紀芳 薛亮

1遼寧警官高等專科學校公安信息系 遼寧 116036

2大連市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊 遼寧 116011

0 引言

近年來，隨著我國銀行卡產(chǎn)業(yè)和互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，網(wǎng)上銀行(以下簡稱“網(wǎng)銀”)作為一種新型的客戶服務(wù)方式迅速成為銀行界關(guān)注的焦點，并以其方便、快捷的特點吸引了大量用戶。然而，網(wǎng)銀業(yè)務(wù)在為用戶帶來極大便利的同時，其存在的安全問題也日益突出，各類網(wǎng)銀相關(guān)風險事件呈爆發(fā)性增長趨勢。統(tǒng)計表明，目前絕大部分網(wǎng)銀案件均涉及賬戶盜用，其中，通過植入木馬等手段竊取持卡人賬戶信息，已成為近期最主要的作案手段。

1 案例回顧

1.1 案例一

2011年1月14日下午，被害人徐某到某市公安局網(wǎng)絡(luò)警察支隊報案，稱被虛假的中國銀行網(wǎng)站詐騙，共損失 72萬元人民幣。具體案情如下：被害人徐某在2011年1月14日上午收到一條手機短信，內(nèi)容是：“尊敬的網(wǎng)銀用戶：您的中行E令將于次日過期，請盡快登錄boc.bocuf.com進行升級，給您帶來的不便，敬請諒解，詳詢[95566]”。下午14時左右，徐某進入短信提供的網(wǎng)站boc.bocuf.com，打開頁面看到跟中國銀行官網(wǎng)頁面樣式完全相同，只是右上角多了一個E令升級標示，徐某點擊進入，網(wǎng)頁出現(xiàn)三個填寫框，分別是用戶名、登錄密碼和動態(tài)口令，被害人輸入完畢點擊確認后顯示倒數(shù)計時 60秒，而后再次出現(xiàn)該填寫框，徐某以為前一步有輸入錯誤的地方便再次輸入動態(tài)口令，確認后又顯示倒數(shù)計時 60秒，讀秒結(jié)束后提示升級成功，可是這時電腦中的殺毒軟件卻突然發(fā)出“不明程序向外發(fā)送密碼”的警示。徐某察覺到有問題，到中國銀行去查看，結(jié)果發(fā)現(xiàn)銀行卡內(nèi)的 72萬元人民幣被轉(zhuǎn)走，而且該銀行明確表示并沒有進行E令升級的通知，徐某的網(wǎng)銀是被人利用虛假的中國銀行網(wǎng)站詐騙了。

1.2 案例二

2011年3月8日上午，被害人王某到某市公安局網(wǎng)絡(luò)警察支隊報案，稱在淘寶網(wǎng)站購買筆記本電腦時，自己的電腦被對方所發(fā)含有病毒的壓縮文件包感染，被騙走人民幣1200元。具體案情如下：被害人為某高校在校大學生，2011年3月7日20點左右，其在宿舍上網(wǎng)登錄淘寶網(wǎng)站，通過站內(nèi)搜索二手筆記本電腦，找到一家店鋪，于是通過阿里旺旺跟對方進行商談，對方發(fā)來一個壓縮文件包，聲稱里面有更多商品的圖片，被害人接收后，解壓并打開瀏覽，最終雙方以600元價格成交。被害人第一次通過網(wǎng)銀支付完600元錢后，頁面顯示沒有成功，對方讓其再次支付，于是被害人又一次通過網(wǎng)銀支付，但還是不成功。這時，被害人察覺有問題，隨后查詢銀行賬戶，發(fā)現(xiàn)兩次支付都已成功，銀行卡已被劃走 1200元，這筆錢被轉(zhuǎn)到上海某網(wǎng)絡(luò)科技公司。此時，被害人再次聯(lián)系賣家，已無人應(yīng)答。

2 風險點分析

2.1 案例一分析

什么是 E令？某股份制銀行電子銀行部總經(jīng)理這樣比喻：這就好比徐先生晚上回家，迷迷糊糊地走錯了門，走到鄰居家去了，并用自己的真鑰匙去開鄰居家的門。鄰居家的門鎖則記下了徐先生的鑰匙形狀，復制了一把，再去開徐先生家門，則是暢通無阻了。這個鑰匙就是E令卡。它還有個學術(shù)名稱叫做“動態(tài)密碼”或“動態(tài)口令”，英文名為OTP(One Time Password)，就是只能使用一次的密碼。其原理在于：它通過特定的計算方式在用戶方面產(chǎn)生一個隨機變化的密碼，同時銀行方面也能產(chǎn)生一個相同的密碼，用戶使用這個密碼登錄網(wǎng)銀時，兩個密碼相比較，若相同則表示已通過驗證，用戶可以進行下一步的操作，否則提示出錯。

