導(dǎo)語(yǔ)：網(wǎng)銀安全缺陷與預(yù)防策略一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

網(wǎng)絡(luò)銀行（以下稱網(wǎng)銀）是由各銀行為方便用戶進(jìn)行余額查詢、交易查詢、轉(zhuǎn)賬以及付款等操作而開(kāi)通的網(wǎng)站［1］。網(wǎng)絡(luò)銀行也被稱為“移動(dòng)的銀行營(yíng)業(yè)廳”。截至目前，很多銀行都已經(jīng)開(kāi)通了網(wǎng)銀業(yè)務(wù)。各個(gè)銀行的網(wǎng)銀所提供的業(yè)務(wù)大同小異，但是其使用的安全技術(shù)卻存在較大差異。中國(guó)銀行、中國(guó)建設(shè)銀行、中國(guó)工商銀行和中國(guó)農(nóng)業(yè)銀行并稱為四大國(guó)有銀行，它們采取了不同的安全機(jī)制來(lái)保證用戶資金的安全和網(wǎng)銀業(yè)務(wù)的順利進(jìn)行［2］。

1網(wǎng)絡(luò)銀行現(xiàn)在使用的安全技術(shù)

1．1中國(guó)銀行

中國(guó)銀行推出2種網(wǎng)銀產(chǎn)品，即查詢版網(wǎng)銀產(chǎn)品和動(dòng)態(tài)口令牌網(wǎng)銀產(chǎn)品。查詢版網(wǎng)銀只可對(duì)關(guān)聯(lián)的賬戶進(jìn)行資金查詢和交易查詢操作，功能有限但是非常安全；動(dòng)態(tài)口令牌網(wǎng)銀產(chǎn)品支持涉及資金變動(dòng)的操作。

1．1．1中國(guó)銀行的主要安全技術(shù)

中國(guó)銀行主要采用動(dòng)態(tài)口令牌的安全技術(shù)。動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法自動(dòng)更新動(dòng)態(tài)口令的硬件，每60秒隨機(jī)更新一個(gè)密碼。其使用方法十分簡(jiǎn)單，在登錄網(wǎng)銀或者轉(zhuǎn)賬時(shí)，用戶只要根據(jù)提示輸入動(dòng)態(tài)口令牌當(dāng)前顯示的動(dòng)態(tài)口令即可。在其他安全措施上，中國(guó)銀行采用了短信登錄、安全控件防范、短信提醒、預(yù)留“歡迎信息”以及交易限額控制等方法。從資金變動(dòng)業(yè)務(wù)來(lái)看，中國(guó)銀行使用三道身份認(rèn)證來(lái)保證用戶網(wǎng)銀中的資金安全［3］。

（1）第一道身份認(rèn)證。登錄中國(guó)銀行網(wǎng)銀時(shí)使用的用戶名和密碼構(gòu)成了第一道身份認(rèn)證。用戶名（6～20位數(shù)字和英文字母）和密碼（8～20位數(shù)字和英文字母）是只有用戶才能掌握的信息，用戶名和密碼不匹配則無(wú)法登錄。

（2）第二道身份認(rèn)證。若用戶進(jìn)行涉及資金變動(dòng)操作的業(yè)務(wù)，則需選擇“動(dòng)態(tài)口令登錄”，此時(shí)動(dòng)態(tài)口令牌所顯示的動(dòng)態(tài)密碼構(gòu)成第二道身份認(rèn)證要件。

（3）第三道身份認(rèn)證。在用戶使用中國(guó)網(wǎng)銀進(jìn)行轉(zhuǎn)賬時(shí)，網(wǎng)銀會(huì)再次要求用戶輸入動(dòng)態(tài)口令密碼和交易密碼，動(dòng)態(tài)口令密碼是隨機(jī)產(chǎn)生的，交易密碼是用戶在銀行柜臺(tái)設(shè)定的，這次身份驗(yàn)證構(gòu)成了賬戶安全的最后一道重要屏障。

