“钓鱼”可怕  3.15网银成为重灾区
来源:中国电子政务网 更新时间:2011-03-21

与往年的3.15不同,人们没心情再去谈论“XXX商家售后服务不好”“XXX卖假货”等问题,毕竟欺诈的魔手已经伸进人们的口袋,只要稍不留神,你的血汗钱就成了别人的盘中餐。

如今网上银行已经成为消费者购物的重要支付方式,近期一系列网银欺诈事件暴露出银行安全机制存在严重隐患,用户财产安全岌岌可危。

“动态口令”原本是一种网银安全的保护措施,不想竟成为不法分子进行网银欺诈的噱头。春节前夕,一些使用动态安保中行E客户轻信诈骗短信,贸然登录钓鱼网站并且输入了自己的网银用户名、密码和动态口令。不法分子套取了以上关键信息后,迅速通过网上转账方式转走中行网银用户的资金。
  尽管中国银行迅速地采取了相关补救措施,并对网银系统全面应用了动态口令加手机交易码组合的认证方式。但目前屡屡发生的网银欺诈案件,已经让很多用户对网银系统失去信任,甚至很多银行业内人士也开始建议客户不要对存款金额较大的银行卡开通网上银行,在进行大额转账时尽量通过银行网点的柜台服务完成。在今天这种互联网快速发展的时代,以网络银行、在线支付为代表的电子商务系统,面对不断翻新的黑客攻击时,真的就是破绽百出、无从招架吗?

其实,任何新生事物的发展初期,都会遇到很多挑战和挫折,“因噎废食”显然不是明智的选择。动态口令技术的最大好处在于使用方便,由于不用和用户计算机有物理上的连接,因此使用起来相对灵活。不过由于动态口令在生成后,会在一段时间里有效,这就给了黑客们可乘之机。当然,如果中行的用户安全意识较高,不去访问欺诈钓鱼网站,轻易输入自己的帐号密码,一切问题或许都不会发生。

经过一番探访,记者发现除了动态口令技术,网上银行,第三方支付公司大多数还采用的是USBkey方式的“数字证书”,中国工商银行的“U盾”,招商银行的“优KEY”,支付宝的“支付盾”,他们的安全性如何?是否存在潜在的安全风险?

虽然名称各不相同,但上述几种产品均是基于“数字证书”技术之上的。外形各异的USB Key,主要保存数字证书、用户私钥,USBkey内置的物理加密芯片可以确保数字证书不被木马病毒轻易盗取。记者就此问题采访了支付盾产品合作伙伴天威诚信数字认证中心的高级副总裁李延昭,据介绍支付盾的安全芯片内置了天威诚信签发的第三方数字证书,使用者即便登录了欺诈钓鱼网站,黑客也无法远程盗取数字证书,从安全性上来看是完全可靠的。支付盾的客户分布面很广,有的客户在网吧等频发盗号事件的场所也经常使用支付盾,但2009212日支付盾推出以来,经过两年多的运行,支付盾用户的账户一直保持着零被盗率。

不同于动态口令产品,支付盾等“Ukey”类数字证书产品,需要和计算机系统连接,因此往往会受到计算机软硬件系统的限制,很多不规范的产品在使用时会出现驱动不匹配,无法正常连接的情况,这就需要安全厂商不断优化产品的易用性,降低客户对于高安全加密强度不便于使用的心里抵触。如何让老百姓愿意用、放心用,不会因自己的电脑水平影响操作,这些也是各种安全支付产品竞争的关键。

我们还以拥有众多客户的支付盾为例,淘宝平台的商户卖家、企业、个体卖家,尤其是其中一些账户资金余额较大的用户,选择何种安全支付产品一直困扰着他们。支付盾起初主要考虑的是安全,但随着产品同质化现象越来越严重,各类“Ukey”层出不穷,如何留住客户,成为最近1年来支付盾优化的重点。为了让支付盾使用起来更加便利,支付盾已经不单单局限于资金安全,它更像是一把钥匙,被应用到更多领域。如淘宝店铺,大的商家可以捆绑支付盾以完成商品上下架货品管理,降低因为淘宝帐号被盗和商铺产品被恶意篡改的风险。支付盾作为一款简单的安全产品,正在将其安全性延展至更多领域。据悉,支付盾还在考虑利用数字证书的“电子签名”技术进一步加强支付安全,实现支付的有据可查。

在安全支付领域,仅从安全厂商或支付厂商自身角度考虑安全,已经无法适应市场需求。如何让使用者满意,在安全的前提下,让支付更加易用,出现安全问题时权责划分更加明确,减少支付风险,需要支付厂商和信息安全厂商携手努力。