仙桃社区 | 网上对话 | 线下体验 | 在线访谈 | 读书频道 | 仙桃房产 | 生活资讯 | 专题报道 注册仙桃社区
中国仙桃网 >让网络安全知识走进寻常百姓家
让网络安全知识走进寻常百姓家
邀请嘉宾:肖达  湖北仙桃北农商村镇银行副行长
访谈时间:2015-06-09
访谈概要:  互联网已成为人们日常生活的一部分,网络休闲、网络购物、网络交易……网络正在给人们带来更多的便利,与此同时网络安全问题也逐渐凸显。 而这其中,网络银行由于直接与人们的财物相关联,其安全问题更为人们所重视,网银安全正在成为当前人们关注的焦点。9日下午,湖北仙桃北农商村镇银行副行长肖达做客《在线访谈》栏目,围绕"让网络安全知识走进寻常百姓家"这一主题与广大网友进行在线交流。
图片报道
深入推进产业链招商 做大投资底盘
深入推进产业链招商 做大投资底盘
深入推进产业链招商 做大投资底盘
深入推进产业链招商 做大投资底盘
往期访谈

让网络安全知识走进寻常百姓家

主持人:各位网友大家好,这里是中国仙桃网"在线访谈"栏目,我是主持人张萍。互联网已成为人们日常生活的一部分,网络休闲、网络购物、网络交易……网络正在给人们带来更多的便利,与此同时网络安全问题也逐渐凸显。而这其中,网络银行由于直接与人们的财物相关联,其安全问题更为人们所重视,网银安全正在成为当前人们关注的焦点。为了帮助终端用户深入了解网上银行,了解目前网上银行所采取的安全防护机制。让人们能够正面认识网上银行,让人们能够放心的使用网上银行,特分别邀请银行业界人士进行了此次网银安全系列访谈。首先请您做个自我介绍。

答:主持人好,各位网友大家好,我是湖北仙桃北农商村镇银行肖达

主持人:网银安全问题说的时间也比较长了,很多人也在用网银,有的人可能只有一个网银帐号,有的人可能有很多。网银安全问题现在是大家非常关注的问题,现在很多人习惯于上网支付、购买东西。那么当前针对网银安全的威胁都有哪些,肖行长,请给大家通过一些实际的例子说明一下?

答:当前网银安全威胁主要分两个大的方面:
一、是属于社会工程学方面的,也是心理学方面的,它跟技术的关系不是很大。主要的攻击方式就是诈骗或者包括一些网上的钓鱼网站,都属于攻击方式的一种。也就是说技术的含量不是很高,可能通过一些非常逼真虚假的网站或者是通过一些诈骗电话等非技术手段达到一种骗取用户帐号密码的方式。
二、就是技术型的安全威胁。主要是由于进行网银交易过程中涉及到很多环节,每个环节都可能会有安全威胁。比如银行交易处理服务器本身可能会存在一些安全问题。比如黑客如果把银行或者说把一些大的公司服务器都黑了的话造成的损失是相当严重的。

 

主持人:这种事件有发生吗?

答:就我们目前了解还没有听说过国内银行系统遭到过黑客的攻击,国外是有这个先例的。
另外在互联网传输过程中,因为做网银交易有从客户端到银行服务端中间的传输过程,这个环节也是容易被黑客利用的。他们主要通过中间人攻击的方式进行。简而言之就是他们可以把用户传给银行的信息截获下来,同时可以把银行反馈给用户的信息截获下来,他们作为中间人的角色,起到转发的过程,在转发的过程中可以对信息进行篡改,达到对网银攻击的效果。这是网络传输过程中受到的安全威胁。
另外也是我们最关心的就是网银客户端的安全。这是真正涉及到普通的用户在网银操作中可能会受到各种各样的威胁,比较集中的就是来自网银密码的威胁。


主持人:也就是说,现在主要有两大类网银威胁,一个是非技术类型的,一个是技术类型的。非技术类型主要是诈骗、钓鱼网站类。技术性的包括服务器端、客户端、传输过程、银行端,这四部分哪部分出问题可能性最大?

