網絡銀行的六個為什么
來源:北京娛樂信報 更新時間:2012-04-14

  你用過網上銀行嗎?你想用嗎?你知道如何用更安全嗎?

  今年以來,關于網上銀行發生騙盜的報道不斷見諸報端。就在本周三又有報道稱,在上海有數十位客戶收到一些不法分子以幾大發卡銀行、銀聯或是所謂“銀行聯合管理局”的名義發送的詐騙短信。短信稱,持卡人的卡號因泄露、被復制、盜用或正在被人冒用消費等,要求持卡人盡快與指定電話聯系確認。而這僅僅是眾多盜騙網銀賬號中最老套的一種。為什么會發生騙盜

  本周二下午,中國信息安全產品測評認證中心系統工程實驗室主任江長青在接受記者采訪時表示:上述網上銀行被盜事件的發生,主要是因為目前國內的網上銀行存在著如下兩個問題。

  一是網銀自身安全包括技術設計、業務應用和安全管理三個方面。在技術設計上,銀行本身不存在大的技術管理上的缺陷。但是目前的大眾版都是由銀行對客戶端的單向識別,這種單向識別就導致了信息的不對等,只有銀行可以識別用戶的身份而用戶無法識別銀行的身份,用戶就無法識別真假銀行網站。在業務應用上,網上支付認證方式存在漏洞。目前國內大多銀行的網上支付業務只要用戶輸入銀行賬號及密碼即可,導致了賬號及密碼很便捷地通過網上購物的方式被盜走。在安全管理上,銀行應該盡可能多地主動注冊與自家網站相近似的、差別小的域名,從而預防用戶誤判。或者可以通過國家立法或與域名管理機構協商,對于與銀行注冊網站相近的網站嚴格把關,一律不予注冊。而目前國內各家銀行還沒有或也沒有條件這么做。

  二是用戶缺乏自我保護意識,這也是目前網銀被盜的最主要原因。一些制造虛假網站的不法分子,正是利用了公眾對網銀的信任,去騙取儲戶賬號信息。此外,由于用戶所使用的計算機的系統安全及上網應用安全防范措施較差導致口令及密碼被盜。其一是自己在使用過程中被人偷看后竊取;其二是在網上登錄輸入賬號信息過程中被竊取(監控)。因為網上信息的傳遞必須經過路由器和交換機,黑客可以通過在網絡的通道口上安裝嗅探器(又叫監控器,一種軟件程序),就可以把被監控對象登錄網銀的記錄通過數據包的方式下載下來,就可以竊取用戶的儲蓄信息。

  為什么專業版至今是零騙盜

  本周三上午,記者采訪了中國金融認證中心(CFCA)總經理李曉峰,采訪中他告知,目前國內的種種騙盜網銀的手段針對的都是大眾版的用戶,因而被盜的也都是大眾版用戶。而尚未出現一例專業版被騙盜的事件,這是因為他們多了一重證書的保護。因為光有賬號和密碼沒有認證證書是無法辦理網上銀行相關業務的。

  該中心一位銀行業專家介紹,大眾版網上銀行是指用戶憑賬號和密碼口令在網上辦理的網銀業務。

  記者在調查了中國銀行、工商銀行、建設銀行、招商銀行、交通銀行、民生銀行、華夏銀行及北京銀行等8家的網上銀行后了解到,這8家的大眾版(普通)用戶除中行和華夏兩家需要前往營業廳辦理開通外,其他的均可直接在網上開通。其中工行、民生、華夏3家除能在網上查詢賬戶余額及明細,還可以進行網上支付、活期轉定期、手機繳費等,而中行的網銀用戶除前面所述外還可以進行外匯買賣、賬中劃轉。盡管大眾版用戶目前存在著種種安全隱憂,但目前國內網上銀行的用戶中,還是使用大眾版的居多,主要原因還是基于大眾版的辦理及使用相對于專業版的開通流程更為便捷。

  為什么騙盜后責任認定有區別

  作為銀行儲戶,人們最關心的是銀行存款網上被盜,銀行應不應該承擔相應的責任呢?

  依據6月30日由央行制定的完成意見征集的《電子支付指引(征求意見稿)》的第四十五、四十六條中規定:“使用數字證書和電子簽名等作為安全認證方式”和“因轉發人或銀行原因造成客戶安全認證數據被盜”兩種情況,銀行將承擔相關責任。在沒有直接責任的情況下,銀行只被要求“積極配合客戶查找原因,盡量減少客戶的損失”。簡單地說,“使用數字證書和電子簽名等作為安全認證方式”的就是指專業版用戶。客戶使用網上銀行專業版進行網上購物,發生的賬戶盜用損失由銀行買單;而“非使用數字證書和電子簽名等作為安全認證方式”的即指大眾版用戶。客戶使用網上銀行大眾版進行網上購物,只要銀行系統不存在問題,無法追回的賬戶盜用損失由客戶自己承擔。而“非資金所有人盜取他人存取工具發出電子支付指令,并且其身份認證和交易授權通過了發起行或轉發人的安全程序,發起行或轉發人對該指令進行處理所產生的后果不承擔責任。”此外,如果該數字證書由合法的第三方認證服務機構提供,且第三方認證服務機構不能證明自己無過錯的,將由其承擔相應責任。

