网上银行安全吗?会不会被黑客黑走钱啊?
1.网上银行为何物?
按目前各家银行开通的网上银行服务系统,一般分为个人网上银行和企业网上银行。无论是个人网上银行或企业网上银行,都是以互联网为媒介,为客户提供金融服务的电子银行产品。各家银行为了把个人客户和企业客户区别开来,故按个人结算账户和企业资金结算账户的清分法,把网上银行服务系统细分为个人客户和企业客户,但实际操作流程及其产生的效果大致相同。
网上银行是信息时代的产物。它的诞生,使原来必须到银行柜台办理业务的客户,通过互联网便可直接进入银行,随意进行账务查询、转账、外汇买卖、银行转账、网上购物、账户挂失等业务,客户真正做到足不出户办妥一切银行业务。网上银行服务系统的开通,对银行和客户来说,都将大大提高工作效率,让资金创造最高效益,从而降低生产经营成本。
作为企业客户,还可通过网上银行,把业务延伸到商贸往来的方方面面。如中行广东省分行的网上银行“中银E点通”,便是针对中行在广东地区的外向型企业特点而开发。该网上银行系统把“企业集团服务系统”和针对外向型企业的“报关即时通”进行整合,使之更具实用性,产生的效果也更加明显。其中“企业集团服务”专门针对集团企业开发,从根本上解决了集团性企业跨地区的账户查询、资金管理和资金汇划问题。
2、网上银行安全吗?
一般来说,只要采取了足够的安全措施,网上银行就是安全的。安全措施是多层次全方位的。例如,为了抵御黑客入侵,可以在网络系统中安装高性能的防火墙和入侵检测系统(IDS)。为了防止不法分子诈骗可以采用强身份鉴别技术。现在使用最多、最普遍的密码或口令措施是一种简单易用的身份识别手段,但是安全性比较低,容易泄露或被攻破。更有效的方法是采用PKI技术设施,其核心就是使用数字证书认证机制。可以这样讲,如果网上银行系统中采用了数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。
近期一些不法分子盗用银行公开信箱骗取用户网上银行密码的事件引起了人们的广泛关注。网上银行是否安全?用户应该采取哪些防范措施?带着这些问题,我们来到了由人民银行牵头,各家商业银行联合共建的,专门负责为网上银行提供安全服务的金融行业统一的认证机构——中国金融认证中心(简称CFCA),副总经理曹小青接受了我们的采访。
记者问:我们了解到贵中心主要是为网上银行提供安全服务的,那么您是怎么看待近期发生的这一网上银行不安全事件的呢?
中国金融认证中心副总经理曹小青(以下简称曹小青):这件事不是孤立的事件。例如,去年公安部门曾经破获了这样一起案件,不法分子用黑客手段在银行的网银服务器中植入“木马”程序,窃取了多家银行和证券客户的帐号、密码信息进行诈骗,涉案金额达数十万元;今年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业的计算机系统,掌握了220万个顾客的信用卡号;在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞。这次在国内发生的骗取用户密码的事件,手段并不高明,也还没有造成损失。但是上述案例却给网银用户敲响了警钟:黑客在想方设法骗取用户的密码,大家一定要提高对网络安全的认识和警惕性。
记者问:您认为网上银行安全吗?用户应该采取哪些保护措施呢?
答:只要采取了足够的安全措施,网上银行就是安全的。安全措施是多层次全方位的。例如,为了抵御黑客入侵,可以在网络系统中安装高性能的防火墙和入侵检测系统(IDS)。为了防止不法分子诈骗可以采用强身份鉴别技术。现在使用最多、最普遍的密码或口令措施是一种简单易用的身份识别手段,但是安全性比较低,容易泄露或被攻破。更有效的方法是采用PKI技术设施,其核心就是使用数字证书认证机制。可以这样讲,如果网上银行系统中采用了数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。
记者问:您能否具体谈谈数字证书是怎样保证网上银行安全的?