答:最可能出现问题的就是客户端,因为范围很广、用户很多,很难保证这么多用户每一个客户端的安全。

 

主持人:刚才提到了用户端有很多网银木马,您给我们介绍一些典型的网银木马吧?

答:网银木马和交易系统之间是紧密结合的。大体来讲网银交易的登陆方式从最开始简单的"帐号+密码"登陆方式,到后来觉得这种方式不大安全,推出了"网银+密码+数字证书"。但是这时候的数字证书还是以文件的形式保存在电脑中的。后来觉得这个还不太安全,最后又到了现在普遍应用的"帐号+密码+硬件证书"。网银木马针对这三种登陆方式也经历了三个阶段的发展。
比如2004年的时候网银木马不是很多,算刚刚起步截获的一些网银木马其中有一个是网银大盗,是利用键盘截获技术。用户在键盘上敲的所有东西都可以截获下来,这是针对"帐号+密码"的登陆方式。后来增加了数字证书文件或者是软证书,增加了这种保护方式之后病毒又盯上了软证书。他在盗窃用户名和密码的同时还把证书文件也一起盗走了,因为这是完全可行的。因为证书文件作为普通的计算机文件保存在硬件上了,这是完全可行的。也就是在2004年稍晚一些,就出现了盗窃软证书的木马。后来又出了硬证书,就是搁在USB设备里,每次用的时候插上就行。这种东西不是一个文件了,木马技术上目前还没有办法实现把证书从硬件中提出来。针对这种技术木马并没有强行的"啃硬骨头去破解"。他们用了另外一种浏览器劫持技术,这个木马可以劫持IE浏览器,IE浏览器中发生一切事情他都可以知道,都可以修改,这时候被劫持的IE浏览器就有可能会欺骗用户。

 

主持人:是不是可以这样理解,比如我是一个网银用户,虽然把U盾也用上了,但当遭遇劫持时就会被恶意转帐?

答:也可以理解为本地化中间人攻击。是通过一些转发中间做了一些手脚。它是隐身于IE浏览器,病毒本身就是一个中间人。IE浏览器所有的信息他都可以去修改,如果中了这种病毒,比如说我给你转帐1000块钱,这时候病毒会获取这些信息。比如给A转了1000块钱,他就可以把这笔交易数据改成给B转了1万块,由这个浏览器提交给数字证书加密传输出去。因为数字证书没有办法区别来自于浏览器的交易信息是不是用户本意。所以针对硬件数字证书登陆方式,目前攻破比较好的还是利用浏览器劫持。

 

主持人:我们来看一个网友提问,有网友"麻雀"提问:"对于普通用户来说觉得U盾也是U盘,为什么平常用的U盘就会感染病毒,U盾却不会?"

答:U盾不会中毒在于它与U盘功能上的区别,U盾是只读的,不能写入数据,病毒是永远无法被写入U盾的。我行网银采用UKEY证书认证,证书USBKEY是一种应用了智能芯片技术的数据加密和数字签名工具,其中存储了每个用一的、不可复制的数字证书,保证客户数字证书永不出KEY。

主持人:您可以举例子户唯说明一下用户怎么操作容易帐号被劫持吗?

