《投資者報(bào)》記者 李雅琪

　　最近頻繁出現(xiàn)的山寨網(wǎng)銀，不少銀行因此陷入尷尬境地，近期光大銀行又是一例。

　　山寨網(wǎng)站，又名釣魚網(wǎng)站，不法分子通過(guò)簡(jiǎn)單的網(wǎng)頁(yè)制作技術(shù)，模仿和制作出與原銀行網(wǎng)站相仿的網(wǎng)站，并申請(qǐng)相似域名。

　　隨后，利用這樣的網(wǎng)站，通過(guò)短信群發(fā)的方式，以網(wǎng)上銀行升級(jí)，地址更改為由，誤導(dǎo)用戶進(jìn)入。獲取用戶名、密碼和動(dòng)態(tài)口令等絕密信息后，轉(zhuǎn)走用戶賬戶上的存款。

　　前段時(shí)間，這項(xiàng)威脅到用戶資金安全的網(wǎng)絡(luò)詐騙行為，已由中國(guó)銀行蔓延到光大銀行。而這一切的焦點(diǎn)，都集中于動(dòng)態(tài)口令，這項(xiàng)網(wǎng)銀的安全認(rèn)證技術(shù)。

　　光大中招 真假網(wǎng)站難分辨

　　不少網(wǎng)友反映，收到關(guān)于光大銀行網(wǎng)銀升級(jí)的信息，提示客戶升級(jí)。信息稱：“光大陽(yáng)光令牌用戶，因系統(tǒng)升級(jí)改進(jìn)為確保賬戶安全請(qǐng)登錄www.cebbaek.com升級(jí)。”

　　信息全文格式正式，短信結(jié)尾還留有光大銀行95595的客服電話，而光大銀行(CHINA EVERBRIGHT BANK)的英文縮寫CEB也是正確的。

　　由于短信信息中，以確保賬戶安全的系統(tǒng)升級(jí)為理由，不少用戶接收到短信后，較為自然地就會(huì)馬上登錄該網(wǎng)站，去執(zhí)行所謂的系統(tǒng)升級(jí)。

　　而山寨光大銀行，不論是顏色還是欄目設(shè)置，和真正的光大銀行官網(wǎng)基本一樣，就連從該網(wǎng)站進(jìn)入的文章鏈接，也都是光大銀行官網(wǎng)網(wǎng)站的鏈接。更加難以分辨真假。

　　這個(gè)騙局僅有兩個(gè)漏洞，其一，山寨光大銀行網(wǎng)站的域名為“cebbaek.com”，真正的光大銀行官網(wǎng)的域名為“cebbank.com”，僅僅相差1個(gè)英文字母，即銀行“bank”一詞拼寫的錯(cuò)誤。

　　其二，就是發(fā)送短信并非是以95595為結(jié)尾的短息號(hào)碼，但是，基于銀行發(fā)送短信的服務(wù)號(hào)碼以一長(zhǎng)串?dāng)?shù)字為主，多數(shù)用戶并不會(huì)認(rèn)真識(shí)別。

　　遭秒殺 銀行不冤被鉆漏洞

　　這項(xiàng)騙局能夠得以實(shí)施，是因?yàn)椴环ǚ肿永�用了光大銀行動(dòng)態(tài)口令的安全漏洞，用戶僅輸入用戶名(賬戶信息)、密碼和動(dòng)態(tài)口令信息，就能將賬戶內(nèi)資金轉(zhuǎn)走。

　　那么，被不法分子看上，并且費(fèi)盡心力地做出這樣以假亂真的山寨銀行，難倒是犯罪分子隨機(jī)選擇模仿的銀行嗎？金山網(wǎng)絡(luò)工程師李鐵軍告訴記者說(shuō)，“并不是如此”。

