文档介绍:【工作论坛】
网银安全问题求解
张晓锋
中国人民银行许昌市中心支行河南许昌
摘要网银大盗经常同时采用多种技术来保证窃取过程的成功率和隐蔽性。随着网银业务的不
断普及、深入和扩展越来越多的新业务正在或即将被推出而黑客们的跟进速度也总是很快
的可以预见更隐蔽、更先进、更有创造性的犯罪手段也会在不久的将来出现。为此笔者提出
解决问题之策。
关键词网银安全风险管理电子银行
文章编号中图分类号文献标识码
一、网银安全现状据都会被发送到黑客那里。
网银交易由于成本低廉、资金周转方便、不受时键盘记录即通过木马程序监视用户正在操作
间和地域的约束、覆盖面广等一系列相对于传统银的窗口如果发现用户正在访问某网银系统的登录
行的优势使得我录所有从键盘输入的内容用于
梯式发展的趋势。然而随着网银业务的越来越活跃获取网银的账号和密码。
网银所面临的安全威胁也将越来越严重近期公布嵌入浏览器执行主要通过嵌入浏览器进程中
的一份针对网上银行的病毒调查报告显示从的恶意代码来获取用户当前访问的页面地址和页面
年月到年月期间全国感染各类网络银内容此外还能在用户数据包括账号密码以
行木马及其变种的用户数量增长了倍用户每安全加密方式发送出去之前获取它们。
月感染病毒及其变种的数量约有种左右而且屏幕“录像”有些网银木马会进行“录像”在
病毒发展正在呈加速上升趋势。《中录用户点击鼠标时
行调查报告》显示基于网银安全的考虑首次开通的鼠标坐标以及当时的屏幕截图。黑客根据这些数
网银并申请网银证书的个人用户的比例较年据可以完全回放出用户在进行交易时敲击了哪些
增加了近个百分点。而且非现有用户最键、点击了哪些按钮、看到了什么结果。
担心的是网银的安全性这一比例比年上升了窃取数字证书文件有些网银系统允许用户把
。网上银行是银行业务大幅拓展的关键所在但证书保存成硬盘文件这也是一个安全隐患某些木
安全已成为网上银行发展进程中最突出的问题。马程序能够准确识别个人银行系统保存证书的整个
目前发生的网银安全事件根据起因主要分为流程的每个步骤并自动记录必要的数据最终再复
两类一是系统安全风险二是身份风险身份风险制一份证书文件。
又分为银行方面的身份风险和用户方面的身份风伪装窗口这类网银木马首先向浏览器注入
险。对系统风险来说主要指病毒等这类风险目前一个用以监视当前网页的网址同时记录键
还未形成规模。对身份风险来说目前大多数案件都盘。当发现用户输入了卡号、密码并进行提交以后
来源于此比如“网上钓鱼”案件是银行的身份被迅速隐藏浏览器弹出自己的窗口。木马弹出的窗口
仿制进行账户密码盗窃是个人的身份被仿制。当看上去和在线理财的页面非常相似并且包含一些
前网银大盗们的攻击手段主要有以下几种“钓鱼”文字称由于系统维护需要用户必须重新输
钓鱼网站即黑客首先建立一个酷似网银官方入密码。当用户再次输入的密码和最初登录时的密
网站的假网页用于诱骗用户输入账号密码等信息码吻合时木马就会把密码发送给木马作者。
或者包含用于种植木马的恶意脚本。然后给假网页二、应对之策
申请一个酷似官方网址的域名等待用户由于拼写以上列举了网银大盗常用的攻击手段实际上
错误而连接进来