網銀安全缺陷與預防策略

導語：網銀安全缺陷與預防策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

網絡銀行（以下稱網銀）是由各銀行為方便用戶進行余額查詢、交易查詢、轉賬以及付款等操作而開通的網站［1］。網絡銀行也被稱為“移動的銀行營業廳”。截至目前，很多銀行都已經開通了網銀業務。各個銀行的網銀所提供的業務大同小異，但是其使用的安全技術卻存在較大差異。中國銀行、中國建設銀行、中國工商銀行和中國農業銀行并稱為四大國有銀行，它們采取了不同的安全機制來保證用戶資金的安全和網銀業務的順利進行［2］。

1網絡銀行現在使用的安全技術

1．1中國銀行

中國銀行推出2種網銀產品，即查詢版網銀產品和動態口令牌網銀產品。查詢版網銀只可對關聯的賬戶進行資金查詢和交易查詢操作，功能有限但是非常安全；動態口令牌網銀產品支持涉及資金變動的操作。

1．1．1中國銀行的主要安全技術

中國銀行主要采用動態口令牌的安全技術。動態口令牌是一種內置電源、密碼生成芯片和顯示屏、根據專門的算法自動更新動態口令的硬件，每60秒隨機更新一個密碼。其使用方法十分簡單，在登錄網銀或者轉賬時，用戶只要根據提示輸入動態口令牌當前顯示的動態口令即可。在其他安全措施上，中國銀行采用了短信登錄、安全控件防范、短信提醒、預留“歡迎信息”以及交易限額控制等方法。從資金變動業務來看，中國銀行使用三道身份認證來保證用戶網銀中的資金安全［3］。

（1）第一道身份認證。登錄中國銀行網銀時使用的用戶名和密碼構成了第一道身份認證。用戶名（6～20位數字和英文字母）和密碼（8～20位數字和英文字母）是只有用戶才能掌握的信息，用戶名和密碼不匹配則無法登錄。

（2）第二道身份認證。若用戶進行涉及資金變動操作的業務，則需選擇“動態口令登錄”，此時動態口令牌所顯示的動態密碼構成第二道身份認證要件。

（3）第三道身份認證。在用戶使用中國網銀進行轉賬時，網銀會再次要求用戶輸入動態口令密碼和交易密碼，動態口令密碼是隨機產生的，交易密碼是用戶在銀行柜臺設定的，這次身份驗證構成了賬戶安全的最后一道重要屏障。

1．1．2中國銀行網銀安全小結

中國銀行網銀安全小結內容見表1。

1．2中國建設銀行

中國建設銀行提供兩種網銀產品，即動態口令卡（區別于動態口令牌）網銀產品和U盾網銀產品，2種產品都能夠進行資金變動業務［4］。中國建設銀行不提供單純查詢版的網銀產品。

1．2．1動態口令卡技術的網銀產品

動態口令卡是在辦理業務時，銀行交給用戶的密碼口令卡。每張卡覆蓋有30個不同的密碼，每次轉賬使用一個，按照次序進行。比如用戶按次序使用第12個密碼時，只需刮開使用即可。然后數字證書配合動態口令卡，即可完成轉賬等涉及資金變動的操作。需要注意的是，這個動態密碼不是隨機產生的，而是已經“固定”下來了。動態口令卡使用2道身份認證來保證支付賬戶的資金安全。

（1）第一道身份認證。中國建設銀行的身份證號碼和密碼認證構成了第一道身份認證。相對于銀行賬戶和密碼的登錄方式，該方式更有利于增強用戶的安全性。同時，登錄界面使用圖形鍵盤的方式輸入密碼，在一定程度上能夠防范鍵盤記錄木馬的盜取。

（2）第二道身份認證。數字證書和動態口令卡中的口令構成了第二道身份認證。數字證書是一個加密文檔，當用戶在銀行柜臺開通該項業務后，可在一周之內登錄網站下載數字證書，數字證書具有唯一性和不可偽造性；動態口令卡中的密碼也是一次一變；交易密碼是用戶在柜臺辦理時設定的。

