一、研究背景

　　目前，電子金融逐漸成為各大銀行重要業(yè)務(wù)辦理渠道。網(wǎng)上銀行可以大幅度降低交易成本，據(jù)統(tǒng)計，完成一次網(wǎng)上銀行交易的成本是1分錢，完成一次傳統(tǒng)銀行交易的成本超過1元錢。因此，發(fā)展網(wǎng)上銀行業(yè)務(wù)是大勢所趨。中國工商銀行給出的一組數(shù)據(jù)顯示，工商銀行2007年的網(wǎng)上銀行交易量已經(jīng)達(dá)到102.9萬億，約占其所有業(yè)務(wù)辦理渠道交易量的37.2%。

　　但網(wǎng)上銀行交易就像一把雙刃劍，在便捷的同時帶來了一系列的安全問題，日益猖獗的木馬、形形色色的釣魚網(wǎng)站以及網(wǎng)絡(luò)犯罪的規(guī)?；?、集團(tuán)化。使得普通用戶更需要了解其基本原理，掌握一些必要的安全防范措施。

二、網(wǎng)上銀行交易基本原理

　　網(wǎng)上銀行系統(tǒng)由用戶系統(tǒng)、網(wǎng)站、網(wǎng)銀中心、業(yè)務(wù)數(shù)據(jù)中心、銀行柜臺和CA中心等組成。

　　銀行方面主要采取的安全措施是基于RSA的加密機(jī)制、數(shù)字簽名機(jī)制、SSL加密傳輸和口令登陸相結(jié)合的方式驗證用戶身份，同時安裝多重防火墻，用于防止Internet的非法攻擊和銀行系統(tǒng)信息外泄。入侵檢測系統(tǒng)安裝在網(wǎng)站和網(wǎng)銀中心，實時監(jiān)測網(wǎng)絡(luò)的攻擊行為，從而提供對內(nèi)部攻擊、外部攻擊和非法操作的保護(hù)。

　　普通網(wǎng)上銀行用戶接觸到的就是用戶系統(tǒng)、網(wǎng)站以及銀行柜臺三個方面。

　　用戶系統(tǒng)是用戶進(jìn)行網(wǎng)上交易的環(huán)境，在用戶系統(tǒng)中可完成認(rèn)證介質(zhì)登陸，訪問網(wǎng)上銀行系統(tǒng)等工作。

　　銀行網(wǎng)站負(fù)責(zé)銀行信息公布和對外宣傳，并提供到網(wǎng)銀中心的鏈接。網(wǎng)站是提供給用戶的唯一訪問站點，用戶只需記住網(wǎng)站，無需了解銀行內(nèi)部其他主機(jī)地址。

　　銀行柜臺位于銀行的營業(yè)網(wǎng)點，可授權(quán)進(jìn)行網(wǎng)上銀行業(yè)務(wù)交易。銀行柜臺可進(jìn)行開戶、存取款交易。

三、網(wǎng)上銀行安全防護(hù)

　　要攻擊防御體系基本完善的銀行系統(tǒng)，取得重要信息或破解經(jīng)過數(shù)字簽名認(rèn)證、加密傳輸?shù)臄?shù)據(jù)對大多數(shù)“黑客”來說無疑是很困難的，于是他們紛紛將黑手伸向了防范意識不是很高的普通用戶。下面就結(jié)合相關(guān)案例來談一下安全使用網(wǎng)上銀行方面的幾個要注意的地方。

案例1：交易前的危險

　　楊先生在卡上存入100萬元，第二天卡內(nèi)就少了995050元，僅剩下4950元，而此時卡、USB Key等文件資料都還好好地躺在他的保險柜里。為此，楊先生將銀行告上法庭，索賠100萬元。昨日，法院作出一審判決，認(rèn)為原告未妥善保管密碼是巨款被取走的原因，遂駁回其訴訟請求，并判令其負(fù)擔(dān)案件受理費13800元。

　　“因業(yè)務(wù)需要，我與第三方約定對此100萬元存款雙控，也就是雙方同時控制賬號”，

　　經(jīng)過分析，問題終于浮出水面，主要原因就是該用戶開通了網(wǎng)上銀行,設(shè)置了網(wǎng)上銀行的密碼,設(shè)置了帳戶安全方式：USBKEY驗證，但是他卻將帳戶、密碼告訴了第三方，以為第三方?jīng)]有USBKEY就無法轉(zhuǎn)帳，看起來好像是沒有問題的，但實際操作中，該用戶應(yīng)該在USBKEY下載了證書之后再將密碼告訴第三方。問題就出在該用戶還沒有下載USBKEY證書就把密碼告訴了第三方，那么第三方很容易就可以去再買個USBKEY，馬上下載證書，配合密碼就可以轉(zhuǎn)款了。像這種雙方控款的情形，應(yīng)該是把查詢密碼可以告訴第三方，把轉(zhuǎn)款密碼不能告訴任何人?，F(xiàn)在一般的網(wǎng)上銀行都是設(shè)置查詢密碼和轉(zhuǎn)帳密碼的，轉(zhuǎn)帳密碼是絕對不可以告訴任何人的。