　　“現(xiàn)在是騙子們一窩蜂而上針對(duì)動(dòng)態(tài)口令的網(wǎng)銀用戶實(shí)施搶劫。”李鐵軍告訴記者說(shuō)。而使用動(dòng)態(tài)口令的銀行正是中國(guó)銀行、光大銀行還有深圳發(fā)展銀行等，山寨網(wǎng)站集中模仿的幾家銀行。

　　所以說(shuō)，這些銀行被山寨，實(shí)在是因?yàn)榇_實(shí)有漏洞可鉆，在安全防范措施上失效，進(jìn)而讓用戶蒙受損失。而這一切，都指向“動(dòng)態(tài)口令”這項(xiàng)安全認(rèn)證技術(shù)。

　　“動(dòng)態(tài)口令牌，是一種內(nèi)置電源、密碼生成芯片和顯示屏，根據(jù)專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專用硬件。基于該動(dòng)態(tài)密碼技術(shù)的系統(tǒng)又稱一次一密(OTP)系統(tǒng)，即用戶的身份驗(yàn)證密碼是變化的，每60秒隨機(jī)更新一次，顯示為6位數(shù)字，密碼在使用過(guò)一次后就失效，下次登錄時(shí)的密碼是完全不同的新密碼。”他這樣介紹動(dòng)態(tài)口令。

　　銀行使用動(dòng)態(tài)口令，這種設(shè)計(jì)考慮到網(wǎng)銀賬號(hào)密碼被木馬盜取，不法分子異地登錄的情況，以木馬盜取，回收動(dòng)態(tài)口令，時(shí)間超過(guò)60秒就會(huì)失效。

　　“對(duì)付山寨銀行，動(dòng)態(tài)口令并不太有效。 ”李鐵軍分析說(shuō)：“動(dòng)態(tài)口令每60秒隨機(jī)更新一次。賬號(hào)密碼和動(dòng)態(tài)口令在某種情況下被他人獲得，在60秒內(nèi)，使用這個(gè)賬號(hào)密碼和動(dòng)態(tài)口令，可以在任意一臺(tái)電腦獲得登錄網(wǎng)銀的全部權(quán)限。”

　　60秒時(shí)間，能夠讓犯罪分子完全獲取用戶信息嗎？李鐵軍認(rèn)為，“完全可能，60秒，一般人看來(lái)，時(shí)間挺短啊，說(shuō)幾句話就過(guò)去了。而對(duì)于蓄意攻擊的釣魚網(wǎng)站設(shè)計(jì)者來(lái)說(shuō)，完全可以人工登錄，或者設(shè)計(jì)一個(gè)自動(dòng)登錄的程序，在網(wǎng)民錯(cuò)誤地提交賬號(hào)密碼動(dòng)態(tài)口令之后的幾秒鐘內(nèi)登錄網(wǎng)銀，完成資金的轉(zhuǎn)移。”

　　動(dòng)態(tài)口令 安全與易用之爭(zhēng)

　　既然動(dòng)態(tài)口令存在這么明顯的安全漏洞，為什么中行、光大等銀行依然堅(jiān)持采用這項(xiàng)安全認(rèn)證技術(shù)呢？

　　光大銀行的相關(guān)人士無(wú)奈地告訴記者：“動(dòng)態(tài)口令對(duì)于用戶來(lái)講，是使用最為便捷的登錄方式，如果采用數(shù)字證書，或者移動(dòng)硬盤登錄方式。一旦數(shù)字證書損壞或者丟失，將會(huì)為用戶帶來(lái)諸多不便，在這樣的情況下，用戶還需要到柜臺(tái)重新辦理。光大銀行的設(shè)計(jì)實(shí)際上，是在最大程度地考慮網(wǎng)銀用戶使用的便捷性。”