  目前,絕大多數銀行的專業版網上銀行都使用了由中國金融認證中心頒發的數字證書,以保證認證的第三方性,為一旦發生網上交易糾紛時依法進行仲裁提供有效的證據。

  上述8家銀行的營業網點柜臺業務員在記者調查時表示,若大眾版(普通版)個人網上銀行業務因用戶自身的原因導致存款被盜的,銀行不負賠償責任,銀行只對業務的使用風險做出提示。本周二,中國銀聯總部一位不愿透露姓名的高層人士在接受本報記者采訪時透露,征求意見稿中網銀被盜的大眾版用戶將自擔責任一條還沒有最終定論。

  江長青主任表示,網銀對大眾版產生的問題,用戶自擔責任的規定,在國家法律的框架內是合理的,但從最終用戶服務方面還要全方位改進,從技術上改進保護網銀系統的安全以及從用戶到終端的端到端的安全。而網銀的安全有賴于整個互聯網及網上交易的安全、國家整治網絡經濟犯罪法律法規的完善、國家對公眾信息服務安全投入的加大。其呼吁建立類似于天氣預報般的網絡安全預警系統、提供安全的網絡環境、銀行與個人用戶有更恰當的責任分配,而銀行應多承擔一定的網銀風險或由公共的社會保障機構來承擔。

  為什么大眾版用戶要小心五種陷阱

  自去年以來,國內網絡銀行安全開始突顯出來,尤其是申辦程序簡單、安全級別相對較低的大眾版。而各家銀行在加大自身金融安全方面注重推行專業版、客戶證書及簽約用戶,對于大眾版卻少見推出更為有效的安全措施,因而我們看到在眾多相關盜銀報道中出現問題的大多數是大眾版用戶。

  本周一下午,瑞星公司研發部副總經理毛杰在接受記者采訪時稱,針對網銀大眾版用戶的盜取途徑大致有五類,這些都屬于釣魚類網絡威脅。一是通過制作假銀行網站進行誘騙;二是通過冒充銀行發送電子郵件實行誘騙;三是假借銀行之名發送短信誘騙;四是假冒銀行客服打電話套取;五是通過網絡發起攻擊向計算機種植木馬及間諜軟件以盜取。被裝入了木馬或間諜程序,并不是說黑客能借此直接看到PC屏幕上的內容(你在相關截面輸入的密碼信息)。

  比方說首先,在對計算機注入木馬程序后,駐留在中招計算機系統里的監控系統就可以截取、監控系統及用戶上網時打開的網銀密碼窗口。也就是說當用戶在網銀程序里輸入卡號或密碼時計算機就會自動將相關信息的編碼發送給盜銀賊,他們再據此進行反讀取以破譯,錢便被黑走了。

  其次,由前者衍生出的截取鍵盤記錄法(鍵盤鉤子)黑客在鍵盤敲擊給系統進行信息處理時,利用原先在系統接口處掛上的程序或驅動實現盜取。它不像遠程控制一樣直接操控你的PC,而是等待機會,一旦得到銀行交易的信息,就自動被發送到他預先指定的信箱。但他同時表示,這并不是說計算機一旦被種了木馬、間諜軟件的就一定會被盜,因為木馬和間諜程序有很多種,不全是針對網絡銀行的,只是被盜的風險會大很多。

  -小鏈接

  常用查余額及明細方式

  其實很多人用網絡銀行只是為了查詢一下自己的存款余額或明細,很少會用到網上銀行的其他功能。那么,如果只是為了這兩個需要,其實也還有其他非常方便的辦法。

  1.電話銀行。

  撥打銀行卡上的客服電話,按提示步驟輸入即可。缺點:按鍵繁瑣,客服電話常提示忙碌難撥通。

  2.ATM取款機。

  在ATM取款機上依屏幕提示步驟進行即可。缺點:受銀行網點位置的限制。

  記者通過調查了解到,現8家銀行均開通了個人網銀業務,其中建設銀行、招商銀行、民生銀行三家除有大眾版外還開設了專業版,工商銀行則分為普通用戶和擁有個人網上銀行客戶證書的用戶,而華夏銀行、交通銀行、北京銀行雖然沒有如前的分法,但是實際上他們還是有普通儲戶和開通網銀或簽約用戶的分別。而中國銀行則需在營業網點開通網銀業務,由于沒有單獨的安全證書,實際上也是一種普通個人網銀業務。

