不支持Flash

办卡尚未满月存款不翼飞网银大盗轻取5000元(2)

http://www.sina.com.cn 2007年02月13日 11:25 北京娱乐信报

　　权威分析

　　技术上如何被盗取？

　　同日，记者在采访中国信息安全产品测评认证中心主任江长青时，其表示，在使用网银过程中通常涉及3种密码，包括数字证书PIN保护密码，网银登录密码和支付密码。只要使用登录密码登录网银，就具有账户查询功能。只要发生了账户资金变动，才需要支付密码。因此，只有查询操作不会导致支付密码泄露。但是，在ATM机上修改支付密码时可能引发ATM风险。通过ATM操作过程泄露个人密码等信息，造成资金丢失。如：ATM机被人安装摄像头(如有证据由银行担负责任)、修改密码时被人偷窥、银行的自助门禁系统安全风险。排除ATM及门禁系统泄露密码可能后，有可能是用来登录网银的电脑中了木马，黑客通过密码破解软件破解账号密码以盗取存款。

　　他进一步谈到，目前，黑客盗取网银用户账户及密码的手段包括：1.在用户电脑中植入木马程序，可能进行远程控制，盗取密码。2.利用应用程序漏洞。如：网上案例，通过“忘记密码”，“找回密码”，获取新密码，从而达到控制用户账户的目的。3.网上钓鱼。发布假冒银行网站，诱使用户泄露密码。4.密码设置不当。如：用生日做密码，而登录名也使用身份证号码，这样很容易被猜测出密码。

　　对于前一段时间，被誉为网银安全保护神的数字证书被攻破，他指出，数字证书的存放方式有两种：一种是存放在本机上，另外一种是存入电子钥匙中。前者存放方式所引起的安全风险较大。例如证书文件被窃取后，使用密码猜测工具可破解数字证书。而存放在电子钥匙中的数字证书由于PIN码的保护，通常猜测3次后即锁定，在一定程度上保证了数字证书的安全。因此后者相对前者要安全些。

　　更进一步来说，电子钥匙本身由于其技术原理不同，也分为两种：一种是无智能卡芯片的，运算在卡外即本机执行，另外一种是带智能卡芯片的，用户证书和私钥文件都存储在卡中，并且私钥不会被读出卡外，与私钥相关的运算都在卡内完成。后者的安全性最高。但前者经济成本低，市场上有应用。

　　对于记者提出的，是否可以在银行和电子网站间实行二次确认支付一问，他明确表示，从实际操作流程看，目前无论从银行端还是电子支付平台端都没有实现二次确认支付的需求。目前大部分银行和电子支付平台，如果用户或会员的账户资金有变动，都可以提供短信提示。但是，如果银行对于每笔支付都要向用户发送“是否可以支付”的短信，用户向银行返回“可以支付”或“不可以支付”的二次确认信息，由于网络延迟、短信网关的延迟、短信信息丢失等原因，会出现重复发送重复接收短信等情况，造成用户无法即时收到确认信息，或者无法辨别其中的正确信息，那么银行资金转账的效率将十分低下，丧失了系统的可用性。

[上一页]　[1]　[2]　[3]　[下一页]

【发表评论】