“客戶安全須知：尊敬的×××先生，您好!我們是中國工商銀行網(wǎng)銀安全科。由于您的賬號在網(wǎng)上銀行登錄，輸入錯誤密碼次數(shù)過多，可能您的賬號和密碼被不法分子盜用，近日已臨時凍結(jié)您的賬戶。請您盡快點擊下面鏈接，登錄中國工商銀行e通道修改您的密碼?！?/P>

如果你恰好是工行的網(wǎng)上銀行用戶，直接點擊里面的鏈接，修改自己的銀行卡密碼，再去查詢余額時你就會發(fā)現(xiàn)賬戶里已經(jīng)一文不剩。在沒有數(shù)字證書和U盾保護(hù)的年代，用這種方法盜取網(wǎng)上銀行錢財很容易得手。對每個使用網(wǎng)上銀行的人來說，這無疑是個噩夢。

即便是在有數(shù)字證書、U盾、動態(tài)口令卡甚至指紋認(rèn)證等嚴(yán)密安全保護(hù)的現(xiàn)在，人們享受著網(wǎng)上銀行帶來的方便時，仍在為它的安全性擔(dān)心。

方便，但安全嗎?

如果為一小筆匯款或轉(zhuǎn)賬而去銀行營業(yè)廳排上幾十分鐘甚至幾小時的長隊，顯然是在謀殺自己的時間和生命。而開通網(wǎng)上銀行之后就可以足不出戶地完成這些操作，整個過程僅需要短短幾分鐘。然而當(dāng)網(wǎng)上銀行的方便之門大開的時候，網(wǎng)絡(luò)犯罪的黑手也伸了進(jìn)來。在看到很多網(wǎng)上銀行遭竊的新聞之后，人們不禁要問：我們的網(wǎng)上“錢包”是怎樣被偷的?

其實，網(wǎng)上銀行面臨的安全威脅只有兩種：一種是攻心，即以各種網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚等手段引誘用戶將網(wǎng)上銀行賬戶信息拱手讓給網(wǎng)絡(luò)犯罪分子;另一種是實體攻擊，通過木馬、惡意插件、后門程序等惡意程序或黑客技術(shù)竊取用戶賬號和密碼等信息。

第一種安全威脅瞄準(zhǔn)了安全環(huán)節(jié)中最容易出問題的地方——人。本文開頭提到的情況，就是用發(fā)送垃圾郵件的方法假冒銀行工作人員以騙取用戶網(wǎng)上銀行信息。此外，一些網(wǎng)頁、下載軟件、視頻軟件和聊天軟件等彈出的中獎信息，甚至手機(jī)接收到的垃圾短信，都是在竭盡所能地騙取用戶的網(wǎng)上銀行信息。不過，人的因素雖然會帶來不利，但是只要加強(qiáng)防范意識、提高警惕，伸向網(wǎng)上銀行的黑手就很難得逞。

實體攻擊是最主要的安全威脅，不僅花樣繁多，而且新的攻擊手段不斷出現(xiàn)。這種攻擊“技術(shù)含量”很高，普通人很難應(yīng)對，即便提高警惕、加強(qiáng)防范也很容易遭受損失，需要專業(yè)的安全技術(shù)來應(yīng)對。

“盜”高一尺，“我”高一丈

針對網(wǎng)上銀行的攻擊手段種類繁多，新的惡意程序和黑客技術(shù)不斷出現(xiàn)和發(fā)展，因此，相應(yīng)的安全技術(shù)也不斷地發(fā)展和完善?？ò退够a(chǎn)品部經(jīng)理高瑋告訴記者：“到目前為止，針對用戶網(wǎng)上銀行賬戶密碼的保護(hù)措施大概有五種類型?！彼鼈兪前殡S著網(wǎng)上銀行的發(fā)展而發(fā)展起來的。

1999年招商銀行在國內(nèi)首家啟動網(wǎng)上銀行的時候，基本的安全措施就是輸入賬號和密碼才可以登錄。在這種情況下，用戶賬戶信息都是明文的，而且與銀行卡的原始信息相同，黑客很容易竊取用戶的錢財。

因此，銀行又開始推出新的安全措施：第一次使用網(wǎng)上銀行的用戶都需要先使用銀行卡的賬號密碼去注冊，自定義一個網(wǎng)上銀行的賬號密碼，這就大大提高了用戶原始賬戶信息的安全性。但是黑客也發(fā)明了新的攻擊手段，高瑋說：“一種是在用戶端通過截取用戶操作時的屏幕圖像，并用key logger(鍵盤記錄器)記錄用戶鍵盤輸入來截取賬號密碼;還有一種是通過終端軟件竊取用戶進(jìn)行網(wǎng)上銀行操作時傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，然后將其恢復(fù)為能識別的明文來竊取賬號密碼?！?/P>

