现实生活中不法分子针对银行和储户的诈骗花招百出,网上银行也难成一方净土。据中国互联网络信息中心发布的报告,2010年上半年有1.1亿网民遇到过账号或密码被盗的问题,如何保护网银的安全成为众多网银用户关注的焦点。
据分析,目前发生的网络银行案件主要有以下几类:第一类是假银行网站欺诈,即钓鱼网站。这类假银行网站域名与真银行网站非常相似,网民一旦进入假网站,输入卡号和密码,钱就会被不法分子通过转账等方式划走。第二类是通过窃取账户信息进行欺诈。这类欺诈方式有多种,例如通过在用户电脑上植入木马程序,盗取用户的账号和密码,然后划走网银用户的资金;或者用户在公共网吧等地方上网以后,没有及时退出银行网页界面就离开自己的电脑,被黑客窃走资金。第三类来自于业务层面。问题可能发生在电子购物过程中,因为电子购物有很多环节,这就有可能导致网银安全漏洞的出现。
网上银行交易系统的稳定与安全,是交易得以顺利进行的基础与保障,各大银行表示自己的网上银行都有多种安全防范机制,如各种防火墙、入侵检测等,从银行自身保护客户交易安全。但是面对目前层出不穷的攻击形式与安全危机,各大银行只有积极、主动地不断升级自身系统,才可以真正做到防患于未然。
(一)“新圈套”不能不防
根据消费者举报和警方调查,近期网银安全漏洞主要出现在客户端以及相关的第三方支付环节,其中最常见的陷阱主要有以下四种:
1.家中电脑成了“肉鸡”。如果一台电脑被黑客成功控制为“肉鸡”,那么当用户利用这台电脑进行网上银行操作时,黑客可能会利用。
木马程序获得账号密码,然后利用用户正在使用的U盾等移动硬件数字证书,成功将正在使用的网上银行进行转账。这种情况可能实现的前提,一是该台电脑被远程控制,二是该用户正在使用U盾进行网上银行转账,三是用户没有使用手机验证等服务。
2.IE浏览器被“劫持”。在网银操作流程里,用户在IE浏览器中形成交易信息,再由IE浏览器把交易信息传递给U盾进行认证。U盾完全信任IE浏览器,即使IE提交了一笔经过篡改的交易,U盾也不能发现,照样进行认证。因此,如果一个木马病毒通过某些技术手段,能够完全控制IE浏览器,就可以对网银用户的交易信息进行篡改,一旦用户确认交易,被篡改的交易就和正常交易一样,经过认证、发送,并最终执行。
3.页面“狸猫换太子”。当不法分子施放的病毒在监控到用户电脑在进行网上购物时,会把用户的当前页面跳转到黑客特别设置的虚假付款页面。由于网上购物的收款方一般都是同一家第三方支付平台(如拍拍网的收款方都是腾讯,淘宝网的收款方都是支付宝等),真假网页不同的只是订单号和交易金额的差异,这种情况下常常有粗心的用户点击确认付款,结果把原本正常购物的钱,付给了黑客虚设的账号上。
4.第三方支付平台有漏洞。许多网上银行与第三方交易平台进行了对接,这就给黑客盗取网上银行用户资金提供了可乘之机。目前国内的第三方交易平台异常发达,但离安全保障较正规的网银还有一定差距,存在可被利用的漏洞,并已经发生了多起因第三方支付平台原因而导致的用户资金被盗案件。
网银专家表示,虽然网银目前还无法做到绝对的万无一失,但用户也不必谈“网”色变,事实上,只要做好基本的防范措施,网上银行还是非常安全的。
(二)网银用户守则
网上银行的安全一方面依赖于银行的科技人员不断强化安全措施,保证用户的资金安全;另一方面作为用户也要不断提高安全意识,在使用网上银行时,注意以下几点,以确保不给不法分子可乘之机。
1.核对网址,确保登录地址的正确性。在登录网上银行时,应注意核对所登录的网址与协议书中的法定网址是否相符,谨防一些不法分子恶意模仿银行网站,骗取账户信息。
2.设置安全的网上银行密码,并定期更改。密码应避免与个人资料有关系,不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。密码应妥善保管并定期更改。尽量避免在不同的系统使用同一密码,否则密码一旦遗失,后果将不堪设想。
