正在阅读:江民反病毒专家谈网银相关安全、漏洞问题江民反病毒专家谈网银相关安全、漏洞问题

2009-04-07 15:34 出处:PConline原创 作者:城市猎人 责任编辑:zhangxinxin

江民反病毒专家认为网银安全当前存在四大问题

  网上银行安全机制经过多年的自我完善,目前其自身以及验证机制相对安全,江民反病毒专家认为,目前网上银行存在的安全问题主要在于客户端以及相关的第三方支付环节,主要包括以下四个方面:

  一、被黑客远程控制的电脑存在被黑客异地转帐的可能性。

  如果一台电脑被黑客成功控制为"肉鸡",那么当用户利用这台电脑进行网上银行操作时,黑客可能会监控到相关的网上银行操作动作,并利用木马程序获得账号密码,然后利用用户正在使用的U盾等移动硬件数字证书,成功将正在使用的网上银行进行转帐。这种情况可能实现的前提是,一是该台电脑被远程控制,二是该用户正在使用U盾进行网上银行转帐,三是用户没有使用手机验证等服务。

相关文章推荐《进口木马大闹中国互联网 “IK网银盗号器”公开销售

  二、无法防范IE浏览器被劫持的风险。

  银行U盾的功能是对交易信息进行加密认证,认证后的交易信息可以满足准确、完整、不可伪造、不可否认的特性。在实际的网银操作流程里,用户在IE浏览器中形成交易信息,再由IE浏览器把交易信息传递给U盾进行认证。U盾完全信任IE浏览器,即使IE提交了一笔经过篡改的交易,U盾也不能发现,照样进行认证。因此,如果一个木马病毒通过某些技术手段,能够完全控制IE浏览器,就可以对网银用户的交易信息进行篡改,一旦用户确认交易,被篡改的交易就和正常交易一样,经过认证、发送,并最终执行。

  三、虚假的网上交易订单往往可以以假乱真。

  病毒在监控到用户电脑在进行网上购物时,会把用户的当前页面跳转到黑客特别设置的虚假付款页面。由于网上购物的收款方一般都是同一家第三方支付平台(如拍拍网的收款方都是深圳腾讯技术公司,淘宝网的收款方都是浙江支付宝网络有限公司等),真假网页同的只是订单号和交易金额的差异,这种情况下常常有粗心的用户点击确认付款,结果把原本正常购物的钱付给了黑客在虚设的帐号上。

  四、与第三方支付平台的对接存在可被利用的漏洞。

  许多网上银行与第三方交易平台进行了对接,这就给黑客盗取网上银行用户资金提供了可趁之机。第三方交易平台曾经出现可被利用的漏洞,并发生过多起用户资金被盗的案件。因为网上银行与第三方交易平台息息相关,因此第三方交易平台的安全性对网上银行的发展作用也不容忽视。

江民专家谈个人用户如何保护自己的网上银行安全

  今年央视的"3·15"晚会曝光了一系列因个人身份信息泄露,给用户资金安全带来威胁的事件,将网银安全问题推上了风口浪尖。晚会中报道了由于个人网银信息的大量泄露,部分网银客户资金被盗,引起了社会各界的广泛关注,网银用户普遍担心自己的网银账户是否安全,甚至有不少客户打消了继续使用网银的念头,网银的安全性再次成为公众关注的焦点。

  目前,网银业务已经占到传统柜台业务的30%以上,据中国银行业协会统计,截至2008年末,金融机构网上银行个人客户达到14814.63万户,网上银行企业客户达到414.36万户。随着网上银行的迅速发展,利用信息网络技术的犯罪也在迅速增长,个人用户如何才能保护好自己的网银账户安全,成为亟待解决的问题。

  江民科技反病毒专家就个人用户如何保护自己的网银安全,提出几点建议:

