您现在的位置是:首页 > 行业 > 金融 >

攻破网银U盾 安全银行还能做什么

2011-04-26 17:01:00作者: 来源:

摘要木马“攻破”网银U盾,瞬间盗走29万元,日前,该案犯罪嫌疑人琚文辉在北京市西城区法院受审。...

  木马“攻破”网银U盾,瞬间盗走29万元,日前,该案犯罪嫌疑人琚文辉在北京市西城区法院受审。虽然,犯罪嫌疑人归案,但是此事却对网银安全提出了挑战。木马能够“攻破”一向被认为是系上“保险带”的网银U盾,不能不敲响网银安全的警钟!

  目前,网上购物已经成为很多人的习惯,然而,形形色色的陷阱正像一张网渐渐笼罩过来,让你防不胜防。近来,央视《每周质量报告》也报道了时下一种超级网银病毒入侵第三方支付平台,造成不少网购用户受损的案例,引起网民极大反响。

  针对这种情况,出于降低网上支付交易风险,保障客户资金安全的目的,多家银行主动下调网银交易限额。其中,招行将大众版网银支付客户的单日交易限额由最高5000元直降至500元,缩水九成;中行、建行等银行也有不同程度的下调。这种安保升级显然是以牺牲便利性为代价的。从消费者的反应看来,银行似乎是“好心办坏事”。多位消费者认为,这一调整措施只是徒增客户的麻烦,而对保护资金安全所能起到的作用,还是个疑问。

  那么,网银安全方面,银行到底还能做什么?

  有业内人士表示,钓鱼网站等欺诈交易的发生,虽不能说明银行的系统安全机制已被犯罪分子攻破,但这反映出国内银行业在欺诈交易风险管理上,存在着一定的真空地带,至少在事前监测阶段,银行做得是不够的。

  一个产品的推出,安全应该是第一位的。银行在要求客户加强安全意识的时候,应该考虑自己本身的安全意识是否够强。记者就拥有多家银行的网银U盾,但在银行柜台办理专业版网银时,并未得到安全使用U盾的口头提示,在U盾使用说明上也很少有明显的安全提示,就是在安装U盾时,也没有相关的安全提示。这难道不是银行安全意识不强的体现吗?这样说,银行也许会觉得委屈,银行在安全方面可是投入了重金,但钱是不是用在了刀刃上?“小概率”事件的琚文辉案,让人觉得银行的安全措施有点儿像马其诺防线。银行依仗的强大功能的U盾,却没起到应有的作用。银行应当认真思考,其是否在安全第一的前提下严密地梳理了支付流程,是否存在对客户电脑水平要求过高的问题。

  U盾采用数字签名的方式,本身的安全性是很高的,但不是绝对的,这一点银行并未向客户强调。U盾可以保证任何数字签名都是在U盾里产生。但第一代的U盾插在电脑上时,黑客也可以让U盾为黑客签名,并不是客户正常的交易。为此,第二代U盾增加了物理按钮,物理按钮是那些控制电脑的软件所不能控制的,所以能增强安全性。虽然增加了按钮,但更高级的软件可以更改交易的数据,比如本来交易是将款汇入A账号的,但黑客可以将送入U盾签名的数据更改为汇入B账号。对此,为提高安全性,就产生了第三代U盾。第三代的U盾不仅有物理按钮,还配有显示屏,在显示屏上可以看到账号、金额,在确认后,再按按钮,这样就更加安全。

  “道高一尺,魔高一丈”。银行也在不断改进着安全措施,但现在U盾已经升级到了第三代,银行是否及时向客户提示了旧版U盾的安全隐患呢,向使用旧版U盾的客户是否进行了升级提醒呢?

  琚文辉案备受关注的原因有三,一是银行提供给网银用户的号称最安全的产品——U盾被攻破。二是琚文辉,他仅具初中文化程度,只会使用木马,还算不上什么网络黑客。很显羞涩的琚文辉面对采访记者说:“我的手法没什么技术含量,银行也应该承担责任。”三是客户资金被盗后,银行对客户损失并不负责。这三点给人的感受是强大的银行提供的最安全产品,被一个弱小的很不专业的黑客攻破,而客户的损失又得不到赔偿。这真有些可怕,谁还敢用网银。商业银行对存款人账户资金安全的保护能力受到质疑。

  其实,网银资金被盗确实是“小概率”事件,网银的安全性还是可以信赖的。从琚文辉案可以看出,要想让网银被盗也不是件容易的事。首先,电脑要成为“肉鸡”,这就要求网银用户的电脑操作系统是盗版的,不能进行操作系统补丁升级;同时,电脑上也没有安装正版杀毒软件。其次,还要点击钓鱼网站,并上当输入自己的网银账号和密码。最后,还要让黑客蒙对银行账户密码。这确实是一件“小概率”事件。

  但这一“小概率”事件,却影响很大。公众并不能很透彻地理解一些网银安全措施,而概率这一概念本身就存在很大争议。有媒体曾做过调查,有76%的客户不愿选择网上银行,就是出于安全问题的考虑。纵使有再多的安全工具予以保护,可层出不穷的“钓鱼手段”实在是令人防不胜防。

  银行从技术上不断改进,来提升网银的安全性固然重要,但更重要的是从机制上进行变革。我们看到有些银行已经采取了为网银用户投保的保险机制,这是一个令人惊喜的安全创新尝试。目前,电子银行已经全面替代传统银行渠道,很多银行网银渠道办理的业务量已超过传统柜面交易量,成为面对客户的主渠道。因此,网银的安全性成为银行未来生存的关键,银行必须给予足够重视,必须从机制上为广大客户创造一个放心使用网银的安全环境。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们