答:两方面来说,一方面被诈骗了就没办法了。现在网银交易系统中仍然存在一部分系统是"帐号+密码"型的,不是"帐号+密码+硬件证书"这样的方式。有些系统允许帐号、密码登陆。比如有些网上支付卡,或者是小额支付。这等于是保持了原有的易用性,也降低了风险,因为不可能做额度特别大的交易。但是毕竟这是一个薄弱环节,就是有了帐号、密码就可以进去了。有些网站比如做一些非常逼真的钓鱼网站,比如长的非常像一个网上银行。如果用户在上面输入用户名、密码这些信息就会被记录下来。有帐号、密码以后他可能就会使用用户的帐号功能进行一些小额支付。

 

主持人:就是进行"蚂蚁搬家式的偷盗"。

答:对。这是比较常见的一种。另外就是感染了各种各样的网银木马。木马包括的种类有盗帐号密码的、有偷软证书的、或者浏览器劫持都有可能出现。要想防范网银木马就是大家别中毒,比如说可以安装一些杀毒软件。在上网的时候开启时时监控,另外就是提高一些安全意识。比如说如果碰到邮件里来源不明的附件、程序就不要去打开了。还有一些不太正规的网站也不要上,因为现在通过网页中木马是恶意软件传播比较重要的途径。养成良好的上网习惯是保证客户端安全的重要手段。银行当然也提供了很多保护措施,比如说数字证书、一字一密的口令卡。这些东西都不是没用的,虽然可能要花一些钱才能买得到,可能操作上也麻烦一些,但是它毕竟是有保护作用的。确确实实能防护住很多木马的攻击。所以建议用户尽量选择银行提供的最安全的网银交易方式。

 

主持人:从黑客角度为我们解读一下,他是通过什么样的过程一步一步让我们上当的呢?

答:黑客偷盗具体网银帐号密码可能用到的技术不是单一的。比如说前段时间许多媒体都曾经曝光的"灰鸽子",这是国内最著名的"后门"软件。一旦被它感染之后这台电脑就完全的暴露在黑客的掌握之中了。黑客可以在远程做你在本地所做的一些操作。其中网银帐号只不过是利用灰鸽子所能做到的坏事之一。比如灰鸽子的键盘截获功能,如果你的网银有数字证书,U盾插上去以后忘了拔了,这时候灰鸽子就可以通过远程监控了。灰鸽子是利用远程控制软件去攻击肉鸡威胁其上的安全。
另外各种各样的木马功能比较单一,不干别的,也不去偷你的帐号,他就是小巧精悍,就是针对某一个网银系统下手,可能利用技术还是那几个,比如说偷键盘记录、软证书,或者是浏览器劫持。黑客可能通过黑掉一些正常的网站,把木马挂上去,黑客可以自动进入系统运行起来,使得系统感染网银木马,这样当用户进行网银交易的时候可能他的信息就能被木马所截获。比如浏览器劫持近来不管你的登陆过程,他所做的就是中间人。你在转帐的时候你转一千,黑客改成转一万,他做的只是修改、篡改的过程。关键步骤都是用户发生的,他只不过在中间做了一些小的修改。像这些浏览器劫持可能就直接造成损失了。
另外黑客会通过木马收集一些帐号和木马,这些信息要么他自己一个一个试,或者把这些信息打包卖出去。这也是病毒产业链成规模发展出现的必然现象,就是每个环节都是批量的、产业化的。不再是产、销一体,不再是自己写木马、收集信息、一个一个尝试帐号、木马是不是有效。每个环节都有一帮人,做一个环节。

 

主持人:这是属于黑客产业大流水线作业。那用户有没有什么使用上的陋习会对网银造成安全威胁,帮我们用户给总结一下?

答:最重要的还是要提高安全意识。因为如果没有这个意识一些必要的行为你觉得没有必要就懒得去做了,但实际上的确是很有必要的。比如说网银的用户可能觉得安装数字证书也不懂,还麻烦,帐号密码多直接、简单。但实际上不是这样的。那些措施之所以推出还是有它的必要的,是有一些安全攻击事例在先的,所以用户必须要有这样的安全意识。

 

主持人:不管我们采取多么多的安全措施,例如:硬件、软件证书,只要用户没有安全意识,一切都是没有用的。

答:是这样的。无论是安全厂商还是银行提供的只是一种安全措施,最终的应用还是用户。用户只有具有安全意识才能主动的去应用这些保护措施。

 

主持人:怎么用网银会安全一些,有什么技巧和窍门?

