網銀山寨門風波又起 光大被爆釣魚網站

　　最近頻繁出現的山寨網銀，不少銀行因此陷入尷尬境地，近期光大銀行又是一例。

　　山寨網站，又名釣魚網站，不法分子通過簡單的網頁制作技術，模仿和制作出與原銀行網站相仿的網站，并申請相似域名。

　　隨后，利用這樣的網站，通過短信群發的方式，以網上銀行升級，地址更改為由，誤導用戶進入。獲取用戶名、密碼和動態口令等絕密信息后，轉走用戶賬戶上的存款。

　　前段時間，這項威脅到用戶資金安全的網絡詐騙行為，已由中國銀行蔓延到光大銀行。而這一切的焦點，都集中于動態口令，這項網銀的安全認證技術。

　　光大中招 真假網站難分辨

　　不少網友反映，收到關于光大銀行網銀升級的信息，提示客戶升級。信息稱：“光大陽光令牌用戶，因系統升級改進為確保賬戶安全請登錄www.cebbaek.com升級。”

　　信息全文格式正式，短信結尾還留有光大銀行95595的客服電話，而光大銀行(CHINA EVERBRIGHT BANK)的英文縮寫CEB也是正確的。

　　由于短信信息中，以確保賬戶安全的系統升級為理由，不少用戶接收到短信后，較為自然地就會馬上登錄該網站，去執行所謂的系統升級。

　　而山寨光大銀行，不論是顏色還是欄目設置，和真正的光大銀行官網基本一樣，就連從該網站進入的文章鏈接，也都是光大銀行官網網站的鏈接。更加難以分辨真假。

　　這個騙局僅有兩個漏洞，其一，山寨光大銀行網站的域名為“cebbaek.com”，真正的光大銀行官網的域名為“cebbank.com”，僅僅相差1個英文字母，即銀行“bank”一詞拼寫的錯誤。

　　其二，就是發送短信并非是以95595為結尾的短息號碼，但是，基于銀行發送短信的服務號碼以一長串數字為主，多數用戶并不會認真識別。

　　遭秒殺 銀行不冤被鉆漏洞

　　這項騙局能夠得以實施，是因為不法分子利用了光大銀行動態口令的安全漏洞，用戶僅輸入用戶名(賬戶信息)、密碼和動態口令信息，就能將賬戶內資金轉走。

　　那么，被不法分子看上，并且費盡心力地做出這樣以假亂真的山寨銀行，難倒是犯罪分子隨機選擇模仿的銀行嗎？金山網絡工程師李鐵軍告訴記者說，“并不是如此”。

　　“現在是騙子們一窩蜂而上針對動態口令的網銀用戶實施搶劫。”李鐵軍告訴記者說。而使用動態口令的銀行正是中國銀行、光大銀行還有深圳發展銀行等，山寨網站集中模仿的幾家銀行。

　　所以說，這些銀行被山寨，實在是因為確實有漏洞可鉆，在安全防范措施上失效，進而讓用戶蒙受損失。而這一切，都指向“動態口令”這項安全認證技術。

　　“動態口令牌，是一種內置電源、密碼生成芯片和顯示屏，根據專門的算法每隔一定時間自動更新動態口令的專用硬件。基于該動態密碼技術的系統又稱一次一密(OTP)系統，即用戶的身份驗證密碼是變化的，每60秒隨機更新一次，顯示為6位數字，密碼在使用過一次后就失效，下次登錄時的密碼是完全不同的新密碼。”他這樣介紹動態口令。

　　銀行使用動態口令，這種設計考慮到網銀賬號密碼被木馬盜取，不法分子異地登錄的情況，以木馬盜取，回收動態口令，時間超過60秒就會失效。

　　“對付山寨銀行，動態口令并不太有效。 ”李鐵軍分析說：“動態口令每60秒隨機更新一次。賬號密碼和動態口令在某種情況下被他人獲得，在60秒內，使用這個賬號密碼和動態口令，可以在任意一臺電腦獲得登錄網銀的全部權限。”

　　60秒時間，能夠讓犯罪分子完全獲取用戶信息嗎？李鐵軍認為，“完全可能，60秒，一般人看來，時間挺短啊，說幾句話就過去了。而對于蓄意攻擊的釣魚網站設計者來說，完全可以人工登錄，或者設計一個自動登錄的程序，在網民錯誤地提交賬號密碼動態口令之后的幾秒鐘內登錄網銀，完成資金的轉移。”

　　動態口令 安全與易用之爭

　　既然動態口令存在這么明顯的安全漏洞，為什么中行、光大等銀行依然堅持采用這項安全認證技術呢？

　　光大銀行的相關人士無奈地告訴記者：“動態口令對于用戶來講，是使用最為便捷的登錄方式，如果采用數字證書，或者移動硬盤登錄方式。一旦數字證書損壞或者丟失，將會為用戶帶來諸多不便，在這樣的情況下，用戶還需要到柜臺重新辦理。光大銀行的設計實際上，是在最大程度地考慮網銀用戶使用的便捷性。”

　　中國金融認證中心(CFCA)相關負責人表示：“目前網上銀行采用的安全認證手段主要有數字證書和動態口令兩種形式，這兩種形式各有特點，動態口令使用起來較為便捷，數字證書則可全方面地保障網銀交易的真實性、完整性、私密性和抗抵賴性，在我國，第三方認證服務機構發放的數字證書從技術上和管理上都受到有關部門的嚴格監管，可以切實保障用戶權益。”

　　對于網上銀行的易用性和安全性，一直都存在魚和熊掌不可兼得的情況。不少用戶針對銀行必須使用數字證書下載，或者移動硬盤收費的問題，發出過抱怨。而這樣的抱怨，主要就是對于網銀的易用性提出的。

　　張女士最近辦了一張民生銀行的借記卡，使用轉賬功能必須到民生銀行的柜臺簽寫協議，申請數字證書，開通費用收取10元。

　　張女士僅使用兩周時間，由于電腦出現問題，重新安裝了操作系統。之前安裝的民生銀行網上銀行數字證書就失效了。在沒有備份的情況下，張女士必須重新到柜臺提交申請，補辦網銀數字證書。

　　對于張女士，這樣使用網銀帶來諸多不便。但是相對于安全性來講，僅針對“山寨網站”這個騙局，數字證書的安全性明顯高于動態口令卡。

　　網上銀行的安全與易用之爭，是困擾銀行的“玲瓏棋局”。

　　移動證書是最安全的方式

　　近期登錄各家銀行網站，但凡使用動態口令卡作為認證技術的網站，都掛出對用戶安全提示，注意防范詐騙案件，并提供安全策略。

　　銀行的安全提示只是被動防范，“最有效的方式是移動安全證書”，對于網絡安全有著多年經驗的金山網絡工程師李鐵軍表示；“USBkey，是銀行柜臺發給用戶的文件型數字證書，銀行的系統也是拒絕備份在本地硬盤的。這樣就最大程度避免了黑客的攻擊。”

　　像山寨網站這樣的騙術，拿移動數字證書沒轍，因為不法分子沒有辦法拿到有效的數字證書。

　　“移動型數字證書將是未來網銀安全的方向，而文件型數字證書很快將被市場淘汰。”李鐵軍對未來網銀技術的發展是這樣預測的。

　　文件型數字證書最大的安全隱患是擔心黑客進入電腦，將證書復制走，而移動證書本身拒絕復制到本地電腦，這也最大程度地防范了黑客的攻擊。

　　李鐵軍的另一個建議是，“網民使用USBkey操作完網銀之后，應該立即拔下USBkey，不要在本人離開的情況下，長時間將USBkey插在電腦上。”