1．1．2中國(guó)銀行網(wǎng)銀安全小結(jié)

中國(guó)銀行網(wǎng)銀安全小結(jié)內(nèi)容見(jiàn)表1。

1．2中國(guó)建設(shè)銀行

中國(guó)建設(shè)銀行提供兩種網(wǎng)銀產(chǎn)品，即動(dòng)態(tài)口令卡（區(qū)別于動(dòng)態(tài)口令牌）網(wǎng)銀產(chǎn)品和U盾網(wǎng)銀產(chǎn)品，2種產(chǎn)品都能夠進(jìn)行資金變動(dòng)業(yè)務(wù)［4］。中國(guó)建設(shè)銀行不提供單純查詢版的網(wǎng)銀產(chǎn)品。

1．2．1動(dòng)態(tài)口令卡技術(shù)的網(wǎng)銀產(chǎn)品

動(dòng)態(tài)口令卡是在辦理業(yè)務(wù)時(shí)，銀行交給用戶的密碼口令卡。每張卡覆蓋有30個(gè)不同的密碼，每次轉(zhuǎn)賬使用一個(gè)，按照次序進(jìn)行。比如用戶按次序使用第12個(gè)密碼時(shí)，只需刮開(kāi)使用即可。然后數(shù)字證書(shū)配合動(dòng)態(tài)口令卡，即可完成轉(zhuǎn)賬等涉及資金變動(dòng)的操作。需要注意的是，這個(gè)動(dòng)態(tài)密碼不是隨機(jī)產(chǎn)生的，而是已經(jīng)“固定”下來(lái)了。動(dòng)態(tài)口令卡使用2道身份認(rèn)證來(lái)保證支付賬戶的資金安全。

（1）第一道身份認(rèn)證。中國(guó)建設(shè)銀行的身份證號(hào)碼和密碼認(rèn)證構(gòu)成了第一道身份認(rèn)證。相對(duì)于銀行賬戶和密碼的登錄方式，該方式更有利于增強(qiáng)用戶的安全性。同時(shí)，登錄界面使用圖形鍵盤的方式輸入密碼，在一定程度上能夠防范鍵盤記錄木馬的盜取。

（2）第二道身份認(rèn)證。數(shù)字證書(shū)和動(dòng)態(tài)口令卡中的口令構(gòu)成了第二道身份認(rèn)證。數(shù)字證書(shū)是一個(gè)加密文檔，當(dāng)用戶在銀行柜臺(tái)開(kāi)通該項(xiàng)業(yè)務(wù)后，可在一周之內(nèi)登錄網(wǎng)站下載數(shù)字證書(shū)，數(shù)字證書(shū)具有唯一性和不可偽造性；動(dòng)態(tài)口令卡中的密碼也是一次一變；交易密碼是用戶在柜臺(tái)辦理時(shí)設(shè)定的。

1．2．2U盾技術(shù)的網(wǎng)銀產(chǎn)品

U盾則是使用獨(dú)立的物理介質(zhì)和U盾密碼來(lái)保證網(wǎng)銀安全。U盾大小、形狀都類似于U盤，由用戶保管。當(dāng)用戶辦理U盾后，轉(zhuǎn)賬之前首先要在計(jì)算機(jī)上安裝相應(yīng)的U盾管理軟件。在用戶進(jìn)行轉(zhuǎn)賬時(shí)，U盾要插在計(jì)算機(jī)上。轉(zhuǎn)賬的時(shí)候不僅要輸入交易密碼，也要輸入U(xiǎn)盾密碼。同樣，U盾類型的網(wǎng)銀產(chǎn)品需要經(jīng)過(guò)2道身份認(rèn)證才可以進(jìn)行涉及資金變動(dòng)交易。

（1）第一道身份認(rèn)證。和動(dòng)態(tài)口令卡網(wǎng)銀產(chǎn)品一樣，使用身份證號(hào)碼和登錄密碼作為第一道身份認(rèn)證。