  專業版網上銀行指到銀行網點辦理開通后,借以長度為上百位的簽名密鑰數字證書,通過PKI技術在網上銀行交易時可以驗證雙方身份的網銀業務。

  工商銀行使用的是移動USB盤客戶安全證書。個人網上銀行證書客戶安全的最大保障是一個帶智能芯片、形狀類似于U盤的硬件設備(客戶證書)它是應用了智能芯片信息加密技術的一種數字簽名工具。在網上銀行辦理轉賬匯款、B2C支付等業務都必須啟用客戶證書進行驗證,而客戶證書是唯一的。

  招商銀行的個人銀行專業版支持兩種證書類型:文件證書和移動(USB)證書。文件證書是以文件作為數字證書的存儲介質;移動證書如前也是以USBKEY作為數字證書的存儲介質。

  建設銀行和民生銀行則是在營業廳開通業務后,拿著授權碼回家下載銀行的授權證書。這是進入專業版的鑰匙,建議先將密碼備份到一張3.5英寸的盤上,以備不時之需。

  為什么說專業版風險來自用戶

  瑞星公司的毛副總在接受采訪中表示,相對于只有一層密碼的大眾版用戶,專業版的雙因子認證是很安全的。因為設定了雙因子認證后,即使盜賊拿到了密碼,也很難破解二層認證的密鑰。而對于雙因子而言,如果沒有額外的硬件支持,即認證的密鑰不是單獨存儲在移動類存儲中,相對也是有被破解的風險的。因而在雙因子認證中的移動USB證書應用是最安全的,但前提是自己使用的PC沒有被事先種下木馬,否則也有被盜的危險。

  認證中心的江主任也表示,移動USB證書要比文本證書安全。但是,如果用戶有一些不良的計算機使用習慣,如:上不良網站、不及時修補計算機IE瀏覽器或系統存在漏洞,證書也有被偷走的風險。而據某權威調查顯示,目前有80%左右的個人電腦已被植入了木馬及間諜軟件,若這些計算機用戶即使是使用最安全的移動USB數字認證證書進行網銀業務,也存在被盜的可能。而計算機的安全防護也是必不可少的,一臺沒有安全防護措施的電腦,只要5分鐘內就會被黑客控制。系統一旦被攻破,就會被安裝上自動化監測的軟件,這些軟件會每時每刻對電腦系統進行掃描并下載。

  為什么說自我防范最重要

  有業內人士指出,作為未來的必然的發展主趨勢,網絡銀行的安全性亟待加強。對于正在使用的普通用戶而言,應該通過有效的方法來降低自己的使用風險。在使用中應該切實注意如下九點:

  一、普通版用戶若有大筆金額的轉賬或資金流動需求,一定要升級為專業版使用。若無如前需求就不要使用網上查詢的功能,不僅容易被盜,還讓盜賊過足網上購物的癮。

  二、按照銀行卡上的準確銀行網址登錄,最好不要使用超級鏈接進行登錄。

  三、每次登錄網銀歡迎頁面時查看頁面上的“上次登錄時間”和實際登錄情況是否相符,便于及時發現異常情況。特別是在每次使用網上銀行后,不要只關閉瀏覽器,請點擊頁面右上角的“退出登錄”結束使用。

  四、密碼設置應避免使用與自己在其他網上服務中相同的用戶名和密碼。同時,網上銀行登錄密碼和用以對外轉賬的支付密碼設置不要一樣。

  五、不要在公共場所(如網吧、公共圖書館等)使用網上銀行,避免因計算機被安裝了惡意監測程序導致存款被盜。

  六、在任何時候及情況下,不要將自己的賬號、密碼告訴別人;不要相信任何通過電子郵件、短信、電話等方式索要卡號和密碼的行為。

  七、如果個人資料有任何更改(例如,聯系方式、地址等有變動),應盡快通知銀行。

  八、定期下載安裝更新操作系統及瀏覽器的安全程序、補丁和個人防火墻。此外,將計算機中的hosts文件修改為只讀。

  九、安裝并及時更新殺毒軟件,養成定期更新殺毒軟件的習慣。

  -小鏈接

  網上銀行如何開通

  記者向8家銀行了解到的開通情況如下:

  大眾版——除中國銀行的個人網上銀行業務(普通版)需要本人攜長城借記卡及身份證等有效身份證明,先前往營業網點開通電話銀行業務再辦理個人網銀的登記注冊才能開通使用之外。其他7家均只要在各自銀行的官方主頁上進行注冊即可開通。目前都是免費開通、免費使用的。

  專業版——4家均需本人帶開戶卡及身份證明前往所屬銀行營業網點辦理。除工行需花65—88元購買USB安全證書及招行需要10元的開通費(均免費使用)外,另兩家是免費開通及使用。

 



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios