一、研究背景

　　目前，電子金融逐漸成為各大銀行重要業(yè)務辦理渠道。網上銀行可以大幅度降低交易成本，據統(tǒng)計，完成一次網上銀行交易的成本是1分錢，完成一次傳統(tǒng)銀行交易的成本超過1元錢。因此，發(fā)展網上銀行業(yè)務是大勢所趨。中國工商銀行給出的一組數(shù)據顯示，工商銀行2007年的網上銀行交易量已經達到102.9萬億，約占其所有業(yè)務辦理渠道交易量的37.2%。

　　但網上銀行交易就像一把雙刃劍，在便捷的同時帶來了一系列的安全問題，日益猖獗的木馬、形形色色的釣魚網站以及網絡犯罪的規(guī)?；?、集團化。使得普通用戶更需要了解其基本原理，掌握一些必要的安全防范措施。

二、網上銀行交易基本原理

　　網上銀行系統(tǒng)由用戶系統(tǒng)、網站、網銀中心、業(yè)務數(shù)據中心、銀行柜臺和CA中心等組成。

　　銀行方面主要采取的安全措施是基于RSA的加密機制、數(shù)字簽名機制、SSL加密傳輸和口令登陸相結合的方式驗證用戶身份，同時安裝多重防火墻，用于防止Internet的非法攻擊和銀行系統(tǒng)信息外泄。入侵檢測系統(tǒng)安裝在網站和網銀中心，實時監(jiān)測網絡的攻擊行為，從而提供對內部攻擊、外部攻擊和非法操作的保護。

　　普通網上銀行用戶接觸到的就是用戶系統(tǒng)、網站以及銀行柜臺三個方面。

　　用戶系統(tǒng)是用戶進行網上交易的環(huán)境，在用戶系統(tǒng)中可完成認證介質登陸，訪問網上銀行系統(tǒng)等工作。

　　銀行網站負責銀行信息公布和對外宣傳，并提供到網銀中心的鏈接。網站是提供給用戶的唯一訪問站點，用戶只需記住網站，無需了解銀行內部其他主機地址。

　　銀行柜臺位于銀行的營業(yè)網點，可授權進行網上銀行業(yè)務交易。銀行柜臺可進行開戶、存取款交易。

三、網上銀行安全防護

　　要攻擊防御體系基本完善的銀行系統(tǒng)，取得重要信息或破解經過數(shù)字簽名認證、加密傳輸?shù)臄?shù)據對大多數(shù)“黑客”來說無疑是很困難的，于是他們紛紛將黑手伸向了防范意識不是很高的普通用戶。下面就結合相關案例來談一下安全使用網上銀行方面的幾個要注意的地方。

案例1：交易前的危險

　　楊先生在卡上存入100萬元，第二天卡內就少了995050元，僅剩下4950元，而此時卡、USB Key等文件資料都還好好地躺在他的保險柜里。為此，楊先生將銀行告上法庭，索賠100萬元。昨日，法院作出一審判決，認為原告未妥善保管密碼是巨款被取走的原因，遂駁回其訴訟請求，并判令其負擔案件受理費13800元。

　　“因業(yè)務需要，我與第三方約定對此100萬元存款雙控，也就是雙方同時控制賬號”，

　　經過分析，問題終于浮出水面，主要原因就是該用戶開通了網上銀行,設置了網上銀行的密碼,設置了帳戶安全方式：USBKEY驗證，但是他卻將帳戶、密碼告訴了第三方，以為第三方沒有USBKEY就無法轉帳，看起來好像是沒有問題的，但實際操作中，該用戶應該在USBKEY下載了證書之后再將密碼告訴第三方。問題就出在該用戶還沒有下載USBKEY證書就把密碼告訴了第三方，那么第三方很容易就可以去再買個USBKEY，馬上下載證書，配合密碼就可以轉款了。像這種雙方控款的情形，應該是把查詢密碼可以告訴第三方，把轉款密碼不能告訴任何人?，F(xiàn)在一般的網上銀行都是設置查詢密碼和轉帳密碼的，轉帳密碼是絕對不可以告訴任何人的。