答:我们已经反复说了就是一定要用银行目前能够提供的最安全的保护措施,为了确保网银客户端的安全一定要安装杀毒软件,并且要及时升级,不升级的话几个月以后病毒库得不到更新无法检测新出现的病毒木马,那杀毒软件就相当于没装,因为现在病毒更新速度非常快。

 

主持人:除了平时使用不当的地方,您觉得最危险的使用方式是什么?

答:最危险的使用方式不太好说,因为网银本身可能他所受到的威胁是来自于做网银交易之外的,比如说不装杀毒软件把这台机器开着就上各种各样的网站,邮件里收到的所有的信件有附件的不管认识不认识都点开,这样做可能一两天就中几十个木马病毒。安全意识是整体的,不仅仅只针对于网银。

 

主持人:虽然我们在这儿不停的说安全意识,似乎只是一句话这么简单。但安全意识是整体的,不光思想,还要动作的配合,缺失任何一步都可能是危险的。您自己有没有网银帐号?

答:有。常用的有一个。

 

主持人:一般在网上做什么事情?

答:一般就是网上购物。

 

主持人:贵的还是小件的?

答:一般情况下小件比较多。

 

主持人:使用频率呢?每周几次?

答:那还不至于。什么时候有买的需要了,觉得这个东西可以从网上直接买了,可能没有必要拿着实物去观察,比如买本书,没必要仔细观察它。不像有些东西一方面需要仔细观察。

 

主持人:您现在也是属于用U盾?

答:我是在用硬件证书的。

 

主持人:您的电脑都安了哪些安全软件呢?

答:一个是银行提供的各种措施,比如安全登陆插件。还有一些数字证书必要的驱动,当然为了使用也会装上。另外做网银交易机器上会装杀毒软件,平时用这台机器的时候尽可能不访问乱七八糟的网站。尽可能访问一些我比较信任的网站。工具不必太多,因为信息安全领域没有绝对的百分之百,都是概率的问题。有一款好的杀毒软件大约可以把99.9%的病毒排除在外了,所有的网银木马可能不足几个百分比,这时候你感染木马的概率已经非常小了。感染了网银木马之后像有一些杀毒软件对一些未知的病毒也是能拦截的。我觉得一款好的杀毒软件,加上银行的好的保护措施,应该是已经可以屏蔽绝大多数的网银木马了。如果正确操作有很好的安全意识网银还是比较安全的,大家没有必要顾虑。

 

主持人:现在还有很多其他安全防护的辅助软件,比如密保、防火墙和一些其他的安全工具,这些对用户来说有用吗?是都安上了就安全了吗?

答:密保类的产品也是有一定作用的,从它的基本原理来说可能是净化某一个进程的环境,IE浏览器也是可以被它净化的对象。它可以在一定程度上限制一些浏览器劫持木马发作的机会。但是同样也不能做到百分之百。

 

主持人:如果发生了,怎么避免损失扩大呢?

答:这可能要根据具体情况来看,有时候可能一旦点击了就挽回不了了。更多的是依赖于交易系统本身的功能。比如可以有一些允许用户返回的功能也许可以。但一旦发现已经受骗才去做补救的话可能会比较晚。因为有的时候比较厉害的木马当你发现异常的时候实际上你的损失已经造成了。另外,如果出于补救性的措施用户还可以立刻去修改自己的密码,这主要针对那些只盗取帐号的木马,因为这些木马有一个收集的过程,您抢在他之前修改密码可能会挽回损失。最简单、最容易的方法就是防毒。

 

主持人:有网友"永远在路上"问到:"网上银行在使用过程中,什么地方容易出现安全威胁?"