3.不要向任何人透露密码。
4.小心“网络仿冒”邮件或者短信要求提供账户信息和密码。
5.若长时间内不使用网上银行,建议暂停网银功能,暂停使用网上银行。
6.保证计算机安全。定期下载安装最新的操作系统和浏览器安全程序或补丁,安装个人防火墙及杀毒软件,养成定期更新杀毒软件及定期查杀病毒的习惯,防止新型病毒入侵电脑。
7.不要使用公共电脑和在他人电脑上登陆网上银行,例如网吧的电脑。
8.定期查询交易记录。对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。
9.对异常动态提高警惕。若遇重大事件,系统必须暂停服务,银行会提前公告。如不小心在陌生的“银行网址”上输入了银行卡号和密码,并遇到类似“系统维护”之类的提示,应立即拨打银行客服热线进行确认。万一发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。
10.切记点击“退出交易”键。使用完“网上银行”后,切记点击“退出交易”键,可防止他人继续操作,更重要的是可清除微机数据库中暂存的密码,充分保证安全。
11.设置“网上银行”密码。设置“网上银行”密码时,最好同柜台、ATM机等场所使用的密码不一致;登录密码和支付密码也不要相同,因为一旦登录密码被窃,他人在掌握登录卡号的情况下,就可登录账户,进行支付、资金划转等操作。
12.在办理资金转账、网上汇款等自助业务时,一定要对汇入账号、金额等信息认真校对,以免造成损失。
(三)使用网银的注意事项
随着生活节奏的加快,越来越多的人们利用网上银行,取代去银行排长队、到柜台办理业务。网上银行方便、快捷、简单的操作模式,越来越符合人们的生活方式,受到人们的热烈欢迎。但是,随着网上交易、网上银行的流行,网上诈骗的方式也层出不穷,给消费者带来许多安全隐患,甚至上当受骗。
专家指出,导致这些问题有时候并非是网上银行的技术手段不够先进,而是用户没能养成良好的网银交易习惯,没有充分使用现有的科技手段。在此,专家特意就如何安全使用网银提供了详尽的建议。
1.注册篇。
(1)认真填写身份资料。不要胡乱填写注册资料,这些资料对网银用户的账户而言十分重要。一旦客户将来忘记了账户的密码、账户被盗或被限制等问题发生,正确的填写身份资料的重要性就非常突出了。一般情况下,能够联络到客户的邮政通讯地址、电话、生日、姓名等资料都必须如实填写。因为这几个资料是在处理非常情况时,找到和证明客户身份的直接证明,否则可能损失惨重。即便一个客户拥有一种网银的多个账号,也要分别提供这些资料。
(2)记录好注册提供的资料,以备后查。
(3)设计好密码、提示问题等重要信息。
2.出入篇。
(1)没事不要总是进入账户,特别是新手,似乎一会儿不进去看看就不放心。这很容易给黑客提供盗取信息的机会。
(2)不要通过代理进入账户,在代理服务器中会留下用户的痕迹,如果有人别有用心,会很轻松地找到这些。
(3)离开账户后不要一走了之,一定要做登出,正确地退出。
(4)除了在线支付,不要通过任何网站或邮件等进入网银。只通过保存的网银站点正确链接进入。
(5)最好不在网吧进入网银,如果非这样做不可,起码要检查一下任务管理器,看看有没有不正常的进程在运行;退出后,清除网页的密码保存和cooikes。
(6)建议最好在开机后还没有登录其他网站时先登录网银账户。在操作网银时候,建议不要浏览别的网站,有些恶意代码可以得到访客电脑上的信息,并利用这些信息攫取用户的账号。退出账户后再去其他的网站。
(7)多账户操作时,切记不要同时进入,一定要退出前一个再进入后一个。
3.密码篇。