　　總結：用戶開戶后應該盡快登陸網上銀行,按提示下載證書,設置新的查詢和取款密碼等。如果你開戶時密碼讓第三方知道了，那么，第三方可以馬上登陸銀行網站，搶在你的前面把合法的證書下載到他的電腦上面，或者裝進他的USBkey中，那么他就變成了合法的用戶。所以，必須盡快得到證書并保護好自己的密碼。

案例2：社會工程學帶來的危險

1、電子郵件/欺詐信息/手機短信+釣魚網站鏈接

　　利用招商銀行名義發(fā)送郵件，該郵件以對賬、核實賬戶消費記錄等名義要求客戶登錄招行網站查詢詳情，并提供招行網站的超級鏈接，如果點擊鏈接就會打開一個冒充招商銀行的頁面。該網頁不僅從頁面布局及內容方面仿冒得很像，足以以假亂真，而且域名也很具有欺騙性。該網站的域名是www.，真招行網站的域名是www.cmbchina.com，cmb是招行的英文縮寫，而95555是使用招行賬戶的用戶都非常熟悉的招行電話銀行號碼，不法分子將cmb與95555組合在一起，就會讓用戶不會對它產生懷疑，具有較強的欺騙性。用戶往往誤認為自己進入了招行的真正網站，其實用戶所造訪的不過是一個經過精心設計的假冒網站而已。

　　如果用戶在釣魚網站上輸入個人信息，不法分子便會利用電子郵件將帳戶信息自動發(fā)送到事先設定好的郵箱，竊取用戶的賬號、密碼。

　　還有諸如出現(xiàn)過的某假冒工行網站，網址為http://www./ ，而真正銀行網站是http://www.icbc.com.cn/ ，犯罪分子利用數(shù)字1和字母i非常相近的特點蒙蔽用戶。

　　又如曾發(fā)現(xiàn)的假公司網站(網址為 http://www. )，而真正網站為 http://www. ，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布贈送QQ幣的虛假消息，引誘用戶訪問。

2、利用虛假的電子商務進行詐騙

　　犯罪分子通過建立電子商務網站，或是在比較知名、大型的電子商務網站上發(fā)布虛假的商品銷售信息，通常他們在收到受害人的購物匯款后就銷聲匿跡。大部分人采用在知名電子商務網站上，如“易趣”、“淘寶”、“阿里巴巴”等，發(fā)布虛假信息，以所謂超低價、免稅的名義出售各種產品，或以次充好，很多人在低價的誘惑下上當受騙。

案例3：利用黑客技術手段竊取用戶信息

　　主要是利用木馬手段。木馬制作者通過發(fā)送郵件或在網站中隱藏木馬通過漏洞觸發(fā)等方式傳播木馬，當感染木馬的用戶進行網上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，并發(fā)送給指定郵箱。利用木馬屏幕監(jiān)控功能進行錄象破解決軟鍵盤登陸的事例也時有發(fā)生。

　　近日清遠市清城區(qū)人民法院獲悉，譚某等7名被告人利用網絡技術竊取網上銀行客戶資料盜竊存款一案經該院一審后，已于近日二審終結，7名被告人分別被判處1年至14年不等有期徒刑，并處罰金。據了解，譚某、梁×鵬、黃×風、黃×俊、曾×航、蔡某、駱某7人均是20歲左右的年輕人，彼此通過互聯(lián)網QQ相識。去年1月，黃×俊通過QQ發(fā)給梁×鵬一個“香港某集團”的網址，告知梁×鵬內有許多網上銀行客戶資料，要求梁入侵該網站， 下載數(shù)據庫資料，想辦法將別人的銀行存款拿出來。梁×鵬發(fā)現(xiàn)了該網站的漏洞，破壞了該網站的服務器，并上傳某病毒程序下載了該網站數(shù)據庫，取得了上萬個網上銀行客戶的資料，然后與黃×俊兩人通過QQ分別將客戶資料提供給譚某、蔡某、駱某、黃×風、曾×航等人密謀盜竊。7人主要通過遠程操控他人電腦在網上轉賬，或利用假身份證辦理銀行信用卡取款的方法盜取存款。7人共作案9次盜得他人存款85萬多元。持卡人發(fā)現(xiàn)賬戶上資金被他人轉走，當即報案。經公安偵查，上述7人先后被抓獲歸案。