因為動態(tài)密碼完全是隨機產(chǎn)生的，這與用戶自己設(shè)置的、每次都固定不變的靜態(tài)密碼相比，在安全上的確是有進步。事實上，在國外，因其方便快捷、客戶體驗好，動態(tài)口令是網(wǎng)銀用戶使用最多的一種方式。

當然，E令的安全問題也層出不窮。因為它有兩個致命缺陷，一是銀行端可以用這個密碼來辨認用戶，而用戶卻無法使用密碼來辨認自己登錄的是否就是正確合法的網(wǎng)站，不法分子正是利用幾乎一模一樣的網(wǎng)站頁面及域名蒙蔽了被害人的眼睛；二是動態(tài)口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動態(tài)口令在一分鐘內(nèi)都是有效的，而就是這短短的一分鐘，已經(jīng)為不法分子提供了可乘之機，更何況被害人徐某還連續(xù)兩次輸入動態(tài)口令！

2.2 案例二分析

公安技術(shù)人員對被害人王某的電腦進行調(diào)查取證后，發(fā)現(xiàn)王某接收的壓縮文件中隱藏了“支付寶大盜”這一類木馬病毒，其最顯著的特點就是通過系統(tǒng)或者應(yīng)用軟件的漏洞，每隔一段時間，自動掃描用戶瀏覽器的地址欄，檢測用戶是否打開了支付寶網(wǎng)頁頁面。如果沒有檢測到，那么木馬將不會有任何進一步的操作，用戶也感受不到它的存在；但如果木馬檢測到用戶正在運行支付寶網(wǎng)站的頁面，將會立即采取下一步的行動：“支付寶大盜”木馬將會插入到支付寶頁面和用戶網(wǎng)銀之間，同時向支付寶端和用戶端發(fā)送虛假信息，在用戶看來，這就像正常的完成了一筆交易，渾然不覺有任何問題，但實際上，交易的金額已經(jīng)流入到黑客的支付寶或網(wǎng)銀賬戶中了。

公安技術(shù)人員通過技術(shù)分析，對壓縮文件進行解壓、查殼、脫殼、反編譯等處理，還原了該木馬的本來面目。通過專業(yè)工具，可以看到嫌疑人發(fā)的壓縮文件不僅具有“支付寶大盜”的基本功能，而且還具有竊取被害人QQ賬號密碼等其他功能。如圖1所示，被害人的各種詳細信息被竊取到一個指定的電子郵箱(圖1中劃線部分)中。

圖1 木馬文件被脫殼后的部分源代碼

2.3 綜合分析

(1) 某些網(wǎng)銀的業(yè)務(wù)流程有缺陷。從上述案例中反映的情況看，一些銀行的網(wǎng)銀系統(tǒng)在設(shè)置時為了簡化流程，忽略了相關(guān)程序的嚴密性。例如，柜臺簽約時預留的網(wǎng)銀登錄密碼不起作用，這樣的程序端漏洞應(yīng)該可以避免，以減少不必要的損失。

(2) 網(wǎng)銀的程序存在系統(tǒng)漏洞。從目前已經(jīng)開通的網(wǎng)銀來看，大多數(shù)采取了相關(guān)的防御病毒的措施，隨著互聯(lián)網(wǎng)的迅速發(fā)展，利用“木馬”病毒的犯罪案件持續(xù)上升，有的銀行片面地重視業(yè)務(wù)量增長，忽視了這種新興的網(wǎng)絡(luò)犯罪，在系統(tǒng)開發(fā)后沒有盡到維護和完善的義務(wù)。

(3) “木馬”病毒肆意泛濫，購物網(wǎng)站責無旁貸。一些支持網(wǎng)絡(luò)支付的購物網(wǎng)站未對“木馬”病毒采取更高級別的防護措施，對購買物品的流程沒有嚴格的審核，犯罪嫌疑人可以輕松地通過購買的“黑客”軟件盜取被害人的銀行卡現(xiàn)金并轉(zhuǎn)移后提現(xiàn)。如今這種黑色產(chǎn)業(yè)鏈已經(jīng)成熟甚至開始“產(chǎn)業(yè)化”。

3 防范措施與建議

3.1 針對銀行的建議

(1) 提高對網(wǎng)銀安全性的認識，開展安全性評估措施。目前大多數(shù)銀行對網(wǎng)銀重視不夠，但網(wǎng)銀在管理和維護中的風險是不容忽視的。從以上案例來看，網(wǎng)銀的犯罪現(xiàn)象越發(fā)突出，網(wǎng)銀犯罪成本較低、擴散速度較快、手法不斷翻新、涉案金額持續(xù)增長。面對這種嚴峻的形勢，各銀行應(yīng)當將網(wǎng)銀的安全性提升至重要的位置。已擁有網(wǎng)銀業(yè)務(wù)的各商業(yè)銀行應(yīng)當對網(wǎng)銀業(yè)務(wù)進行仔細檢查，逐一排除系統(tǒng)漏洞，確認系統(tǒng)的安全性。在條件允許的情況下，可以聘請專業(yè)機構(gòu)進行網(wǎng)銀系統(tǒng)安全性的評估和認證。