（2）第二道身份認(rèn)證。U構(gòu)成盾第二道身份認(rèn)證的要件。使用U盾進(jìn)行資金變動(dòng)時(shí)，需同時(shí)滿足3個(gè)條件：一是U盾必須要插入用戶的計(jì)算機(jī)中，同時(shí)要確保計(jì)算機(jī)已經(jīng)安裝U盾客戶端管理軟件；二是轉(zhuǎn)賬或者支付時(shí)必須輸入交易密碼，該密碼是用戶在銀行柜臺(tái)設(shè)定的；三是必須輸入U(xiǎn)盾的密碼。3個(gè)條件缺一不可。

1．2．3中國(guó)建設(shè)銀行網(wǎng)銀安全小結(jié)

中國(guó)建設(shè)銀行網(wǎng)銀安全小結(jié)內(nèi)容見(jiàn)表2。

1．3中國(guó)農(nóng)業(yè)銀行

中國(guó)農(nóng)業(yè)銀行發(fā)行2種網(wǎng)銀產(chǎn)品，一種是動(dòng)態(tài)口令卡網(wǎng)銀產(chǎn)品，一種是飛天誠(chéng)信K寶網(wǎng)銀產(chǎn)品，兩種產(chǎn)品的各自功能和特點(diǎn)與中國(guó)建設(shè)銀行的動(dòng)態(tài)口令卡和U盾基本類似［5］。中國(guó)農(nóng)業(yè)銀行的動(dòng)態(tài)口令卡不是一碼一刮的，而是隨機(jī)出現(xiàn)的，轉(zhuǎn)賬的時(shí)候會(huì)出現(xiàn)類似于H3B4這樣的序列，用戶查詢口令卡即可輸入相應(yīng)密碼。

1．4中國(guó)工商銀行

中國(guó)工商銀行同樣提供動(dòng)態(tài)口令卡和動(dòng)態(tài)口令牌兩種形式的網(wǎng)銀身份認(rèn)證方式［6］。動(dòng)態(tài)口令卡類似于農(nóng)業(yè)銀行的動(dòng)態(tài)口令卡，動(dòng)態(tài)口令牌類似于中國(guó)銀行的動(dòng)態(tài)口令牌。

2四大銀行網(wǎng)銀存在的安全隱患

2．1網(wǎng)銀存在的安全隱患

2．1．1數(shù)字證書(shū)存在被他人提早下載的漏洞

用戶在銀行柜臺(tái)開(kāi)通網(wǎng)銀后，如果他人獲得了用戶賬戶和密碼，就可能搶在用戶之前登錄網(wǎng)銀網(wǎng)站，搶先注冊(cè)并下載數(shù)字證書(shū)。雖然這樣并不一定導(dǎo)致用戶的資金被盜，但這畢竟是危險(xiǎn)的“窗口期”［7］。

2．1．2動(dòng)態(tài)口令卡存在被竊取的安全威脅

口令卡至少有2個(gè)安全威脅：一是有的口令卡在表膜沒(méi)有刮開(kāi)的情況下就可以透過(guò)保護(hù)層看到密碼，只要用強(qiáng)光照射即可；二是如果動(dòng)態(tài)口令卡采取的“固定的”動(dòng)態(tài)密碼而不是隨機(jī)產(chǎn)生的，例如中國(guó)建設(shè)銀行的動(dòng)態(tài)口令卡，那么用戶登錄了釣魚(yú)網(wǎng)站或者遭遇瀏覽器劫持，就可能將真實(shí)的動(dòng)態(tài)密碼提交給他人。

2．1．3數(shù)字證書(shū)存在被竊取的安全威脅

數(shù)字證書(shū)是配合動(dòng)態(tài)密碼共同使用的一項(xiàng)重要的安全保護(hù)措施，但是該文件是存放在計(jì)算機(jī)中的，因此也就存在被竊取的可能。早在2004年，木馬Tro－janSpy．Banker．s和TrojanSpy．Banker．t就能準(zhǔn)確識(shí)別用戶銀行系統(tǒng)保存證書(shū)的整個(gè)流程，并且自動(dòng)偷取口令，復(fù)制證書(shū)文件［8］。