  1、要选用银行能够提供的最安全的交易方式。虽然措施越安全往往造成易用性下降,也会带来一定额外成本(如购买移动硬件证书),但的确可以避免绝大部分网银木马的威胁,同时在进行网银交易的计算机要安装正版杀毒软件、确保病毒库升级到最新版本,同时确保各种主动防御和实时监控处于开启状态;

  2、在登录网上银行网站时,应直接输入其域名,不要通过其他网站或者搜索引擎提供的链接进入,这些链接可能将用户导入虚假的银行网站;同时在使用网上银行进行转帐、网上支付等操作时,一定要仔细认真核对当前网址和交易内容,尤其注意收款人的姓名和账号,发现异常要立即取消交易,交易完毕后要及时退出网银系统,并且将移动硬件证书立即从电脑上取下,同时不要在连接互联网的电脑中储存网银的账号和密码。

  3、提高网络安全意识,除了不要登陆一些来源不明的网站,不要打开可疑邮件,更不要在网吧、酒吧等公共场所登陆网银账号,也不要登录一些技术不完善的支付平台;

  4、要定期更换密码,同时不要将网络游戏聊天工具、网络银行的密码设置为同一个,密码中最好带有生僻的符号。如果条件允许,最好将娱乐和工作分别在两台电脑中进行,确保交易环境无毒。

  5、合理设置网上银行转帐和支付金额,不要将网银转帐和支付金额设定太高。现在银行为了保护用户的自己安全,对网上转帐和网上支付都进行了金额的限制,用户可以根据自己的需要对额度进行控制。

  随着科技发展,网络犯罪的手法更是层出不穷,从利用病毒入侵用户电脑系统盗取网银账号密码,到利用"浏览器劫持"技术控制用户网银交易内容,骇客们的手段可称之为无所不用其极。尽管银行和各大安全厂商都采取了各种措施,保障交易系统的安全,而个人用户的网银账号密码安全,则更有赖于互联网环境的整体改善和用户网络安全意识的逐步提高。

江民建议网银采用"U盾+短信确认"的交易验证方式

  近年来随着网上银行的迅速发展,网上银行已经成为大众普遍使用的交易渠道之一。据不完全统计,2008年的网上银行交易金额接近300万亿元。如此庞大的市场,更是令一些不法分子垂涎,大量盗号、远程控制类木马病毒充斥在互联网上,致使网银用户信息被盗,严重威胁网银交易安全。

  据江民反病毒专家介绍,目前骇客针对网上银行的犯罪主要是通过木马程序和各种诈骗手段进行,其中木马程序主要包括远程控制类病毒,如灰鸽子,窃取账号密码的盗号类病毒,控制用户网银交易内容的浏览器劫持类病毒;诈骗手段主要是通过虚假邮件及虚假网站等,诱骗用户在伪造的网页上输入自己的网银账号密码,以达到盗取用户网银账号密码的目的。

  随着近年来网银事故频频发生,为了保障用户的资金安全,各家银行对网上银行都采取了更加严密的安全保护措施,取消了以往"账号+密码"的简单模式,而普遍采用双因素、多因素的认证手段,例如采用数字证书或动态口令等。江民反病毒专家指出,"各家银行系统的安全性不尽相同。目前最安全的网银交易方式应该是硬件数字证书(如U盾等)并辅以短信确认的方式,但目前并非所有的交易平台都强制应用了这种交易方式。账号+密码、账号+密码+数字证书文件(软证书)、账号+密码+硬件证书(无短信确认)等方式都存在着被用户客户端木马利用的可能"。

  针对网银安全的现状,江民反病毒专家给出了几点建议:一方面银行应持续改进和加强银行内部系统的安全性,虽然银行内部系统不受用户客户端木马的威胁,但可能受到黑客的直接攻击。内部系统一旦被攻陷,造成的损失将会是无法估量的;另一方面,银行应充分考虑到网银交易客户端的安全性,继续加强推广硬件数字证书的力度,加强客户端软件的安全性,采取短信确认等方式,来尽量规避客户端木马给用户带来的风险。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品