专家曝光网银“高危用户”
网上银行是否安全?是否还能让大家放心使用?在央视“3·15”晚会对黑客产业链曝光之后,这一直是热点话题。艾瑞咨询机构的调查显示,近三成的用户决定减少使用网银,近六成的潜在用户决定推迟使用。而北京晨报记者调查发现,网银的安全问题有被用户在心理上夸大的嫌疑,绝大多数所谓的“网银大盗”,不过是一群谈不上技术含量的“普通骗子”。“我们也怕这影响了用户的判断。”中国工商银行电子银行中心业务管理处副处长孙宗群对北京晨报记者透露,容易丢失网银账号和密码的“高危人群”,其实只有两类:一类是急性子,一类是马大哈。
案例:钱从银行不翼而飞
金山互联网安全公司工程师王嗣恩最近正在帮人处理电脑中的病毒,试图找回从网上银行中丢失的几千元钱。
“丢钱时,老太太正好在网上买电话充值卡,准备付账时,支付页面突然弹出网上银行系统正在升级的通知,不但要求用户重新输入银行卡密码,还要求用户输入更加机密的手机动态密码,而当多次输入均‘无效’后,电脑就黑屏死机、系统崩溃,老太太以为是电脑问题,于是就让儿子重装了系统,第二天上网一查,才发现几千元钱都已从网上划走。”
王嗣恩几乎可以确定用户的被盗源于某种病毒,当病毒“探知”用户正要打开支付网站或者银行网站页面,它就会自动发出“银行系统升级”的假页面信息,骗取卡号、密码以及其他加密措施的密钥,再直接破坏系统。“其实只要当时拆下硬盘,就可以找到盗取者和病毒的信息。”
“我朋友的例子算得上典型,但其实并不多发,可只要出了一例,就会让大家特别害怕,这应该是目前网上银行安全的现状。”王嗣恩说。本版撰文 晨报记者 张黎明
最易攻破的人群:
急性子和粗心者
在王嗣恩看来,绝大部分网银账号和密码丢失并不是在高级黑客的攻击之下,而是盗窃者利用了人们心急的弱点和对网上银行不熟悉,靠“骗”得来的,这一观点和孙宗群相同。
孙宗群举例说,有两类用户最容易成为盗窃目标,“一类是急性子,不管是在网上购物也好,跟别人交易打款也好,都想着快点完成。”来自支付企业支付宝的“反诈骗”提示也特别举例说明,“一些网络买家太急于购物,并没有使用货到后再打款的‘担保’功能,而是听信卖家的催促,使用了‘直接到账’功能,这很容易上当。”
另一类则是粗心者。记者在调查中发现,利用病毒来骗取用户卡号和各种密码比较常见,但盗窃者需要为此制作假网页和网站,“请客户认真观察,真正的银行支付页面,在地址栏都是用‘https’开头,比普通的网页多了个字母‘s’,浏览器右下方还有个小锁图标。”孙宗群认为,只要能细心识别支付网页的真假,绝大多数被盗事件都能避免,“如果记不住那么多,请一定要记住那把锁。”
最复杂的骗局:
网上银行安全软肋
当然,要对网上银行动手脚并非不可能,但这要求盗窃者具有一定的技术基础和耐心。实际上,目前网络银行普遍采用的三大安全措施都可以找到漏洞,只要黑客用心琢磨,而又恰好碰上了用户的“配合”,盗走账户中的财产并不难。
被认为最安全的防护措施 “硬证书”U盾,都有可能出问题,“一种情况是黑客已经远程控制了你的电脑,又正好发现了你的网银账户里资金充裕,这时候,如果你使用完网银还没及时拔掉U盾,这种最安全的保护措施自然就失效了。”王嗣恩说。而孙宗群给出的例子则更为复杂,“我们曾经遇到过一种情况,骗子先发过来一个假网页骗走了卡号和密码,随即登录用户的网上银行,却发现还需要U盾才能提款,因为无法攻破U盾,于是他接下来给出真的支付页面,但却悄悄改动了支付金额,用户一不小心就上当了。”
对另一种防护措施“口令卡”来说,支付密码也必须靠骗取。孙宗群举例说,“同样是先用假网页骗得卡号和密码,接下来,偷盗者会制造网站正在升级等假象以争取时间,继续骗取用户的口令卡密码,最后,骗子再登录用户真正的银行网站完成转账。”
相对而言,第三种保护措施“软证书”(也就是直接下载到电脑中的数字证书)的风险更大一些,不过,中国金融认证中心的信息安全专家提醒说,目前已经有专门保护软证书密码的“保险箱”技术,如果用户采用,能大大提高安全性。
最有技术含量的威胁:
让电脑成为“肉鸡”
在所有的偷盗方式中,最有技术含量、也最让用户无可奈何的一种就是“远程控制”,也就是让用户的电脑成为黑客圈子里俗称的“肉鸡”,这才是真正的“偷盗”。
本报在2007年3月曾经对这种“肉鸡产业链”做过报道,当时,每一只“肉鸡”的价格在0.1元到1元不等,因为有人在网上贩卖远程控制程序,买卖“肉鸡”资源也很流行,资深商贩一个月内可以抓到10万台电脑,进账万元。而一旦电脑成了“肉鸡”,黑客通过远程监控,控制用户电脑中的各种资源,自然就能得到卡号和密码,也根本不用骗取软证书密码,甚至可以利用硬证书U盾正插入电脑时赶紧取钱。
“不过,这多半是一次性的。”王嗣恩说,用户往往都设了一次转账的上限,如果不是靠设置虚假交易的骗取来配合,光是靠偷,黑客也只能随着用户的行为取一次钱,而用户一旦发现,马上就会请求银行封掉账户,这样,黑客也只能等待下一次机会。“‘肉鸡产业链’现在仍然红火。”王嗣恩说,“但主要不是用来控制网银的,除非它偶然发现你的确很有钱,或者是熟人之间有意为之。”而且,现在杀毒软件的技术已经可以检测出你的电脑是否成了“肉鸡”,以便帮助用户及时脱身,这对于灰色产业链来说也是一次巨大的打击。