2．1．4U盾存在被

“遠(yuǎn)程調(diào)用”的安全威脅U盾作為獨(dú)立物理介質(zhì)更安全，但當(dāng)用戶的計(jì)算機(jī)被遠(yuǎn)程控制（例如QQ遠(yuǎn)程協(xié)助、遠(yuǎn)程控制木馬）時(shí)，插在計(jì)算機(jī)上的U盾則成為了其他人盜取用戶網(wǎng)銀的“鑰匙”。當(dāng)然，網(wǎng)銀網(wǎng)站是無(wú)法甄別出用戶的U盾是否遭遇冒用。

2．2四大銀行的網(wǎng)銀安全漏洞

從網(wǎng)銀產(chǎn)品的安全漏洞角度，可以整理出不同網(wǎng)銀產(chǎn)品存在的安全威脅，如表3所示。

3黑客盜取網(wǎng)銀的方法

3．1使用綜合性木馬盜取網(wǎng)銀

綜合性木馬是指包含鍵盤記錄、屏幕查看、遠(yuǎn)程控制等多種功能的木馬。使用綜合性木馬可以盜取U盾系列的網(wǎng)銀產(chǎn)品。盜取機(jī)理：使用鍵盤記錄功能記錄下用戶登錄銀行的用戶名、密碼、交易密碼和U盾密碼，如果用戶使用屏幕鍵盤則采取觀察屏幕的方式獲??；利用用戶U盾插入計(jì)算機(jī)的機(jī)會(huì)，遠(yuǎn)程控制用戶計(jì)算機(jī)盜取網(wǎng)銀。

3．2使用網(wǎng)銀木馬盜取網(wǎng)銀

網(wǎng)銀木馬盜取網(wǎng)銀的效率更高。盜取機(jī)理：這類木馬會(huì)自動(dòng)檢測(cè)用戶瀏覽網(wǎng)頁(yè)的網(wǎng)址，一旦出現(xiàn)網(wǎng)銀網(wǎng)址就會(huì)啟動(dòng)鍵盤記錄，記錄賬號(hào)、密碼、交易密碼等，并同時(shí)盜取用戶計(jì)算機(jī)中的數(shù)字證書(shū)發(fā)至黑客郵箱。一些網(wǎng)銀木馬還利用瀏覽器劫持技術(shù)在正常的網(wǎng)銀頁(yè)面中彈出“內(nèi)嵌式”釣魚(yú)網(wǎng)站頁(yè)面，要求用戶輸入動(dòng)態(tài)口令密碼所有排列組合。

3．3使用釣魚(yú)網(wǎng)站盜取網(wǎng)銀

黑客創(chuàng)建高度仿真的網(wǎng)站，然后通過(guò)搜索引擎、門戶網(wǎng)站、釣魚(yú)郵件、欺騙短信等方式誘使用戶訪問(wèn)。盜取機(jī)理：一旦用戶信以為真，就會(huì)將自己真實(shí)的賬號(hào)和各種密碼主動(dòng)提交給釣魚(yú)網(wǎng)站，對(duì)于隨機(jī)產(chǎn)生口令的動(dòng)態(tài)口令卡；使用坐標(biāo)輪回技術(shù)或者直接誘騙用戶輸入全部序列口令卡的方式獲取。

3．4使用瀏覽器劫持盜取網(wǎng)銀

盜取機(jī)理：盜取思路非常簡(jiǎn)單，就是替換支付頁(yè)面，用戶購(gòu)買商品正常情況下應(yīng)當(dāng)支付A頁(yè)面賬單，但是黑客使用瀏覽器劫持技術(shù)將支付頁(yè)面替換成為B，由于支付頁(yè)面中沒(méi)有收款人姓名只有訂單號(hào)碼，用戶不察的話就容易上當(dāng)。