答:数字证书是一种由权威的公信机构发放的、记录着用户和认证机构有关信息的电子文件。网上银行交易双方——银行和用户,都各自持有与其身份绑定的数字证书。在网银交易过程中,双方都要向对方出示证书,以获得相互的信任。这个认证过程是以先进的公钥密码技术为手段,通过相应的计算机程序实现的。每张数字证书都对应着1对或2对密钥——公钥和私钥。公钥在网上公开,私钥则由用户唯一保管。通常,用户的私钥被牢牢地封装在智能卡中,黑客是无法拿到的。
由于私钥的唯一性和不会泄露的特点,使用数字证书认证具有极安全的身份鉴别能力。除此之外,利用私钥和密码技术可以实现数字签名。经过数字签名的交易信息是不可篡改和不可抵赖的。在网上银行交易过程中,数字证书机制在认证过程中还建立了高强度的密码传输连接,以对交易信息加密。
这样,保证了交易信息的真实性、保密性、完整性和不可否认性,当然就极大地保证了网上银行的交易信息安全。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中,至今尚未发现一例由于数字证书被攻破而使网银诈骗得逞的案件。
记者问:通过您的介绍,我们对网银安全和数字证书机制有了一定的了解。但证书机制具有这么多功能,是不是使用起来很复杂呢?会不会给用户带来不便呢?答:对于这一点,我用“傻瓜”照相机的例子来比照。“傻瓜”相机本身的技术比普通相机复杂,但其自动化程度很高,用户使用更为方便。数字证书也是这样,用户操作起来非常简单,依靠相应的安全代理软件,证书会在后台自动完成身份验证、信息加/解密和数字签名等功能。用户只要经过简单的培训,就完全可以掌握。当然,使用数字证书肯定会比不使用数字证书在速度上要慢一些,但从网上银行的安全考虑,用户不应因为这一点速度上的损失就放弃使用证书。
记者问:用户怎样才能获得数字证书?
答:目前国内已经建立起几十个发放数字证书的权威机构——认证中心。它们各自面对不同的用户群体。中国金融认证中心是由人民银行前头,组织各家商业银行联合共建的为网上金融服务的权威、公正、第三方的证书发放和管理机构。用户要想领到中国金融认证中心的证书,需要先到已经开通这项业务的商业银行网点去办理申请手续,得到审批准许后,即可通过一定的步骤从网上下载证书。具体做法可参看相应的网站信息。
参考资料:
都有哪些黑客成功入侵过哪些银行?
真正出名的黑客,要么他没入侵过银行,要么和他所做过的事比起来,入侵银行算是小事,小事往往是被忽略的。银行的安全系统不像小说写的那样不堪一击,有技术的看不起这系统,没技术的人只有瞪眼的份,其他的就是压根没想过。这里介绍几个传奇黑客给你:1、凯文·米特尼克。有评论称他为世界上“头号电脑骇客”。在他15岁的时候,和一些朋友入侵了“北美空中防护指挥系统”的计算机主机,翻遍了美国指向前苏联及盟国的核弹头的数据资料。而且他还是世界上第一个因网络犯罪而入狱的人。他的传奇经历完全可以拍一部电影,特别是他入狱后,全球黑客联手发动攻击手段,以此迫使政府释放他。2、罗伯特·莫里斯。1988年11月,他研制出的“蠕虫”程序钻入网络系统,导致15.5万台计算机和1200多个连接设备无法使用,许多研究机构和政府部门的网络陷于瘫痪,经济损失巨大。3、比尔·盖茨。这个就不说了,看钱就知道技术怎么样了。4、加里·麦金农。被称为“世界头号军事黑客”。在两年间,麦金农利用黑客技术侵入了美国五角大楼、美宇航局、约翰逊航天中心以及美陆、海、空三军网络系统。 他甚至还在“9·11”恐怖袭击之后的“非常时期”利用黑客技术使美国至关重要的国防系统陷入瘫痪。
黑客攻击过哪些银行