　　總結(jié)：用戶開戶后應(yīng)該盡快登陸網(wǎng)上銀行,按提示下載證書,設(shè)置新的查詢和取款密碼等。如果你開戶時密碼讓第三方知道了，那么，第三方可以馬上登陸銀行網(wǎng)站，搶在你的前面把合法的證書下載到他的電腦上面，或者裝進(jìn)他的USBkey中，那么他就變成了合法的用戶。所以，必須盡快得到證書并保護(hù)好自己的密碼。

案例2：社會工程學(xué)帶來的危險

1、電子郵件/欺詐信息/手機(jī)短信+釣魚網(wǎng)站鏈接

　　利用招商銀行名義發(fā)送郵件，該郵件以對賬、核實賬戶消費記錄等名義要求客戶登錄招行網(wǎng)站查詢詳情，并提供招行網(wǎng)站的超級鏈接，如果點擊鏈接就會打開一個冒充招商銀行的頁面。該網(wǎng)頁不僅從頁面布局及內(nèi)容方面仿冒得很像，足以以假亂真，而且域名也很具有欺騙性。該網(wǎng)站的域名是www.，真招行網(wǎng)站的域名是www.cmbchina.com，cmb是招行的英文縮寫，而95555是使用招行賬戶的用戶都非常熟悉的招行電話銀行號碼，不法分子將cmb與95555組合在一起，就會讓用戶不會對它產(chǎn)生懷疑，具有較強(qiáng)的欺騙性。用戶往往誤認(rèn)為自己進(jìn)入了招行的真正網(wǎng)站，其實用戶所造訪的不過是一個經(jīng)過精心設(shè)計的假冒網(wǎng)站而已。

　　如果用戶在釣魚網(wǎng)站上輸入個人信息，不法分子便會利用電子郵件將帳戶信息自動發(fā)送到事先設(shè)定好的郵箱，竊取用戶的賬號、密碼。

　　還有諸如出現(xiàn)過的某假冒工行網(wǎng)站，網(wǎng)址為http://www./ ，而真正銀行網(wǎng)站是http://www.icbc.com.cn/ ，犯罪分子利用數(shù)字1和字母i非常相近的特點蒙蔽用戶。

　　又如曾發(fā)現(xiàn)的假公司網(wǎng)站(網(wǎng)址為 http://www. )，而真正網(wǎng)站為 http://www. ，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布贈送QQ幣的虛假消息，引誘用戶訪問。

2、利用虛假的電子商務(wù)進(jìn)行詐騙

　　犯罪分子通過建立電子商務(wù)網(wǎng)站，或是在比較知名、大型的電子商務(wù)網(wǎng)站上發(fā)布虛假的商品銷售信息，通常他們在收到受害人的購物匯款后就銷聲匿跡。大部分人采用在知名電子商務(wù)網(wǎng)站上，如“易趣”、“淘寶”、“阿里巴巴”等，發(fā)布虛假信息，以所謂超低價、免稅的名義出售各種產(chǎn)品，或以次充好，很多人在低價的誘惑下上當(dāng)受騙。

案例3：利用黑客技術(shù)手段竊取用戶信息

　　主要是利用木馬手段。木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬通過漏洞觸發(fā)等方式傳播木馬，當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，并發(fā)送給指定郵箱。利用木馬屏幕監(jiān)控功能進(jìn)行錄象破解決軟鍵盤登陸的事例也時有發(fā)生。

　　近日清遠(yuǎn)市清城區(qū)人民法院獲悉，譚某等7名被告人利用網(wǎng)絡(luò)技術(shù)竊取網(wǎng)上銀行客戶資料盜竊存款一案經(jīng)該院一審后，已于近日二審終結(jié)，7名被告人分別被判處1年至14年不等有期徒刑，并處罰金。據(jù)了解，譚某、梁×鵬、黃×風(fēng)、黃×俊、曾×航、蔡某、駱某7人均是20歲左右的年輕人，彼此通過互聯(lián)網(wǎng)QQ相識。去年1月，黃×俊通過QQ發(fā)給梁×鵬一個“香港某集團(tuán)”的網(wǎng)址，告知梁×鵬內(nèi)有許多網(wǎng)上銀行客戶資料，要求梁入侵該網(wǎng)站， 下載數(shù)據(jù)庫資料，想辦法將別人的銀行存款拿出來。梁×鵬發(fā)現(xiàn)了該網(wǎng)站的漏洞，破壞了該網(wǎng)站的服務(wù)器，并上傳某病毒程序下載了該網(wǎng)站數(shù)據(jù)庫，取得了上萬個網(wǎng)上銀行客戶的資料，然后與黃×俊兩人通過QQ分別將客戶資料提供給譚某、蔡某、駱某、黃×風(fēng)、曾×航等人密謀盜竊。7人主要通過遠(yuǎn)程操控他人電腦在網(wǎng)上轉(zhuǎn)賬，或利用假身份證辦理銀行信用卡取款的方法盜取存款。7人共作案9次盜得他人存款85萬多元。持卡人發(fā)現(xiàn)賬戶上資金被他人轉(zhuǎn)走，當(dāng)即報案。經(jīng)公安偵查，上述7人先后被抓獲歸案。