(1)密码要足够长,并且最好同时使用大、小写字母以及数字和其他字符。
(2)不要用生日、姓名、地址等做密码,容易被猜出。应当是自己清楚而别人想象不到的。更好的是自己也不清楚有什么意义和规律。
(3)不要与任何其他的密码一样或相近。
(4)在输入密码的时候,可以通过多次的部分密码复制、粘贴的方式进行,以免被键盘记录器记录。粘贴的次序也可以打乱,再加上错误的字符删除,这样就没有任何一个简单的记录器能盗取了。
(5)网银一般可以提供一些加密的软键盘,目的是防键盘鼠标监听,除非对方攻破了指点数据包(那是128位加密的,很难被攻破的,除非是EG公司本身的问题),否则是不会被盗的。
(6)把密码保存好,最好不要记录在计算机里。
(7)网银站点提供的安全措施,如校对码效验,一定不要关闭!即便麻烦一点也要坚持。一旦发现有异样,立刻更换密码。
(8)除了密码附加码的基本认证外,目前银行有动态口令、文件数字证书、移动数字证书等安全措施,如“USBKEY”。客户最好搭配使用多种方式,为自己的钱包多加几道锁。
4.邮箱篇。
(1)网银使用的邮箱一定要可靠、迅速,最好是专用的。如果有条件,可以使用收费的邮箱。
(2)几乎所有的网银都已经声称不会向用户发送一些特别是关于密码之类的邮件,所以不要轻易打开不明来历的邮件,特别声称是某个网银来的邮件、特别是带附件的邮件。也不要点击邮件中的任何链接。这些操作可能带来木马病毒或者将客户引向假网站,进而造成损失。
消费者要想进行放心安全的网上购物,应做到以下三点:
第一,选择可信的品牌电子商务网站或支付网关。顾客在网上购物时,要查看电子商务网站或支付网关有无营业执照、ICP证(《中华人民共和国电信与信息服务业务经营许可证》)等相关证件。支付网关虽然不直接参与贸易,但有品质、有体系的支付网关能够保证顾客的利益不受损,若是顾客支付钱后并未获得相应服务,支付网关可以冻结支付资金,直到买卖双方达成协议。
第二,要注意银行卡的使用。使用银行卡时,一定要修改支付初始密码,而且不要太简单,尤其不能和自己平时在自动取款机上的密码一致。平常在自动取款机上操作时,密码容易被别人看到,如果有人利用取款凭证得到卡号又看到密码以后,就容易从网上把卡上金额划走。
第三,要留意假的银行网站。正规的银行网站和支付网关不会通过邮件、弹出窗口等形式要求消费者填写银行卡和密码。一般使用正规银行网站进行交易时,银行网站会首先要求消费者下载安装一个安全控件,这个安全控件中会记录所有的交易情况,包括交易地点、交易对象等。
(四)主要的网上银行安全性比较
淘宝和易趣的在线支付系统均支持工、农、中、建、招商、邮政、交通等大多数的银行卡,且采用了口令卡、数字证书等安全方式的各家银行的网上银行系统基本上都是比较安全的。
所以,你应该关注的是申请哪一种银行卡能给你平时的资金使用带来更大的方便。比如周围工行网点多,你就适宜办理工行的卡,办业务、存取款都方便。比如工资发在建行存折,就适宜办理建行的卡,进行网上支付、投资就可以省去携带大笔资金跑银行存钱的辛苦。
单纯就网上银行的功能来说,各个银行其实都大同小异,差别在于开通网上银行的途径是否简便,网上银行的操作是否安全又简单易行,以及服务是否收费。
国有银行里,建行的网上银行申请和使用最简单、易操作;同时和淘宝网联合发布了支付宝建行卡,双方合作,更有保障。
商业银行里,浦东发展银行、招商银行都很不错。这两家的网银不需要收取额外的任何购买费用,您只需要开通支付宝,并申请电子银行,以后所有操作都可以在网上完成。都比较方便,不用数字证书,也不用U盾,只要办理网上银行就可以了。是和手机绑定,通过动态短信密码进行操作,不仅安全还十分方便。
安全性是电子银行最大的考核要素,国内通过网上银行行窃的案例并不在少数,在网上管理账户到底安全不安全,哪个更安全?
