防範"網絡釣魚" 動態密碼打響保衛戰

2024-07-19 09:10:45 1

    最近一個月的時間內，江蘇連續發生了100多起網銀用戶被騙的案件，中國銀行百名用戶被釣魚。另據RSA反欺詐指揮中心2010年12月報告顯示，中國已成為遭受網絡釣魚攻擊數量最多的五個國家之一，並較上月呈現了4%的增長。

　　國內專業的動態密碼身份認證企業——上海動聯信息技術有限公司技術總監胡永剛介紹了黑客犯罪的過程：近期的網絡安全欺詐實際上主要是利用普通時間型動態密碼令牌不能防釣魚的漏洞。首先，犯罪分子通過發送詐騙簡訊，誘騙登陸欺詐釣魚網站，並誘使用戶輸入帳號、密碼和動態口令，在獲取用戶真實密碼和動態口令後，在1分鐘內犯罪分子快速登錄中國銀行網上銀行官方頁面完成轉帳。在短短的1分鐘內，由於動態口令還沒來得及更新，犯罪分子可以輕易登錄客戶帳戶，將帳戶上的金額全部轉走。

　　胡總監介紹說：「上述案例再次證明，安全問題是一個綜合性的問題。上述案例中的被盜，並不是由於動態口令自身被破解或偽造造成，而是黑客通過釣魚得到了真實的動態口令。任何單一的技術手段，在應用上，都可能存在漏洞。就像普通Usbkey不能防止木馬攻擊一樣，普通時間型動態口令不能防止釣魚。不過，合理應用動態密碼，完全可以達到網絡安全的要求。動態密碼有多種種類，在國外是一個應用成熟的身份認證技術形式，因其較高的安全性、簡單易用的模式而被網銀用戶高度認可。」

　　針對此情況，業內專家認為，像中國銀行網銀出現的問題，其實可以通過以下幾種方式來避免：1、採用挑戰應答動態令牌，用交易的關鍵信息作為挑戰輸入令牌，得到動態口令;這樣交易信息就跟動態口令捆綁在了一起，黑客如果篡改了交易信息，認證將無法通過。2、建立用於交易確認的第二通道，如簡訊、電話等，當用戶需要交易時，將交易信息和確認碼通過簡訊或電話通知用戶，用戶輸入確認碼才能完成交易。3、交易風險實時監控，對於非常用的IP和不符合交易習慣的操作，進行動態密碼二次甚至多次認證;通過上述方式，完全可以保障交易的安全。另外，動聯現在能夠提供更強功能的K8動態密碼令牌產品，該產品擁有高於USBKEY的安全性，包含開機密碼保護、主機驗證、挑戰應答、交易籤名等方式，真正做到網銀安全的無懈可擊。

　　上海動聯信息技術有限公司(dynamicode.com.cn)是身份安全領域的領先廠商，致力於身份安全產品的自主研發、生產、銷售和服務，為政府、金融、電信、電子商務、網路遊戲和企業機構等提供專業的身份安全產品和解決方案。

　　動聯註冊於上海張江高科技園區，在北京、廣州、深圳、成都、杭州、香港等地設有分支機構。動聯的動態密碼身份認證系統和動碼令終端已廣泛應用於銀行、證券、電信、企業、政府等國內外的著名企業和機構，如中國工商銀行、中國銀行、交通銀行、中國移動、中國電信、國信證券、國泰君安證券，在同類產品中動聯的市場佔有率名列第一。

　　作為商用密碼產品生產定點單位和銷售單位、國家雙軟企業和ISO 9001:2008國際質量體系認證企業，動聯堅持技術創新的核心理念，擁有強大的技術開發實力，不斷致力於身份安全產品和動碼令®身份認證中心的研發。動聯擁有完善的資質，包括「商用密碼產品型號證書」、「軟體產品登記證書」、「計算機軟體著作權登記證書」、「計算機信息系統安全專用產品銷售許可證」、「涉密信息系統安全產品認證」、「產品信息安全認證證書」，並獲得多項專利。

　　秉承「客戶導向、卓越創新、正直誠信、全心投入」的企業價值觀，動聯將努力實現「保障電子交易和信息系統的安全，成為身份安全產品和服務領先者」的發展願景。■