案例2、案例3總結：

　　(1)對要求輸入賬號信息、信用卡賬號之類的郵件和短信中獎等信息不予理睬，如確需驗證應手工輸入正確的網銀網址并認真核對確保其正確，也可將其保存于本機的收藏夾內方便使用，不要輕易點擊郵件、郵件附件及不知名網站內的鏈接地址

　　以工行為例：個人網上銀行登錄頁面和網上支付頁面都經過128位SSL加密處理，在打開上述頁面時，在IE瀏覽器右下角狀態(tài)欄上會顯示一個“掛鎖”圖形的安全證書標識。點擊掛鎖，應顯示如下信息
　　頒發(fā)給：mybank.icbc.com.cn
　　頒發(fā)者：www./CPS Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign

　　(2)網上銀行登錄密碼，最好使用數(shù)字加字符這樣的復雜密碼，不要選諸如身份證號碼、出生日期、電話號碼等作為密碼，建議用字母、數(shù)字混合密碼，盡量避免在不同系統(tǒng)使用同一密碼，防止不被黑客輕易破解，定期修改密碼。

　　(3)針對虛假電子商務信息的情況應當認清：一是虛假購物、拍賣網站看上去都比較“正規(guī)”，有公司名稱、地址、聯(lián)系電話、聯(lián)系人、電子郵箱等; 二是交易方式單一，消費者只能通過銀行匯款的方式購買，且收款人均為個人，而非公司，訂貨方法一律采用先付款后發(fā)貨的方式; 三是詐取消費者款項的手法如出一轍，當消費者匯出第一筆款后，騙子會來電以各種理由要求匯款人再匯余款、風險金、押金或稅款之類的費用，否則不會發(fā)貨，也不退款，一些消費者迫于第一筆款已匯出，抱著僥幸心理繼續(xù)再匯; 四是在進行網絡交易前，要對交易網站和交易對方的資質進行全面了解。

　　(4)其他網絡安全防范措施。安裝防火墻和正版防病毒軟件，并經常升級; 注意經常給操作系統(tǒng)打補丁，修補系統(tǒng)漏洞，同時注意機器安裝的軟件如暴風影音類播放軟件、QQ、雅虎通等的及時升級; 禁止瀏覽器運行 JavaScript和ActiveX代碼，有選擇的定期清除Cookies及歷史; 不要上一些不太了解的網站，控制自己的欲望，不要登陸一些不健康網站，這部分網站最容易被掛馬; 不要執(zhí)行從網上下載后未經殺毒處理的軟件，打開MSN或QQ等傳輸?shù)奈募⒁? 提高自我保護意識，注意妥善保管自己的私人信息，如本人證件號碼、賬號、密碼等，不向他人透露; 盡量避免在網吧等公共場所使用網上電子商務服務。

　　(5)清楚機器啟動加載運行的程序有哪寫，卸載不必要的程序，禁用不必要的服務，關閉不需要的端口，設置日志記錄等安全策略。盡量不要采用安全級別很低的“賬號+密碼”方式進行網上交易，如果需要比較頻繁地進行網上交易操作，建議一定要采用由合法、權威的第三方安全認證機構頒發(fā)的數(shù)字證書，即使用網上銀行的專業(yè)版和證券交易軟件的證書版。否則，一旦用戶的個人電腦被植入木馬、病毒等惡意代碼，賬號和密碼等信息就很容易被竊取，進而造成資金損失。

　　(6)使用銀行提供的安全措施來保障安全如工行的U盾、 電子銀行口令卡等產品。

　　(7)如果真的不幸?guī)粜畔⒈槐I，盡快更換密碼和掛失信用卡，安裝專業(yè)的反釣魚軟件，并將可疑軟件轉發(fā)給網絡安全機構，共同維護一個良好健康的網絡環(huán)