不久前,南京的王先生收到一條手機短信:“尊敬的網銀客戶,您的動態密碼將於次日過期,請儘快升級。”於是,王先生登錄短信內留的“銀行”網址,根據網頁提示,輸入自己的用戶名、密碼及隨機産生的動態密碼等信息,最後王先生賬戶內的錢全部被騙轉走。
去年,我國網銀個人客戶已突破2.7億戶,約佔網民總數的60%。時有發生的安全事件,也讓人們在使用時不禁多了一份擔心:網上銀行安全嗎?該怎樣安全使用網銀?
安全事故概率比飛機失事還低,風險主要來自客戶端
當前,網銀面對的網絡安全形勢十分嚴峻。根據有關機構統計,僅2010年全國就新增木馬病毒近1800萬種,平均每天新增與網購相關的釣魚欺詐網站約1500個。
即使在如此惡劣的網絡環境下,我國網銀也是非常安全的。有業內專家算了一筆賬:去年我國網銀交易額約500萬億元,而客戶資金被盜涉案金額也就數千萬元。以此匡算,網銀安全事故的概率僅為百萬分之一,遠低於國外第三方支付公司網上支付業務千分之一的欺詐率,甚至比飛機失事的概率還小。“每一起事件都會在媒體上充分曝光,讓人感覺網銀好像不大安全。然而這就像飛機一樣,儘管每一起空難都會被翔實報道,但飛機仍是最安全的交通工具。”這位專家説。
網銀不同於封閉的櫃面業務,它在銀行端和客戶端之間通過開放的互聯網連接。網銀業務在我國開辦13年來,銀行端沒有發生過任何事故,國內各家銀行都有專門的團隊應對黑客攻擊。銀行端和客戶端之間的信息傳輸採用128位加密算法,以當今技術須耗費上萬年時間才能破解這種加密信息。因此,網銀的風險主要來自客戶端。
網銀安全事件可分為木馬偷襲、網絡釣魚、黑客攻擊等
網銀安全事件大體上可分為三類,客戶應當擦亮眼睛認清這些騙局。
其一是木馬偷襲。不法分子將木馬病毒挂在網站、聊天工具上,一旦有人點擊,就會竊取其賬號、密碼信息,從而轉走網銀中的資金。2005年之前,網銀安全認證就是賬號、密碼,自從有了硬體設備如USB KEY後,這種形式的犯罪就很少了。因為木馬病毒能偷走賬號、密碼等電子信息,但無法偷走獨立於電腦的硬體設備U盾。
其二是網絡釣魚。南京的王先生遭遇的就是網絡釣魚。不法分子以系統升級、低價商品等誘騙客戶進入一個與真實網銀極為相似的“山寨網銀”頁面(俗稱釣魚網站),在得到客戶的網銀身份信息後盜取資金。這是目前最多的網銀安全事件形式。
專家認為,在南京的這起事件中,動態密碼器本身是安全的。但如果客戶登錄釣魚網站洩露了網銀關鍵認證信息,由於動態密碼每隔1分鐘自動更新,不法分子獲得動態密碼後可以在這短短一分鐘內進入真實的網銀賬戶將客戶的資金轉走。為此,一些銀行推出了“手機交易碼”服務,在網銀轉賬時,銀行會向客戶發送一條包含手機交易碼及相關交易信息的短信,客戶只有確認短信交易信息並輸入正確的手機交易碼後,方可完成交易。
其三是黑客攻擊。不法分子對電腦或網址植入木馬病毒,一旦點擊進入,就可能染毒而使電腦受到遠程控制,個人賬戶信息就能被竊取。這時客戶的電腦就成了“肉雞”,即使使用USB KEY,如果用完後沒有及時拔出,也會被黑客操控。為此,工行推出了二代U盾,要完成資金支付,還需按下U盾上的按鍵。這樣一來,黑客也無能為力,畢竟,他能偷走沒有拔出的U盾的信息,但不能伸手來按鍵。
選擇適合自己的安全工具,養成良好的網銀使用習慣
客戶應怎樣安全使用網銀?
選擇適合自己的安全工具。目前各家銀行推出的硬體設備主要有USB KEY、動態密碼器、動態口令卡等三種類型。USB KEY有工行的U盾、農行的K寶、建行的網銀盾等;動態密碼器有中行“E令”等;動態口令卡則有工行的電子銀行口令卡、建行的電子銀行“刮刮卡”等。業內人士認為,USB KEY安全系數相對較高,但需要下載安裝,而後二者使用方便,無需安裝,但需要客戶有一定的安全知識。只要按照銀行提示正確使用,這三種安全工具都能保證資金安全,客戶可根據自己的需求選用。
充分利用銀行提供的各種安全助手。比如,工行有短信提醒,只要您的網銀賬戶資金有變動甚至有人登錄您的網銀,銀行就會發短信給您;還有“小e安全檢測”,登錄網銀時會自動查殺惡意程序。再如,中行有預留信息驗證,您在第一次登錄網銀時可以設一個歡迎信息,下次再登錄時如果看不到這條信息,那無疑就是假網銀了。
“在任何情況下,銀行和監管機構、執法部門都不會向您索要密碼,不要相信任何套取網銀密碼的行為。”中國銀行電子銀行部總經理蔣昕提醒道。
養成良好的網銀使用習慣。比如,要妥善保管自己的USB KEY、口令牌/卡等安全工具,切勿交給他人。交易完成後要及時將USB KEY從電腦上拔出。設置密碼應本著“本人易記、別人難猜”的原則,避免直接使用與本人明顯相關的信息。不要點擊或登錄不明網站,防止電腦中毒。不要在網吧、公共圖書館等公共場所的電腦上登錄網銀。在使用網銀進行支付時,不要開啟操作系統及MSN、QQ等即時通訊工具的遠程協助功能。不要被他人通過即時聊天工具發佈的虛假、廉價商品信息所誘惑,或者認為先在他人提供的網頁上,支付少量資金進行“購買測試”風險不大,而登錄其提供的虛假支付平臺,這樣您的網銀信息易被竊取。