答:公众在使用工程中最易受威胁的大致有以下几个种类:1、网络病毒(网络页面存在漏洞以及电脑病毒,网购木马劫持网银,从而造成损失)。2、钓鱼网站(伪造银行网站,骗取客户进行资金交易)。3、信息保密性(例如:网银账号、密码、金额等等信息的泄露,从而遭受资金损失)。
我行一直高度重视网上银行客户的安全,在网银系统、应用、客户等各个层次采取了多种具有先进的安全技术和措施。
一、采用CFCA证书,确保资金安全
我行网银采用国内最权威、公正的第三方认证机构——中国金融认证中心(CFCA )的数字证书来保证电子交易中双方身份的真实性和交易信息的私密性、完整性以及不可抵赖性,符合《电子签名法》和监管部门的相关法规。
二、根据客户的不同需求,提供多层次网银服务
为满足客户多层次的网银需求,我行为个人网银客户提供了证书认证版网银、手机认证版网银和大众版网银。客户可根据自己对网银安全性要求及办理业务的不同需求分别申请办理不同版本的网银。
证书认证版网银通过CFCA第三方证书保证客户网上资金交易的安全,安全级别最高,可办理全部的个人网银业务,转账限额为单笔20万元,日累计100万元。手机认证版网银通过向客户发送手机动态验证码确认交易的信息,安全性次之,因此可办理部分个人网银业务,转账限额为单笔10万元,日累计50万元。大众版网银为客户自行在网上注册的,安全性最低,仅可办理查询等简单业务,不能转账。
三、多重验证方式,确认客户身份
客户登录我行网上银行或办理网上支付业务时,需录入网银用户名、网银登录密码、网银交易密码、USBKEY证书密码或手机验证码等信息,系统验证无误后方可交易。若密码输入错误达到一定次数,系统将会锁定密码,需客户到营业网点办理有关手续方可恢复,有效地保证了客户网上交易的安全性。
四、支付限额管理,保障账户安全
我行网上银行系统设置有单笔转账限额和日累计转账限额,企业网银客户及个人网银客户可以根据自身网银交易安全承受力及办理业务的需要,在系统限额之内自行调低限额。
五、客户预留信息,防范钓鱼网站
我行网银为网银客户提供了设置预留验证信息的服务。客户设置预留信息后,该信息会显示在网银登录欢迎页或网上支付的交易页面,以防止客户登录钓鱼网站(套取客户信息的虚假网站)。如果客户登录后的回显信息与事先预留的不符,请您立即停止交易,并尽快与我行客服中心96198联系。
六、短信通知提醒,及时掌握账户资金变动
当客户账户通过网上银行等各电子渠道办理转账支付时,我行将将交易信息通过短信形式发送至客户预留的手机号上,确保客户及时了解账户资金变动情况,核实交易信息。

 

主持人:有网友"仙桃麻神"问到:"网银转账的时候,怎么样才能及时有效的进行制止呀?"

答:我行网银采用Ukey认证交易,国内领先的安全保障。如遇安全威胁的转账,直接拔下Ukey,未获取证书认证的交易是无法完成转账的。

 

主持人:有网友"吉祥的鸟儿"问到:"交易验证码不能乱说的对不对??老是听说有些人把收到的短信验证码告诉骗子,骗子就能骗钱了,真的假的啊?"

答:千万不要随意泄露自己的网银信息,如非本人进行交易万不可泄露交易验证码。如遇骗子盗取网银消息进行交易时,未获取银行生成的交易验证码是无法完成资金交易的。泄露验证码给骗子将会有可能给您带来资金损失的。

主持人:希望所有的用户、网友能够通过这次网银安全的访谈得到你们想要的东西,本期访谈到此结束!

版权为 中国仙桃网 www.cnxiantao.com 所有 未经同意不得复制或镜像
主管:中共仙桃市委宣传部 主办:仙桃市网络新闻中心
地址:仙源大道99号湖北广电网络仙桃分公司3楼 
联系电话:0728-3227553 传真:07283227550 
互联网视听节目服务AVSP:鄂备2011005