1．2．2U盾技術的網銀產品

U盾則是使用獨立的物理介質和U盾密碼來保證網銀安全。U盾大小、形狀都類似于U盤，由用戶保管。當用戶辦理U盾后，轉賬之前首先要在計算機上安裝相應的U盾管理軟件。在用戶進行轉賬時，U盾要插在計算機上。轉賬的時候不僅要輸入交易密碼，也要輸入U盾密碼。同樣，U盾類型的網銀產品需要經過2道身份認證才可以進行涉及資金變動交易。

（1）第一道身份認證。和動態口令卡網銀產品一樣，使用身份證號碼和登錄密碼作為第一道身份認證。

（2）第二道身份認證。U構成盾第二道身份認證的要件。使用U盾進行資金變動時，需同時滿足3個條件：一是U盾必須要插入用戶的計算機中，同時要確保計算機已經安裝U盾客戶端管理軟件；二是轉賬或者支付時必須輸入交易密碼，該密碼是用戶在銀行柜臺設定的；三是必須輸入U盾的密碼。3個條件缺一不可。

1．2．3中國建設銀行網銀安全小結

中國建設銀行網銀安全小結內容見表2。

1．3中國農業銀行

中國農業銀行發行2種網銀產品，一種是動態口令卡網銀產品，一種是飛天誠信K寶網銀產品，兩種產品的各自功能和特點與中國建設銀行的動態口令卡和U盾基本類似［5］。中國農業銀行的動態口令卡不是一碼一刮的，而是隨機出現的，轉賬的時候會出現類似于H3B4這樣的序列，用戶查詢口令卡即可輸入相應密碼。

1．4中國工商銀行

中國工商銀行同樣提供動態口令卡和動態口令牌兩種形式的網銀身份認證方式［6］。動態口令卡類似于農業銀行的動態口令卡，動態口令牌類似于中國銀行的動態口令牌。

2四大銀行網銀存在的安全隱患

2．1網銀存在的安全隱患

2．1．1數字證書存在被他人提早下載的漏洞

用戶在銀行柜臺開通網銀后，如果他人獲得了用戶賬戶和密碼，就可能搶在用戶之前登錄網銀網站，搶先注冊并下載數字證書。雖然這樣并不一定導致用戶的資金被盜，但這畢竟是危險的“窗口期”［7］。

2．1．2動態口令卡存在被竊取的安全威脅

口令卡至少有2個安全威脅：一是有的口令卡在表膜沒有刮開的情況下就可以透過保護層看到密碼，只要用強光照射即可；二是如果動態口令卡采取的“固定的”動態密碼而不是隨機產生的，例如中國建設銀行的動態口令卡，那么用戶登錄了釣魚網站或者遭遇瀏覽器劫持，就可能將真實的動態密碼提交給他人。

2．1．3數字證書存在被竊取的安全威脅

數字證書是配合動態密碼共同使用的一項重要的安全保護措施，但是該文件是存放在計算機中的，因此也就存在被竊取的可能。早在2004年，木馬Tro－janSpy．Banker．s和TrojanSpy．Banker．t就能準確識別用戶銀行系統保存證書的整個流程，并且自動偷取口令，復制證書文件［8］。

2．1．4U盾存在被

“遠程調用”的安全威脅U盾作為獨立物理介質更安全，但當用戶的計算機被遠程控制（例如QQ遠程協助、遠程控制木馬）時，插在計算機上的U盾則成為了其他人盜取用戶網銀的“鑰匙”。當然，網銀網站是無法甄別出用戶的U盾是否遭遇冒用。

2．2四大銀行的網銀安全漏洞

從網銀產品的安全漏洞角度，可以整理出不同網銀產品存在的安全威脅，如表3所示。

3黑客盜取網銀的方法

3．1使用綜合性木馬盜取網銀

綜合性木馬是指包含鍵盤記錄、屏幕查看、遠程控制等多種功能的木馬。使用綜合性木馬可以盜取U盾系列的網銀產品。盜取機理：使用鍵盤記錄功能記錄下用戶登錄銀行的用戶名、密碼、交易密碼和U盾密碼，如果用戶使用屏幕鍵盤則采取觀察屏幕的方式獲??；利用用戶U盾插入計算機的機會，遠程控制用戶計算機盜取網銀。

