專家曝光網(wǎng)銀“高危用戶”

　　網(wǎng)上銀行是否安全？是否還能讓大家放心使用？在央視“3·15”晚會對黑客產(chǎn)業(yè)鏈曝光之后，這一直是熱點話題。艾瑞咨詢機構(gòu)的調(diào)查顯示，近三成的用戶決定減少使用網(wǎng)銀，近六成的潛在用戶決定推遲使用。而北京晨報記者調(diào)查發(fā)現(xiàn)，網(wǎng)銀的安全問題有被用戶在心理上夸大的嫌疑，絕大多數(shù)所謂的“網(wǎng)銀大盜”，不過是一群談不上技術(shù)含量的“普通騙子”。“我們也怕這影響了用戶的判斷。”中國工商銀行電子銀行中心業(yè)務(wù)管理處副處長孫宗群對北京晨報記者透露，容易丟失網(wǎng)銀賬號和密碼的“高危人群”，其實只有兩類：一類是急性子，一類是馬大哈。

　　案例：錢從銀行不翼而飛

　　金山互聯(lián)網(wǎng)安全公司工程師王嗣恩最近正在幫人處理電腦中的病毒，試圖找回從網(wǎng)上銀行中丟失的幾千元錢。

　　“丟錢時，老太太正好在網(wǎng)上買電話充值卡，準(zhǔn)備付賬時，支付頁面突然彈出網(wǎng)上銀行系統(tǒng)正在升級的通知，不但要求用戶重新輸入銀行卡密碼，還要求用戶輸入更加機密的手機動態(tài)密碼，而當(dāng)多次輸入均‘無效’后，電腦就黑屏死機、系統(tǒng)崩潰，老太太以為是電腦問題，于是就讓兒子重裝了系統(tǒng)，第二天上網(wǎng)一查，才發(fā)現(xiàn)幾千元錢都已從網(wǎng)上劃走。”

　　王嗣恩幾乎可以確定用戶的被盜源于某種病毒，當(dāng)病毒“探知”用戶正要打開支付網(wǎng)站或者銀行網(wǎng)站頁面，它就會自動發(fā)出“銀行系統(tǒng)升級”的假頁面信息，騙取卡號、密碼以及其他加密措施的密鑰，再直接破壞系統(tǒng)。“其實只要當(dāng)時拆下硬盤，就可以找到盜取者和病毒的信息。”

　　“我朋友的例子算得上典型，但其實并不多發(fā)，可只要出了一例，就會讓大家特別害怕，這應(yīng)該是目前網(wǎng)上銀行安全的現(xiàn)狀。”王嗣恩說。本版撰文 晨報記者 張黎明

　　最易攻破的人群：

　　急性子和粗心者

　　在王嗣恩看來，絕大部分網(wǎng)銀賬號和密碼丟失并不是在高級黑客的攻擊之下，而是盜竊者利用了人們心急的弱點和對網(wǎng)上銀行不熟悉，靠“騙”得來的，這一觀點和孫宗群相同。

　　孫宗群舉例說，有兩類用戶最容易成為盜竊目標(biāo)，“一類是急性子，不管是在網(wǎng)上購物也好，跟別人交易打款也好，都想著快點完成。”來自支付企業(yè)支付寶的“反詐騙”提示也特別舉例說明，“一些網(wǎng)絡(luò)買家太急于購物，并沒有使用貨到后再打款的‘擔(dān)保’功能，而是聽信賣家的催促，使用了‘直接到賬’功能，這很容易上當(dāng)。”

　　另一類則是粗心者。記者在調(diào)查中發(fā)現(xiàn)，利用病毒來騙取用戶卡號和各種密碼比較常見，但盜竊者需要為此制作假網(wǎng)頁和網(wǎng)站，“請客戶認(rèn)真觀察，真正的銀行支付頁面，在地址欄都是用‘https’開頭，比普通的網(wǎng)頁多了個字母‘s’，瀏覽器右下方還有個小鎖圖標(biāo)。”孫宗群認(rèn)為，只要能細(xì)心識別支付網(wǎng)頁的真假，絕大多數(shù)被盜事件都能避免，“如果記不住那么多，請一定要記住那把鎖。”