　　中國(guó)金融認(rèn)證中心(CFCA)相關(guān)負(fù)責(zé)人表示：“目前網(wǎng)上銀行采用的安全認(rèn)證手段主要有數(shù)字證書和動(dòng)態(tài)口令兩種形式，這兩種形式各有特點(diǎn)，動(dòng)態(tài)口令使用起來(lái)較為便捷，數(shù)字證書則可全方面地保障網(wǎng)銀交易的真實(shí)性、完整性、私密性和抗抵賴性，在我國(guó)，第三方認(rèn)證服務(wù)機(jī)構(gòu)發(fā)放的數(shù)字證書從技術(shù)上和管理上都受到有關(guān)部門的嚴(yán)格監(jiān)管，可以切實(shí)保障用戶權(quán)益。”

　　對(duì)于網(wǎng)上銀行的易用性和安全性，一直都存在魚和熊掌不可兼得的情況。不少用戶針對(duì)銀行必須使用數(shù)字證書下載，或者移動(dòng)硬盤收費(fèi)的問(wèn)題，發(fā)出過(guò)抱怨。而這樣的抱怨，主要就是對(duì)于網(wǎng)銀的易用性提出的。

　　張女士最近辦了一張民生銀行的借記卡，使用轉(zhuǎn)賬功能必須到民生銀行的柜臺(tái)簽寫協(xié)議，申請(qǐng)數(shù)字證書，開(kāi)通費(fèi)用收取10元。

　　張女士?jī)H使用兩周時(shí)間，由于電腦出現(xiàn)問(wèn)題，重新安裝了操作系統(tǒng)。之前安裝的民生銀行網(wǎng)上銀行數(shù)字證書就失效了。在沒(méi)有備份的情況下，張女士必須重新到柜臺(tái)提交申請(qǐng)，補(bǔ)辦網(wǎng)銀數(shù)字證書。

　　對(duì)于張女士，這樣使用網(wǎng)銀帶來(lái)諸多不便。但是相對(duì)于安全性來(lái)講，僅針對(duì)“山寨網(wǎng)站”這個(gè)騙局，數(shù)字證書的安全性明顯高于動(dòng)態(tài)口令卡。

　　網(wǎng)上銀行的安全與易用之爭(zhēng)，是困擾銀行的“玲瓏棋局”。

　　移動(dòng)證書是最安全的方式

　　近期登錄各家銀行網(wǎng)站，但凡使用動(dòng)態(tài)口令卡作為認(rèn)證技術(shù)的網(wǎng)站，都掛出對(duì)用戶安全提示，注意防范詐騙案件，并提供安全策略。

　　銀行的安全提示只是被動(dòng)防范，“最有效的方式是移動(dòng)安全證書”，對(duì)于網(wǎng)絡(luò)安全有著多年經(jīng)驗(yàn)的金山網(wǎng)絡(luò)工程師李鐵軍表示；“USBkey，是銀行柜臺(tái)發(fā)給用戶的文件型數(shù)字證書，銀行的系統(tǒng)也是拒絕備份在本地硬盤的。這樣就最大程度避免了黑客的攻擊。”

　　像山寨網(wǎng)站這樣的騙術(shù)，拿移動(dòng)數(shù)字證書沒(méi)轍，因?yàn)椴环ǚ肿記](méi)有辦法拿到有效的數(shù)字證書。

　　“移動(dòng)型數(shù)字證書將是未來(lái)網(wǎng)銀安全的方向，而文件型數(shù)字證書很快將被市場(chǎng)淘汰。”李鐵軍對(duì)未來(lái)網(wǎng)銀技術(shù)的發(fā)展是這樣預(yù)測(cè)的。

　　文件型數(shù)字證書最大的安全隱患是擔(dān)心黑客進(jìn)入電腦，將證書復(fù)制走，而移動(dòng)證書本身拒絕復(fù)制到本地電腦，這也最大程度地防范了黑客的攻擊。

　　李鐵軍的另一個(gè)建議是，“網(wǎng)民使用USBkey操作完網(wǎng)銀之后，應(yīng)該立即拔下USBkey，不要在本人離開(kāi)的情況下，長(zhǎng)時(shí)間將USBkey插在電腦上。”