某银行北京总部告急:网络银行1天内遭同一黑客攻击10万次,308张银行卡的卡号及网上查询密码被窃取,而IP地址显示黑客所在城市就是厦门。此时,被同一黑客攻击的还有其他10家银行,银行客户信息面临巨大威胁。
“我就知道你们找我干什么,因为我就干过那一件违法的事。”直到警察找上门的那一刻,黑客楼某的电脑系统还在持续攻击一家网上银行。今天上午,楼某因涉嫌非法入侵计算机信息系统罪被湖里区检察院提起公诉。
记者 徐林武 通讯员 郑焱燕
拿网络银行测试“宝贝程序”
1982年出生的楼某大学里学的专业是海洋渔业,兴趣却在计算机上。2004年毕业后,就到厦门一家软件公司担任软件开发人员,2008年8月,他离职搞个体编程业务。
2009年春节过后,楼某想往大型网站架构编程人员方向发展,在学习网站安全防护方面的验证码技术时,他无意中发现,网络上提供的某个源代码应用程序能够自动识别图片中的数字。
这下可找到“宝贝程序”了,楼某心里一阵狂喜,但是拿什么来试这个程序的威力呢?楼某想到之前使用网银时,发现一家银行的网站验证码数字相对简单,他决定就拿这家网银测试程序。
登录网银后,楼某通过普通用户登录界面获取了一个数字验证码图片,再用“宝贝程序”一测试,果然能正确识别,他想,这还只是源代码程序,再开发下去,威力就更大了。
自编程序获取银行客户信息
小试牛刀后,楼某觉得不过瘾,“如果用这个程序作基础,应该可以自编一个针对网银的密码测试软件,通过这个软件可以到银行网站获取银行卡卡号及登录密码。”想到可以获取如此私密的信息,楼某觉得很刺激。
光有这些信息还不够,楼某了解到,银行卡可以通过读写卡器进行复制,只要有银行卡号及相应密码资料,就可以通过读写卡器写成可以实际使用的银行卡,到时候就可以拿着写好的银行卡到ATM机上测试。
过了十几天,一个针对银行网站的密码扫描程序出现在楼某的电脑。
楼某扫描了十余家商业银行的网站系统,最终确认通过其中两家银行的网站能够获取网银账户资料。
第一次盗取款没有成功
客户的信息到手后,楼某上网买了读写卡器和几十张废旧银行卡,开始将窃取的客户信息写入银行卡。之后,楼某拿着写好的银行卡到ATM机上测试,结果没法使用。原来,银行卡的数据加密系统很强大,楼某窃取的信息已经事先被银行加密,他的技术水平根本无法攻克。
“既然这家银行不行,那就换一家试试。”楼某已经无法自拔。
银行发现异常:系统正被黑客攻击
楼某这边大肆攻击银行网站,相关信息数据已经海量涌向银行总部。很快,银行总部的数据中心操作员在网银监控中发现大量异常情况:银行系统正在被黑客攻击,其中一天的攻击量超过10万次。银行一边屏蔽黑客的IP地址,加强网站的验证码识别系统,一边开始着手调查黑客。
银行加强网站的验证码识别系统后,楼某发现他编写的程序已经无法正常攻击这家银行的网银,但是,走火入魔的楼某换了一家银行,继续他的黑客生涯。
2009年4月7日,银行总部指令厦门分行到厦门市公安局网络安全监察处报案。次日,楼某在居所被公安机关抓获归案,当时他的电脑程序仍然在自动攻击网站。截至案发当日,楼某总共窃取了700位客户的网银信息。
“就像临门一脚时,你才会真正慎重考虑后果,我想如果真的取了钱要负很大的法律责任,所以后来就放弃了利用这些复制的银行卡取钱的意图。”楼某很后悔,但他即使没有取得财产,也已经触犯了刑律。
【温馨提示】
避免登录密码和转账密码雷同
黑客楼某交代说,网银用户一般有两个密码,一个用于登录网站查询相关信息,还有一个用于网银转账,一般的黑客只能扫描到登录密码,无法取得网银转账密码。然而有些客户为了方便,往往将登录密码和转账密码设置为同一个,这样实际上降低了网络安全指数。
0条大神的评论