　　最復(fù)雜的騙局：

　　網(wǎng)上銀行安全軟肋

　　當(dāng)然，要對網(wǎng)上銀行動手腳并非不可能，但這要求盜竊者具有一定的技術(shù)基礎(chǔ)和耐心。實際上，目前網(wǎng)絡(luò)銀行普遍采用的三大安全措施都可以找到漏洞，只要黑客用心琢磨，而又恰好碰上了用戶的“配合”，盜走賬戶中的財產(chǎn)并不難。

　　被認(rèn)為最安全的防護措施 “硬證書”U盾，都有可能出問題，“一種情況是黑客已經(jīng)遠(yuǎn)程控制了你的電腦，又正好發(fā)現(xiàn)了你的網(wǎng)銀賬戶里資金充裕，這時候，如果你使用完網(wǎng)銀還沒及時拔掉U盾，這種最安全的保護措施自然就失效了。”王嗣恩說。而孫宗群給出的例子則更為復(fù)雜，“我們曾經(jīng)遇到過一種情況，騙子先發(fā)過來一個假網(wǎng)頁騙走了卡號和密碼，隨即登錄用戶的網(wǎng)上銀行，卻發(fā)現(xiàn)還需要U盾才能提款，因為無法攻破U盾，于是他接下來給出真的支付頁面，但卻悄悄改動了支付金額，用戶一不小心就上當(dāng)了。”

　　對另一種防護措施“口令卡”來說，支付密碼也必須靠騙取。孫宗群舉例說，“同樣是先用假網(wǎng)頁騙得卡號和密碼，接下來，偷盜者會制造網(wǎng)站正在升級等假象以爭取時間，繼續(xù)騙取用戶的口令卡密碼，最后，騙子再登錄用戶真正的銀行網(wǎng)站完成轉(zhuǎn)賬。”

　　相對而言，第三種保護措施“軟證書”（也就是直接下載到電腦中的數(shù)字證書）的風(fēng)險更大一些，不過，中國金融認(rèn)證中心的信息安全專家提醒說，目前已經(jīng)有專門保護軟證書密碼的“保險箱”技術(shù)，如果用戶采用，能大大提高安全性。

　　最有技術(shù)含量的威脅：

　　讓電腦成為“肉雞”

　　在所有的偷盜方式中，最有技術(shù)含量、也最讓用戶無可奈何的一種就是“遠(yuǎn)程控制”，也就是讓用戶的電腦成為黑客圈子里俗稱的“肉雞”，這才是真正的“偷盜”。

　　本報在2007年3月曾經(jīng)對這種“肉雞產(chǎn)業(yè)鏈”做過報道，當(dāng)時，每一只“肉雞”的價格在0.1元到1元不等，因為有人在網(wǎng)上販賣遠(yuǎn)程控制程序，買賣“肉雞”資源也很流行，資深商販一個月內(nèi)可以抓到10萬臺電腦，進賬萬元。而一旦電腦成了“肉雞”，黑客通過遠(yuǎn)程監(jiān)控，控制用戶電腦中的各種資源，自然就能得到卡號和密碼，也根本不用騙取軟證書密碼，甚至可以利用硬證書U盾正插入電腦時趕緊取錢。

　　“不過，這多半是一次性的。”王嗣恩說，用戶往往都設(shè)了一次轉(zhuǎn)賬的上限，如果不是靠設(shè)置虛假交易的騙取來配合，光是靠偷，黑客也只能隨著用戶的行為取一次錢，而用戶一旦發(fā)現(xiàn)，馬上就會請求銀行封掉賬戶，這樣，黑客也只能等待下一次機會。“‘肉雞產(chǎn)業(yè)鏈’現(xiàn)在仍然紅火。”王嗣恩說，“但主要不是用來控制網(wǎng)銀的，除非它偶然發(fā)現(xiàn)你的確很有錢，或者是熟人之間有意為之。”而且，現(xiàn)在殺毒軟件的技術(shù)已經(jīng)可以檢測出你的電腦是否成了“肉雞”，以便幫助用戶及時脫身，這對于灰色產(chǎn)業(yè)鏈來說也是一次巨大的打擊。