防範網絡釣魚 動態密碼保障網銀帳戶

2024-10-08 19:04:10

　　泡泡網企業頻道2月28日 2011年1月10日至今，江蘇省內不少網銀用戶收到這樣一條提示簡訊。「尊敬的網銀用戶：您的中行E令即將過期，請您儘快登錄www.bocccb.com 進行升級，詳詢95566。」蘇州唐先生恰好是中國銀行的網銀用戶，他在家中電腦上登錄升級，可當輸入用戶名、密碼、動態口令後沒幾分鐘，發現卡內的198萬餘元被分兩筆轉走。原來，唐先生中了新出現的「中行網銀E令升級」詐騙。

　　最近一個月的時間內，江蘇連續發生了100多起網銀用戶被騙的案件，中國銀行百名用戶被釣魚，其中一名網銀用戶一次就被詐騙轉帳走101萬元。解放網25日亦報導，一名「80後」網絡公司維修員，利用「釣魚連結」向網絡買家發送山寨版支付寶網頁，騙取貨款6000餘元。另據RSA反欺詐指揮中心2010年12月報告顯示，中國已成為遭受網絡釣魚攻擊數量最多的五個國家之一，並較上月呈現了4%的增長。

　　近日，國內專業的動態密碼身份認證企業——上海動聯信息技術有限公司技術總監胡永剛做了解答。胡總監介紹了黑客犯罪的過程：近期的網絡安全欺詐實際上主要是利用普通時間型動態密碼令牌不能防釣魚的漏洞。首先，犯罪分子通過發送詐騙簡訊，誘騙登陸欺詐釣魚網站，並誘使用戶輸入帳號、密碼和動態口令，在獲取用戶真實密碼和動態口令後，在1分鐘內犯罪分子快速登錄中國銀行網上銀行官方頁面完成轉帳。在短短的1分鐘內，由於動態口令還沒來得及更新，犯罪分子可以輕易登錄客戶帳戶，將帳戶上的金額全部轉走。

　　胡總監介紹說，上述案例再次證明，安全問題是一個綜合性的問題。上述案例中的被盜，並不是由於動態口令自身被破解或偽造造成，而是黑客通過釣魚得到了真實的動態口令。任何單一的技術手段，在應用上，都可能存在漏洞。就像普通Usbkey不能防止木馬攻擊一樣，普通時間型動態口令不能防止釣魚。

　　胡總監繼續說，不過，合理應用動態密碼，完全可以達到網絡安全的要求。動態密碼有多種種類，在國外是一個應用成熟的身份認證技術形式，因其較高的安全性、簡單易用的模式而被網銀用戶高度認可。

　　針對此情況，業內專家認為，像中國銀行網銀出現的問題，其實可以通過以下幾種方式來避免：1、採用挑戰應答動態令牌，用交易的關鍵信息作為挑戰輸入令牌，得到動態口令;這樣交易信息就跟動態口令捆綁在了一起，黑客如果篡改了交易信息，認證將無法通過。2、建立用於交易確認的第二通道，如簡訊、電話等，當用戶需要交易時，將交易信息和確認碼通過簡訊或電話通知用戶，用戶輸入確認碼才能完成交易。3、交易風險實時監控，對於非常用的IP和不符合交易習慣的操作，進行動態密碼二次甚至多次認證。通過上述方式，完全可以保障交易的安全。另外，動聯現在能夠提供更強功能的K8動態密碼令牌產品，該產品擁有高於USBKEY的安全性，包含開機密碼保護、主機驗證、挑戰應答、交易籤名等方式，真正做到網銀安全的無懈可擊。

　　背景資料：關於K8增強型動碼令

　　K8增強型動碼令是動聯繼K5專業型動碼令、K7超薄型動碼令之後更高型號的產品，定位於高端用戶，集超薄設計、長壽命、開機PIN碼保護(個人識別碼)等優勢於一身，已然成為動態密碼身份認證業界的翹楚。其外觀小巧時尚，科技感十足，細節設計頗具人性化。K8增強型動碼令堪稱輕盈，尺寸比信用卡還小了一圈，厚度僅3.25毫米，重量只有13克，可單手操作。鍵盤和圖形界面易於使用，通用的操作提示圖標淺顯易懂，用戶甚至不需要看說明書就能輕鬆上手。大LCD顯示屏，最長8位數字顯示，更為清晰，雙功能on-off / erase按鈕，獨具智慧。

　　K8增強型動碼令除了在外觀、性能上有較大突破外，安全性更是全面升級。其採用一次性密碼(OTP)技術，支持時間同步、事件同步、主機驗證、挑戰/應答、交易籤名等多種安全方式，有效防止釣魚網站和中間人攻擊。8位數字LCD，可輸入多達16位挑戰數字，數倍提升安全係數。

　　K8增強型動碼令的上市，可以完美解決黑客和中間人攻擊問題，輕鬆應對虛假網站、木馬病毒、黑客攻擊等手段竊取密碼。K8增強型動碼令在便攜性、易用性、安全性方面均實現了重大突破，實現了三者的完美統一，將給動態密碼產品高端市場帶來巨大衝擊。■