(2) 采用短信發(fā)送動態(tài)密碼。在登錄網(wǎng)銀時，網(wǎng)站會通過移動平臺發(fā)送一個隨機六位數(shù)字作為密碼至持卡人的手機上，該密碼只能使用一次，如果持卡人輸入錯誤，系統(tǒng)將再次發(fā)送一個隨機密碼。這種方式的優(yōu)勢在于，短信是通過移動平臺以點對點的方式發(fā)送的，很難被犯罪分子通過“木馬”病毒或其他方式截取，從而使網(wǎng)銀的安全性大大提高。

(3) 采用單筆支付限制。一些較早開展網(wǎng)銀業(yè)務(wù)的中小型銀行采取了單筆支付的數(shù)額限制。該種方式的最大優(yōu)勢是損失的可控性，持卡人的損失將會控制在一個范圍內(nèi)，避免了持卡人或發(fā)卡銀行的損失擴大。

(4) 采用密碼容錯次數(shù)限制。一些銀行的網(wǎng)銀為了加強安全性，采取了對網(wǎng)銀的登錄密碼容錯次數(shù)的限制，持卡人只有 3～6次輸錯密碼的機會，對于以往的一些“黑客”采用窮舉法來惡意攻擊網(wǎng)銀的登錄密碼起到了防御作用。有的銀行和公安系統(tǒng)聯(lián)網(wǎng)，對可疑的用戶采取了客服專員聯(lián)系持卡人核實是否存在網(wǎng)上交易，對于持卡人否認的事實將采取網(wǎng)上報警的措施。

3.2 針對持卡人的建議

(1) 持卡人應(yīng)該盡量不下載、使用未知來源的程序。在淘寶等購物網(wǎng)站交易時盡量不要使用對方提供的鏈接、不輕易打開對方發(fā)送的文件。對于個人電腦應(yīng)該安裝具有網(wǎng)絡(luò)防護機制的殺毒軟件，并經(jīng)常升級病毒庫，檢查掃描電腦中的“木馬”程序，盡可能保護個人信息不外泄。

(2) 強化持卡人的安全意識?；ヂ?lián)網(wǎng)是一種新的交易支付渠道，相對于傳統(tǒng)銀行卡交易，大多數(shù)持卡人對于這種新的支付渠道的了解程度不夠。國內(nèi)各種新聞媒體以及各大銀行正通過多種方式宣傳、推廣網(wǎng)銀安全知識，廣大持卡人應(yīng)及時通過各種渠道來提高這種新支付方式的安全意識。如果遇到自己無法解決的疑問，一定要主動聯(lián)系銀行進行核實。對陌生號碼發(fā)來的涉及自己銀行信息的短信，一律不相信、不操作、不理會。

3.3 針對第三方支付平臺的建議

從事網(wǎng)絡(luò)支付平臺業(yè)務(wù)的公司應(yīng)加強對持卡人身份的驗證工作。對于持卡人進行非面對面(無卡)交易時可能發(fā)生的欺詐，網(wǎng)絡(luò)支付平臺公司應(yīng)采取交易量監(jiān)控、電話核實等附加手段來對網(wǎng)絡(luò)支付業(yè)務(wù)的合法性進行確認，保障持卡人的合法利益不受損害。2011年5月26日，央行正式向27家第三方支付機構(gòu)頒發(fā)了《支付業(yè)務(wù)許可證》，即“牌照”，正式規(guī)范了第三方支付平臺的責任及義務(wù)。

3.4 針對相關(guān)主管部門的建議

有關(guān)主管部門應(yīng)針對網(wǎng)站金融交易制定法律規(guī)章，對于從事這些交易的網(wǎng)站要設(shè)立嚴格的準入制度。當網(wǎng)絡(luò)詐騙案件發(fā)生時確保各職能部門間能有效地進行溝通，杜絕一些金融部門為了自己的小集體利益(如防止客戶流失等)采取消極措施，不與公安、司法部門合作的現(xiàn)象。

4 總結(jié)

總之，在銀行、第三方支付平臺以及政府提供的各種網(wǎng)銀安全措施的基礎(chǔ)上，還需要提高自身的防范意識，一是無論對方怎么反復索要，保證密碼、動態(tài)口令不提供給任何陌生人；二是記住正確的銀行網(wǎng)址。做到這兩點，網(wǎng)銀詐騙就可以輕松防范。

[1]馬超.網(wǎng)上購物的安全風險分析及規(guī)避方法[J].中國金融電腦.2011.

[2]葛鳴銘.網(wǎng)銀木馬剖析及防范[J].中國信用卡.2007.

[3]姜文超,王德廣,王超,孫樹艷.網(wǎng)銀系統(tǒng)中木馬研究[J].科學技術(shù)與工程.2009.

[4]賈建忠,姜銳.新型木馬技術(shù)剖析及發(fā)展預測[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.