4網(wǎng)銀安全的重要法則

4．1安全法則

保證網(wǎng)銀的安全并非難事，只要做到以下幾點(diǎn)就足可以保證網(wǎng)銀的安全［9］。

（1）使用安全的網(wǎng)銀產(chǎn)品。建議使用U盾或者動(dòng)態(tài)口令牌，不建議使用動(dòng)態(tài)口令卡［10］。在使用網(wǎng)銀轉(zhuǎn)賬時(shí)，注意在需要插入U(xiǎn)盾的時(shí)候插入，完成轉(zhuǎn)賬后應(yīng)立即拔出。

（2）必須使用短信驗(yàn)證。短信驗(yàn)證信息無(wú)疑是黑客無(wú)法獲取的信息，因此短信驗(yàn)證能夠幫助用戶建立一道堅(jiān)固的安全屏障。

（3）準(zhǔn)確記住網(wǎng)銀的正確網(wǎng)址、付款時(shí)確認(rèn)收款人姓名。準(zhǔn)確記住網(wǎng)銀的正確網(wǎng)址，手工輸入是最穩(wěn)妥的方法。在付款環(huán)節(jié)一定要查清收款人的姓名，在電子商務(wù)支付時(shí)一定要看清訂單的金額。

（4）各種類密碼應(yīng)不同。用戶的登錄密碼、交易密碼、U盾密碼、數(shù)字證書(shū)安裝驗(yàn)證密碼等諸密碼要保證碼碼不同。

（5）開(kāi)啟系統(tǒng)防火墻并且不允許例外。為了防止黑客利用木馬控制計(jì)算機(jī)，在計(jì)算機(jī)無(wú)其他對(duì)外服務(wù)程序的情況下，可以將系統(tǒng)防火墻打開(kāi)并且選擇“不允許例外”，這樣，由于系統(tǒng)就會(huì)拒絕對(duì)外部提供服務(wù)，從而導(dǎo)致木馬失效，杜絕了黑客遠(yuǎn)程控制計(jì)算機(jī)的可能。

4．2網(wǎng)銀盜取的防范措施總結(jié)

5網(wǎng)銀安全的其他注意事項(xiàng)

為了保證網(wǎng)銀的安全，除了要遵守網(wǎng)絡(luò)安全的重要法則外，還需要注意以下幾個(gè)方面：

（1）使用專用網(wǎng)銀賬戶?？梢允褂眯沦~戶并開(kāi)通網(wǎng)銀，堅(jiān)持“花多少、存多少”的原則，避免大金額損失。

（2）使用短信通知。綁定賬戶的手機(jī)短信通知可以及時(shí)了解賬戶的金額變化，以便采取掛失、凍結(jié)賬號(hào)等及時(shí)措施。

（3）定期查詢賬單明細(xì)。定期查詢賬單明細(xì)，可以防止盜取者“螞蟻搬家”式的盜取行為。

（4）堅(jiān)持圖形鍵盤密碼。在輸入密碼時(shí)，如果有圖形鍵盤則盡量使用圖形鍵盤。因?yàn)閳D形鍵盤相對(duì)于輸入鍵盤安全性高。

（5）不在公共計(jì)算機(jī)上使用網(wǎng)銀。除非特別需要，不要在公共計(jì)算機(jī)上使用網(wǎng)銀。

（6）及時(shí)對(duì)系統(tǒng)進(jìn)行更新維護(hù)，定期掃描殺毒。及時(shí)進(jìn)行系統(tǒng)更新，及時(shí)更新殺毒軟件病毒庫(kù)，定期進(jìn)行掃描殺毒，查殺木馬。

（7）使用網(wǎng)銀的安全控件。各個(gè)網(wǎng)銀的安全控件對(duì)于保護(hù)密碼、防止木馬入侵具有一定的保護(hù)作用，應(yīng)當(dāng)正確使用，保證網(wǎng)銀安全。