(shù)將有望超億。

網(wǎng)銀安全嗎？這是網(wǎng)銀用戶最關(guān)心的問題，也是制約網(wǎng)銀業(yè)務(wù)發(fā)展的關(guān)鍵性問題。“如果您的網(wǎng)銀采用我們的動態(tài)口令卡很安全，如果采用Usb key那就絕對安全，如果使用動態(tài)口令卡+Usb key的話。。。，我看沒那個必要”，銀行小姐如是說。甚至更有銀行放出狠話“如果誰能破解我行網(wǎng)銀采用**的**，將獲獎勵**萬元”。上述話音未落，**銀行的網(wǎng)銀用戶**先生呆呆的問道：“為何我的網(wǎng)銀采用了Usb key，怎么還被盜了n萬元呢，這是為什么呢？”，“你的機器中了木馬，與銀行無關(guān)，況且這種情況純屬個案，不具有代表性，網(wǎng)銀還是很安全的”，就是！這么明白的道理還問，地球人都知道。但君不見“**網(wǎng)銀維權(quán)聯(lián)盟”中那些受害者無助、欲哭無淚的經(jīng)歷欲與何人訴說。

“一般我自己能辦到的事從來不求別人”----求人不如求己，因此我們應(yīng)該完善自己關(guān)于網(wǎng)銀安全方面的知識。做到知其然并知其所以然，進而才能做到防患于未然。接下來我們將逐步剖析網(wǎng)銀客戶端的安全現(xiàn)狀。

己

“知己知彼”方能百戰(zhàn)不殆，下面我們就先看看網(wǎng)銀所采用的幾種主要技術(shù)手段：

文件數(shù)字證書：本地硬盤存儲的ie數(shù)字證書等，容易被竊取且遠控木馬容易控制裝有文件證書的電腦進行偽造交易。

傳輸加密：HTTPS是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版，即HTTP下加入SSL層。SSL協(xié)議使用不對稱加密技術(shù)實現(xiàn)會話雙方之間信息的安全傳遞。

Usb Key：移動數(shù)字證書，里面保存著數(shù)字證書和用戶私鑰。

軟鍵盤：動態(tài)彈出鍵盤，利用鼠標(biāo)輸入防止擊鍵記錄。

圖形驗證碼：防范暴力破解密碼或者惡意登錄。

返回確認圖片：一些銀行為了防止木馬修改交易數(shù)據(jù)采取的一種安全技術(shù)手段，交易時由服務(wù)器返回帶有交易信息和驗證碼的圖片，用戶確認交易信息后輸入驗證碼完成交易。

安全控件：防止木馬通過擊鍵記錄和ie的com接口獲取密碼等重要信息。

動態(tài)口令：一次一密，理論上木馬即使獲得密碼也無用。包括動態(tài)口令卡和口令牌等。

驅(qū)動保護：為了防止擊鍵記錄所采用的驅(qū)動層技術(shù)手段，有破壞系統(tǒng)穩(wěn)定性的隱患。

彼

網(wǎng)銀客戶端雖然在安全方面力所能及的做了很多努力，但“道高一尺，魔高一丈”，網(wǎng)銀大盜們夜以繼日的挖掘著網(wǎng)銀的安全漏洞?！肮Ψ虿回撚行娜恕睂φl都是公平的。

你有“金鐘罩”，他會“挖地道”，什么“動態(tài)軟鍵盤”、“安全控件”，木馬制作者只需“見招拆招”。分析javascript軟鍵盤的加密過程，反其道而行之，動態(tài)軟鍵盤迎刃而解；“安全控件”采用各種消息鉤子，甚至使用鍵盤過濾驅(qū)動攔截鍵盤輸入，但鍵盤過濾驅(qū)動就是最底層的攔截嗎？答案是否定的。