案例2、案例3總結(jié)：

　　(1)對要求輸入賬號信息、信用卡賬號之類的郵件和短信中獎等信息不予理睬，如確需驗證應(yīng)手工輸入正確的網(wǎng)銀網(wǎng)址并認(rèn)真核對確保其正確，也可將其保存于本機(jī)的收藏夾內(nèi)方便使用，不要輕易點擊郵件、郵件附件及不知名網(wǎng)站內(nèi)的鏈接地址

　　以工行為例：個人網(wǎng)上銀行登錄頁面和網(wǎng)上支付頁面都經(jīng)過128位SSL加密處理，在打開上述頁面時，在IE瀏覽器右下角狀態(tài)欄上會顯示一個“掛鎖”圖形的安全證書標(biāo)識。點擊掛鎖，應(yīng)顯示如下信息
　　頒發(fā)給：mybank.icbc.com.cn
　　頒發(fā)者：www./CPS Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign

　　(2)網(wǎng)上銀行登錄密碼，最好使用數(shù)字加字符這樣的復(fù)雜密碼，不要選諸如身份證號碼、出生日期、電話號碼等作為密碼，建議用字母、數(shù)字混合密碼，盡量避免在不同系統(tǒng)使用同一密碼，防止不被黑客輕易破解，定期修改密碼。

　　(3)針對虛假電子商務(wù)信息的情況應(yīng)當(dāng)認(rèn)清：一是虛假購物、拍賣網(wǎng)站看上去都比較“正規(guī)”，有公司名稱、地址、聯(lián)系電話、聯(lián)系人、電子郵箱等; 二是交易方式單一，消費者只能通過銀行匯款的方式購買，且收款人均為個人，而非公司，訂貨方法一律采用先付款后發(fā)貨的方式; 三是詐取消費者款項的手法如出一轍，當(dāng)消費者匯出第一筆款后，騙子會來電以各種理由要求匯款人再匯余款、風(fēng)險金、押金或稅款之類的費用，否則不會發(fā)貨，也不退款，一些消費者迫于第一筆款已匯出，抱著僥幸心理繼續(xù)再匯; 四是在進(jìn)行網(wǎng)絡(luò)交易前，要對交易網(wǎng)站和交易對方的資質(zhì)進(jìn)行全面了解。

　　(4)其他網(wǎng)絡(luò)安全防范措施。安裝防火墻和正版防病毒軟件，并經(jīng)常升級; 注意經(jīng)常給操作系統(tǒng)打補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞，同時注意機(jī)器安裝的軟件如暴風(fēng)影音類播放軟件、QQ、雅虎通等的及時升級; 禁止瀏覽器運行 JavaScript和ActiveX代碼，有選擇的定期清除Cookies及歷史; 不要上一些不太了解的網(wǎng)站，控制自己的欲望，不要登陸一些不健康網(wǎng)站，這部分網(wǎng)站最容易被掛馬; 不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，打開MSN或QQ等傳輸?shù)奈募⒁? 提高自我保護(hù)意識，注意妥善保管自己的私人信息，如本人證件號碼、賬號、密碼等，不向他人透露; 盡量避免在網(wǎng)吧等公共場所使用網(wǎng)上電子商務(wù)服務(wù)。

　　(5)清楚機(jī)器啟動加載運行的程序有哪寫，卸載不必要的程序，禁用不必要的服務(wù)，關(guān)閉不需要的端口，設(shè)置日志記錄等安全策略。盡量不要采用安全級別很低的“賬號+密碼”方式進(jìn)行網(wǎng)上交易，如果需要比較頻繁地進(jìn)行網(wǎng)上交易操作，建議一定要采用由合法、權(quán)威的第三方安全認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書，即使用網(wǎng)上銀行的專業(yè)版和證券交易軟件的證書版。否則，一旦用戶的個人電腦被植入木馬、病毒等惡意代碼，賬號和密碼等信息就很容易被竊取，進(jìn)而造成資金損失。

　　(6)使用銀行提供的安全措施來保障安全如工行的U盾、 電子銀行口令卡等產(chǎn)品。

　　(7)如果真的不幸?guī)粜畔⒈槐I，盡快更換密碼和掛失信用卡，安裝專業(yè)的反釣魚軟件，并將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡(luò)安全機(jī)構(gòu)，共同維護(hù)一個良好健康的網(wǎng)絡(luò)環(huán)