對此，銀行又推出數(shù)字證書用于對傳輸過程中的數(shù)據(jù)進(jìn)行加密，同時用于驗證用戶身份，通過數(shù)字證書加上密碼的形式來給用戶提供安全保護(hù)。江民科技反病毒工程師戴碩告訴記者：“最初數(shù)字證書是以軟件形式保存的，雖然也具備了PKI(公開密鑰體系)加密的特性，但是數(shù)字證書本身也就是一個普通的計算機(jī)文件，很多新的病毒木馬可以偷走證書文件，這樣一來用戶賬戶信息又得不到有效的保障?！?/P>

反病毒之路就是這樣，雙方在不斷較量中發(fā)展，道高一尺，魔高一丈。針對數(shù)字證書可以被竊取的問題，銀行又開始推廣硬件數(shù)字證書。例如工商銀行的U盾，將數(shù)字證書保存在特制的具有PKI加密功能的USB設(shè)備中，用戶進(jìn)行網(wǎng)上銀行操作時不僅需要提供交易密碼，還需要提供USB設(shè)備的訪問密碼來讀取數(shù)字證書，以驗證用戶身份并對操作過程進(jìn)行加密。

現(xiàn)在有的銀行還會采取其他保護(hù)措施，比如向用戶提供動態(tài)密碼卡片。國外銀行使用這個方法的比較多，一般采取雙重動態(tài)密碼，需要兩次認(rèn)證才能通過，黑客基本沒有辦法對密碼進(jìn)行截取。

安全不會成為絆腳石

雖然網(wǎng)上銀行的安全保護(hù)措施嚴(yán)密，但是百密一疏，用戶在使用網(wǎng)上銀行時仍會遭受各種安全威脅的侵襲。

硬件數(shù)字證書雖然很安全，但是需要安裝驅(qū)動程序，使用時還得插上USB設(shè)備，給用戶帶來不少麻煩。此外，由于Vista操作系統(tǒng)和很多USB設(shè)備的驅(qū)動不兼容，可能會導(dǎo)致其無法應(yīng)用。戴碩認(rèn)為，更為可怕的是，大多數(shù)網(wǎng)上銀行要在IE瀏覽器上進(jìn)行操作，而IE允許第三方編寫插件，這使得病毒作者可以編寫特殊的BHO插件。在用戶毫不知情的情況下，這種插件可以將用戶轉(zhuǎn)給張三100元人民幣的操作修改為轉(zhuǎn)給李四1萬元，一旦用戶確認(rèn)，硬件數(shù)字證書的保護(hù)也起不了作用。

此外，還有類似的方法同樣可以讓用戶蒙受損失。高瑋告訴記者：“在登錄網(wǎng)上銀行頁面時黑客可以將登錄的網(wǎng)站重新定向。很多人認(rèn)為只要網(wǎng)址輸入正確，那么打開的網(wǎng)站一定會是正確的，其實不然。因為病毒或黑客可以對Windows的hosts文件進(jìn)行修改，可以將銀行的域名綁定一個偽造的服務(wù)器的IP。Windows在對域名進(jìn)行解析的時候會先去找hosts文件，這時用戶就會被引導(dǎo)到假冒的銀行網(wǎng)站上去?！?/P>

因此，除了銀行方面提供的安全保護(hù)之外，用戶還需要信息安全廠商提供的專業(yè)幫助。面對這種情況，信息安全廠商不斷推出新的應(yīng)對之策。除了傳統(tǒng)的基于特征庫的反病毒模式之外，很多殺毒軟件還增加了一些其他的反病毒模塊。在安全軟件中添加隱私保護(hù)的功能，可以對用戶的安全區(qū)域進(jìn)行保護(hù)，使得Windows系統(tǒng)安全區(qū)域內(nèi)保存的數(shù)字證書和密碼等關(guān)鍵信息免遭竊取。

現(xiàn)在很多殺毒軟件在主動防御中都增加了一個惡意程序的定義，即鍵盤記錄器，以防止試圖記錄用戶輸入的行為。此外，大部分安全軟件融入了IE保護(hù)的模塊，可以檢查IE有沒有受到非法的改變。同時還有對用戶關(guān)鍵文件區(qū)域的監(jiān)控，一旦發(fā)現(xiàn)某些程序或文件正在試圖修改關(guān)鍵文件，就會向用戶發(fā)出警告。

安全廠商通過不斷開發(fā)和應(yīng)用新的技術(shù)和保護(hù)模塊，使得用戶網(wǎng)上銀行的安全可以從多個角度得到保障。雖然新的安全威脅不斷產(chǎn)生，但是回顧網(wǎng)上銀行的發(fā)展歷程，我們可以發(fā)現(xiàn)，新的安全技術(shù)和產(chǎn)品也會應(yīng)勢推出來“降妖除魔”。因此，我們有理由相信，網(wǎng)上銀行必將是新世代銀行的一種發(fā)展趨勢，安全問題不會成為發(fā)展路上的絆腳石。

【編輯推薦】

1. 使用第三方數(shù)字證書，確保網(wǎng)上銀行安全
2. 網(wǎng)上銀行安全手冊：安全使用網(wǎng)銀要點
3. 盜竊問題出在病毒　網(wǎng)上銀行安全不安全