我有“動態(tài)口令”，一次一密，看你“小馬”怎么辦。哦，這樣啊，但那些“網(wǎng)銀大盜”也不是吃“干飯”的。假設(shè)你用動態(tài)口令卡在輸入動態(tài)口令后被木馬截獲、木馬隨后關(guān)閉ie，結(jié)束你的交易過程，然后“養(yǎng)馬人”在遠程偽造交易結(jié)果會怎樣呢？“不可能，我會讓你隨機輸入動態(tài)口令的”，“真是每次都隨機嗎？不盡然吧！”，“網(wǎng)銀”的臉有些紅了?！拔疫€有動態(tài)口令牌，定時會改變動態(tài)口令，可以達到隨機了吧”，但是假如你的時間間隔夠長，網(wǎng)銀大盜的手夠快，結(jié)果又會怎樣呢？網(wǎng)銀無語了。

“我有殺手锏---Usb key，沒招了吧”；“是人都會犯錯誤的，假如你的主人沒有及時將Usb key取走，“養(yǎng)馬人”是否就可以遠程控制它，需要身份認證時喂它正常的數(shù)據(jù)，它也應(yīng)該吐出想要的驗證數(shù)據(jù)呢？”。

上述一些隱患可以認為只是在認證階段，但假如木馬繞過認證階段，對交易的數(shù)據(jù)進行修改，例如你要轉(zhuǎn)帳給張三，而你所看到的所有可見信息包括確認信息、交易查詢信息都是正常的，可結(jié)果錢卻轉(zhuǎn)給了李四，不用疑惑“這是為什么呢？”。一定是木馬攔截了你的網(wǎng)銀通信數(shù)據(jù)，在ssl等加密措施前將相應(yīng)張三的數(shù)據(jù)改為李四，再修改用戶所見數(shù)據(jù)欺騙你的眼睛。無論是基于ie的b/s客戶端還是招行的c/s客戶端其實它們都是“一樣一樣的”。

一些銀行的服務(wù)器會返回一個含有重要交易信息和確認碼的圖片，確認碼智能識別確實是個難題，但木馬為什么這么做呢？它完全可以將交易信息抹掉，再配以欺騙性的提示，結(jié)果會怎樣呢？甚至木馬制作者完全可以采取相對“笨拙”的手段在遠程控制端雇傭幾個“民工”專門負責(zé)識別木馬發(fā)來的驗證碼，然后返回識別后的結(jié)果進行偽造，相信“龐大”的“木馬帝國”有這樣的能力和財力。

防

1.嚴防“李鬼”：

登錄網(wǎng)上銀行時，須核對登錄網(wǎng)址與自己同銀行簽訂的協(xié)議書中的網(wǎng)址是否相符。要避免使用搜索引擎等第三方途徑登錄網(wǎng)銀，以防落入一些假網(wǎng)銀網(wǎng)址設(shè)下的陷阱。同時警惕電子郵件鏈接。網(wǎng)銀一般不會通過電子郵件發(fā)出“系統(tǒng)維護、升級”提示，若遇重大事件，系統(tǒng)會暫停服務(wù)，銀行會提前公告。一旦發(fā)現(xiàn)資料被盜，應(yīng)立即修改相關(guān)交易密碼或進行銀行卡掛失。

充分利用銀行提供的一些防釣魚手段，如預(yù)留信息、登陸次數(shù)及相關(guān)信息提示，甚至還有的銀行提供了釣魚網(wǎng)站檢測的小工具。

2.定期檢查詳細交易記錄

做好自己的交易日志，保證對自己的每一項有記錄的交易印象深刻。結(jié)合網(wǎng)銀的詳細交易記錄，確認沒有被木馬偽造、篡改交易。可能的話可以選擇非進行交易的電腦進行查詢，防止交易機被木馬控制后會篡改網(wǎng)銀交易信息使網(wǎng)銀用戶不能查詢真實交易信息。

3．充分利用銀行提供的附加增值服務(wù)
   
現(xiàn)在很多銀行都提供了交易的短信、郵件提醒，用戶可以充分利用銀行的貼心服務(wù)，掌握自己的財務(wù)消費狀態(tài)，反正大多數(shù)是免費，但有些服務(wù)可能需要網(wǎng)銀用戶申請開通。

4．盡量使用“干凈”的系統(tǒng)

