据中国互联网络信息中心发布的报告,2009年上半年,约有1.1亿网民遭遇过账号或密码被盗。据去年年中易观国际发布的《中国个人网上银行市场专题报告2008》数据显示,用户在开办网上银行业务的阶段,首要关注的因素是网银的安全性能,71.39%的用户在开办个人网上银行业务的时候顾虑网上银行的安全性能。
根据消费者举报和警方调查,专家指出,近期网银安全漏洞主要出现在客户端以及相关的第三方支付环节,网银大盗的新花招主要有以下四种:
第一,操作的计算机被远程“偷窥”
如果用户用来进行网上银行操作的计算机被黑客成功控制,那么当用户登录网上银行时,黑客很可能会利用木马程序获得账号密码,然后利用用户正在使用的U盾等移动硬件数字证书,成功将正在使用的网上银行进行转账。计算机能够被“偷窥”进而账户能被转账的前提,一是这台计算机被远程控制;二是用户正在使用用U盾进行网上银行转账;三是用户没有使用手机验证等确认服务。
第二,IE浏览器被“劫持”
在网银的操作流程中,用户在IE浏览器中形成交易信息,再由IE浏览器把交易信息传递给U盾进行认证。U盾完全信任IE浏览器,即使IE提交了一笔经过篡改的交易,U盾也不能发现,照样进行认证。所以,如果木马病毒通过技术手段“劫持”住IE浏览器,那么就可以实现对网银用户的交易信息进行随意篡改。一旦用户对此交易进行确认,那么被篡改的交易就和正常交易一样,经过认证、发送等程序,最终得以执行。
第三,页面“以假乱真”
当网银大盗所采用的病毒技术在监控到用户计算机正在进行网上购物时,会将用户当前的页面跳转到黑客特别设置的虚假付款页面。一般网上购物的收款方都是同一家的第三方支付平台,真网页与假网页所差异的地方只是在于订单号和交易金额的不同。由于页面制作水平较高,往往能达到“以假乱真”的地步,因此常常会有粗心的用户确认付款,但结果却是将购物的钱,付到了黑客虚设的账号中。
第四,第三方交易平台有漏洞
目前为止,国内绝大多数银行都与第三方交易平台进行了对接,这就给黑客盗取网上银行用户的资金提供了可趁之机。现在以支付宝为代表的第三方交易平台已经比较发达,但是在安全保障方面与网银还是有不小的差距,依然存在可以被利用的系统漏洞。而且事实上也已经发生过多起因第三方支付平台原因而导致的用户资金被盗事件。
针对上述网银大盗的四大招,专家建议用户在使用网银时,需要注意三个方面:
第一,要坚持使用软键盘
在使用网银时,一些网银的登录界面会提供输入密码的软键盘输入方式。用户最好使用这种方式输入密码,最大限度避免密码被一些木马软件所盗。
第二,要设置较为复杂的密码
网银的登录密码与交易密码最好不要相同,而且密码设置尽量复杂,如果同时含有字母和数字更好,安全系数要比单独字母或者数字组成的密码要高许多。另外,网银的密码最好定期更换,以提高资金保障的安全度。
第三,账户上的资金不宜过多
对于大多数使用网银进行网上购物的用户来说,由于所需的资金量毕竟有限,所以最好将账户上的资金规模控制在一个合理的范围之内。即使遭遇到了被盗事件,也可使得用户的损失控制在最小范围以内。