1.招商银行。招行是国内电子银行的老牌,毫无争议,招行对国内电子银行的发展和促进做出了重大贡献。目前招行的电子银行在国内应该算口碑最好的一个。招行现在的电子银行提供有客户端的专业版和无客户端的Web版。而且以专业版为主,Web版为辅助。工行、建行、兴业主体上还是Web模式,恒生也是提供Web模式的银行。
招行的专业版,采用证书 客户端。其中的证书下载前必须去银行柜台登记,并领用专门的号码后才可以下载。下载下来不允许直接备份在硬盘上(可以在U盘上,以前招行是可以直接备份在电脑硬盘上)。
因为证书以及客户端存在,等于说,别人想盗用你的存款时,首选要知道电子银行的登陆密码(不是查询密码)。然后还要掌握安装有证书的电脑,同时还要知道取款密码,在三个都成立情况下,才可以窃取成功。(招行的电子银行密码分别有电子银行登陆密码、账户查询密码、取款密码)。由于客户端的存在,基本上免除了用户误用钓鱼网站而导致失窃的情况。
综述:安全性超高,要求用户操作水平要高,推荐电脑熟悉人士使用。注意,备份证书时候记住自己的问题和密码。
2.工商银行。提供口令卡,把电子银行大众化,提供web版本,不需要同个体用户关联的文件证书。如果你知道账号和查询密码,可以在任意电脑上安装工行的插件,并登录使用。工行以前是可以在网络上直接申请开电子银行,这个政策也被人深为诟病,并成为一个比较公开的漏洞,导致工行有一段时间被窃不少。后来工行大力推广口令卡,并改进电子银行软件和强化电子银行开户管理才算阻止被盗案件的上涨。
工行现在主推的是口令卡,目前在推广期内是免费赠送,而且同下面提到建行相比,单张工行的口令卡能够使用次数远远超过建行(工行可以使用1千次,建行的只能29次)。工行的这种口令卡模式,有几个优点,口令卡免费,而且使用次数是1000次,从这两点上看,工行确实想在一定安全级别上降低电子银行的推广成本。由于口令卡是一个同电脑无关的物理卡片,切断了黑客种植木马盗用账号和密码后,直接盗用用户的存款。如果用户能保存好口令卡,理论上用户的存款是非常安全的。
综述:操作方便,推荐普通用户用口令卡,尤其是每日转款在5000元之内的用户。
3.建设银行。防不专业的用户却不防小人。
建行把“宝”压在文件证书上面,因为文件证书的存在,一下子抬高了使用门槛。但是建行的证书下载和备份有一个最大的问题,就是一旦电脑被别人窃取(或者短时间控制),对于一个普通的计算机操作人员,都可以很容易通过IE把用户证书备份出来,另外建行也提供口令卡,但是只能用29次。而且是顺序排列,加上没有预留信息,直接给钓鱼网站一个机会。假如钓鱼网站诱惑你成功登陆后,就直接获取了你的账号(或者登陆名)、登陆(查询)密码。如果你对自己的钱款余额不太关注,可以诱骗你刮一次口令卡,然后盗窃团伙直接用这个口令卡上的口令就可以轻松搞定你户头里所有的钱。
综述:不建议有大额存款的人开建行的电子银行。如果有开,看紧你的电脑,也要看紧你的口令卡,还要关心你自己的余额。
最后讨论一下现在认可度比较高的U盾。如果有Ukey(U盾),在资金发生流动时候,必须插入这个硬件,同时搭配密码。同现在广泛应用的口令证书相比,安全性更高,没有口令卡的盗刮、影印问题。而且一旦丢失,用户很容易发觉。同时不像手机,有人接触Ukey,估计用户警惕性要比接触手机要高。Ukey(U盾)最大的问题在于成本,一个需要70元左右,这个价格导致推广起来困难重重。
综述:如果你有很多银行账户需要打理,建议你存款最多的银行,还是掏钱买一个Ukey(U盾)为好。要不,真的大热天跑一次银行,成本不会比70元少多少。
(五)使用网银的一些注意事项
1.谨防钓鱼网站。其实真正由于银行安全漏洞钱财失窃的事情是少数,更多的人是因为上了钓鱼网站的当才不幸中招。当我们打开银行首页时,可以将正确的网址收藏起来,尽量避免在通过“超链接”进入的银行系统上进行操作。
2.保护好账号密码。网络银行账号和密码是绝对私人所有,使用复杂的密码,不要轻易告诉别人。还有,银行不会通过第三方来转告用户一些事情,当接到陌生的电话或者短信、邮件的时候还需要小心核对。网络银行账户的注册邮箱必须独立出来,该邮箱除了接受网银的信息外,不要再作他用,这样基本就能保证网银的安全了。至于参与项目的注册邮箱,可以另外准备一个。
3.定期查询详细交易。做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻。
4.对杀毒软件的使用。将电脑的防火墙设置最高安全级别,及时升级杀毒软件,避免“网银大盗”的侵入。
5.银行提供的各种增值服务要充分利用上,因为这样能随时检测。
现在很多银行都提供了交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态。是系统就一定有漏洞,对于银行系统来说也是如此。所以我们也不要埋怨银行的安全系统做得多么不好,只要我们先从自身做起,关注网银使用的安全再加上银行不断升级的安全服务,网银的安全还是有保障的。相信总会有一天“魔高一尺,道高一丈”,毕竟银行背后有千千万万的支持者。
做网赚时,很多网赚朋友使用的是网银,作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任,实际上我们维护网银也是在保护我们自己。