可能的話，網(wǎng)銀用戶盡量使用“干凈”、專用的系統(tǒng)進行網(wǎng)銀操作，為Windows系統(tǒng)打開自動更新功能，及時更新補丁程序；專用的機器可能有些不切實際，但可以采用“干凈”的虛擬機代替。同時切記不要在公用電腦（如網(wǎng)吧的）上進行網(wǎng)銀操作，那里是木馬、病毒的“溫床”。

5. 安裝殺毒軟件
    
盡管現(xiàn)在的殺毒軟件還是以“特征碼”查毒為主，多有詬病，但畢竟可以對那些“登記造冊”有案底的病毒、木馬起到查殺和防范作用，聊勝于無。況且現(xiàn)在的主要殺毒軟件廠商還在主動防御方面都號稱有所突破和創(chuàng)新。我們還可以結(jié)合一些銀行為防范網(wǎng)銀木馬通過殺軟公司定制的專用小工具或者360安全衛(wèi)士等一些免費工具在網(wǎng)銀操作前查殺木馬。

6．Usb Key注意事項

沒事的時候不要將Usb Key接入電腦，只在交易時候進行接入。交易時接入Usb Key，輸入pin碼完成交易后，立即將Usb Key取走。

存于硬盤的文件數(shù)字證書較容易被竊取，有些銀行已經(jīng)開始棄用。所以建議網(wǎng)銀用戶不要采用此種方式。

瞻

由于Windows等平臺的不可信性，決定了基于其上的網(wǎng)銀客戶端安全性不可能得到根本的保障，只能不斷通過技術(shù)手段增強其安全性，增加其被破解的難度。若要從根本上解決網(wǎng)銀的安全問題，必須借助一個相對安全、可信的第三方。

基于手機的解決方案：手機的普及及其相對安全的特性使其具有了成為可信第三方硬件的可能，而且現(xiàn)在很多銀行都在業(yè)務(wù)上有對手機短信的使用。銀行服務(wù)端只需在網(wǎng)銀用戶進行到交易確認步驟時，給用戶注冊的手機返回主要交易信息（如轉(zhuǎn)帳業(yè)務(wù)中轉(zhuǎn)入帳號、轉(zhuǎn)入金額等）以及一個用于完成交易的確認碼，用戶確認交易信息無誤并輸入確認碼后才能正確完成交易。這樣基本可以杜絕在客戶端利用信息偽造進行網(wǎng)銀盜竊。但現(xiàn)在幾乎所有的銀行都沒有采用這種方式，可能是基于成本或者短信實時性方面還不完善等方面的考慮。

基于帶有顯示屏、確認鍵的Usb Key：通過Usb Key中足夠安全的加密我們可以假設(shè)從Usb Key輸出的內(nèi)容是安全的，那么如何保證輸入信息的真實性和用戶的可參與性則成為網(wǎng)銀安全的關(guān)鍵。顯示屏用來將用戶通過客戶端輸入的內(nèi)容真實的顯示出來，用戶完成交易信息確認后通過Usb Key的確認鍵完成交易。這樣也可以有效的防止交易信息的偽造。

值得慶幸的是金融行業(yè)已經(jīng)開始出現(xiàn)了帶有顯示屏、確認鍵的二代Usb Key的網(wǎng)銀系統(tǒng)，盡管還處于內(nèi)測階段，相信不久就會正式面市，其價格肯定會比一代Usb Key貴些，應(yīng)該在百元左右，盡管價格不菲，如果其安全性果如其然，對進行頻繁網(wǎng)銀業(yè)務(wù)或者大額網(wǎng)銀業(yè)務(wù)的用戶還是物有所值的。

鑒于成本等方面的考慮，未來的網(wǎng)銀的安全手段不可能在短時間內(nèi)出現(xiàn)某種技術(shù)一枝獨秀、一統(tǒng)天下的局面，“裸奔”（只依賴計算機安全）的用戶、動態(tài)口令用戶、Usb Key用戶等諸侯割據(jù)的局面還會在相當(dāng)長的一段時間內(nèi)共存，網(wǎng)銀用戶可以根據(jù)自己對安全性的不同需求進行相應(yīng)的選擇。