3．2使用網銀木馬盜取網銀

網銀木馬盜取網銀的效率更高。盜取機理：這類木馬會自動檢測用戶瀏覽網頁的網址，一旦出現網銀網址就會啟動鍵盤記錄，記錄賬號、密碼、交易密碼等，并同時盜取用戶計算機中的數字證書發至黑客郵箱。一些網銀木馬還利用瀏覽器劫持技術在正常的網銀頁面中彈出“內嵌式”釣魚網站頁面，要求用戶輸入動態口令密碼所有排列組合。

3．3使用釣魚網站盜取網銀

黑客創建高度仿真的網站，然后通過搜索引擎、門戶網站、釣魚郵件、欺騙短信等方式誘使用戶訪問。盜取機理：一旦用戶信以為真，就會將自己真實的賬號和各種密碼主動提交給釣魚網站，對于隨機產生口令的動態口令卡；使用坐標輪回技術或者直接誘騙用戶輸入全部序列口令卡的方式獲取。

3．4使用瀏覽器劫持盜取網銀

盜取機理：盜取思路非常簡單，就是替換支付頁面，用戶購買商品正常情況下應當支付A頁面賬單，但是黑客使用瀏覽器劫持技術將支付頁面替換成為B，由于支付頁面中沒有收款人姓名只有訂單號碼，用戶不察的話就容易上當。

4網銀安全的重要法則

4．1安全法則

保證網銀的安全并非難事，只要做到以下幾點就足可以保證網銀的安全［9］。

（1）使用安全的網銀產品。建議使用U盾或者動態口令牌，不建議使用動態口令卡［10］。在使用網銀轉賬時，注意在需要插入U盾的時候插入，完成轉賬后應立即拔出。

（2）必須使用短信驗證。短信驗證信息無疑是黑客無法獲取的信息，因此短信驗證能夠幫助用戶建立一道堅固的安全屏障。

（3）準確記住網銀的正確網址、付款時確認收款人姓名。準確記住網銀的正確網址，手工輸入是最穩妥的方法。在付款環節一定要查清收款人的姓名，在電子商務支付時一定要看清訂單的金額。

（4）各種類密碼應不同。用戶的登錄密碼、交易密碼、U盾密碼、數字證書安裝驗證密碼等諸密碼要保證碼碼不同。

（5）開啟系統防火墻并且不允許例外。為了防止黑客利用木馬控制計算機，在計算機無其他對外服務程序的情況下，可以將系統防火墻打開并且選擇“不允許例外”，這樣，由于系統就會拒絕對外部提供服務，從而導致木馬失效，杜絕了黑客遠程控制計算機的可能。

4．2網銀盜取的防范措施總結

5網銀安全的其他注意事項

為了保證網銀的安全，除了要遵守網絡安全的重要法則外，還需要注意以下幾個方面：

（1）使用專用網銀賬戶?？梢允褂眯沦~戶并開通網銀，堅持“花多少、存多少”的原則，避免大金額損失。

（2）使用短信通知。綁定賬戶的手機短信通知可以及時了解賬戶的金額變化，以便采取掛失、凍結賬號等及時措施。

（3）定期查詢賬單明細。定期查詢賬單明細，可以防止盜取者“螞蟻搬家”式的盜取行為。

（4）堅持圖形鍵盤密碼。在輸入密碼時，如果有圖形鍵盤則盡量使用圖形鍵盤。因為圖形鍵盤相對于輸入鍵盤安全性高。

（5）不在公共計算機上使用網銀。除非特別需要，不要在公共計算機上使用網銀。

（6）及時對系統進行更新維護，定期掃描殺毒。及時進行系統更新，及時更新殺毒軟件病毒庫，定期進行掃描殺毒，查殺木馬。

（7）使用網銀的安全控件。各個網銀的安全控件對于保護密碼、防止木馬入侵具有一定的保護作用，應當正確使用，保證網銀安全。