1、网上支付安全回顾与展望,网上支付与电子商务 网上支付发展历程 网上支付的发展现状 网上支付发展展望,网银不安全?,钓鱼网站的攻击是针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页,然后给假网页申请一个酷似官方网址的域名,等待用户由于拼写错误进入欺诈网页,或者通过精心制作的电子邮件,以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗,他们的账号、密码等隐私数据都会立即被发送到不法分子手中。 “网银大盗”木马是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银大盗”在监测到用户正在访问某个使用了安全登录控件
2、的地址时,就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面,但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至能够完全控制一次交易。此外,2004年11月的“网银大盗”木马则是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口,如果用户访问到网银系统登录页面,木马就开始记录用户从键盘上输入的内容,获取网银账号和密码。,即便是被看做网银安全“另一把锁”的数字证书,同样不能完全保证网银安全。有些系统允许网银用户把数字证书保存为硬盘文件,但是,“网银木马是具有复制数字证书的能力的,只要数字证书代码是在电
3、脑内存中运行,黑客就完全可以伪造用户进行登录。”针对用户的网银安全问题层出不穷,针对网银系统服务器端更为老练的攻击也日渐浮出水面。据网络安全专家介绍,过去数个月中,国际上银行信息诈骗手段已经出现了针对网银系统服务器的新方式。诈骗者首先控制一个真正的官方网站,然后诱导客户输入自己的银行信息,但将这些信息存储到诈骗者控制的地点。 病毒目前主要通过种方式发动攻击:假冒网上银行网站或者攻击网站服务器;记录用户的键盘输入;嵌入浏览器执行;通过屏幕录像截取用户输入密码的操作过程;窃取网上银行数字证书文件等。,网银不安全?,嵌入浏览器执行,“网银大盗”木马是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银
4、大盗”在监测到用户正在访问某个使用了安全登录控件的地址时,就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面,但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至能够完全控制一次交易。,键盘记录,2004年11月的“网银大盗”木马是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口,如果用户访问到网银系统登录页面,木马就开始记录用户从键盘上输入的内容,获取网银账号和密码。,网银大盗,“网银大盗”、“网银大盗”和“网银大盗”共同之处在于,三种“网银大盗”都属于特洛伊木马程序,传播途径都是通过网络传播,盗
5、取对象都是网上银行个人用户。三大病毒作者作案动机都是企图盗取个人网上银行的账号、密码,然后利用转账、网上支付等手段窃取用户网上银行存款。“网银大盗”、“网银大盗”和“网银大盗”木马都是非主动传播,主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时,间接感染用户电脑。“网银大盗”、“网银大盗”和“网银大盗”木马影响包括Win9x,Windows2000, Windows XP, Windows2003在内的所有Windows操作系统。,三大“网银大盗”病毒不同之处,1、利用漏洞不同“网银大盗”木马利用某商业银行网上银行个人登陆页面的安全漏洞。“网银大盗”木马记录用户的所有击键
6、,然后通过提交动态网页的方式将密码发送,利用防火墙规则设置上的漏洞。“网银大盗”木马通过微软的MHT漏洞传播。2、 利用技术的不同“网银大盗”木马使用OLE插入技术,直接读取IE页面控件内容,从而获得用户的帐号密码。 “网银大盗”木马利用成熟的键盘记录技术(Key记录程序),轮询遍历键盘输入信息,监视用户操作,截取用户按键,获得用户的账号密码。“网银大盗”木马利用OLE插入技术,直接读取IE页面控件内容,但比“网银大盗”监控的更广、更详细,从而获得包括用户的账号密码在内的众多信息。3、木马编写技术不同“网银大盗”木马通过使用Visual C+编写,利用UPX技术压缩,技术难度相比较高。“网银大
7、盗”木马使用Visual Basic编写,利用Aspack技术压缩,技术难度相比较低。“网银大盗” 木马使用DELPHI编写,利用UPX技术压缩,木马文件较大,技术难度 最高。,4、创建文件不同“网银大盗”木马在感染电脑里创建expl0er.exe本身文件外,还将创建expl0er.dll挂钩和发信模块文件。 “网银大盗”木马在感染电脑里只创建svch0st.exe本身文件。 “网银大盗”木马在感染电脑创建user32.exe木马本身文件,还将创建mssdk32.dll和mslib32.dll模块,负责设置消息挂钩,并对IE页面控件进行监视,检查和发送邮件由木马主程序来完成。 5、发送账号、密
8、码方法不同“网银大盗”木马通过自带的发信模块以电子邮件形式把记录的用户信息发到木马作者指定信箱。“网银大盗” 木马则是通过向asp页面提交的方法,把用户键入的所有键值通过get方式发送到指定的服务器。“网银大盗”木马也通过电子邮件把信息发给病毒作者。但所发送的信息包括用户使用过程中各种IE控件的所有有关信息,直接发送到俄罗斯一免费私人信箱。 6、盗取对象不同“网银大盗”木马只盗取工商银行个人网上银行账户及密码。“网银大盗”木马则几乎盗取目前中国所有个人网上银行的帐号及密码。“网银大盗”木马盗取则盗取英国爱格银行(Egg)、英国哈里费克斯银行(Halifax)、英国巴克莱银行、英国国家西斯敏斯特
9、银行、英国苏格兰皇家银行(等8家著名国外银行。,窃取网上银行数字证书文件,建行客户蔡先生用网上银行已经很长一段时间,3月10日,他向上海公安局卢湾分局报案称其2张信用卡内的16.6万余元被盗。警方通过查询银行转账记录,查明蔡先生的2张信用卡被犯罪嫌疑人通过网上银行分11次转出人民币共计163014元(不包括转账手续费),被盗资金全部转入一个开户在昆明的建行活期账户内,并已被人取走。在云南警方的大力协助下,侦查员很快在昆明抓获了犯罪嫌疑人白某和葛某。经查,犯罪嫌疑人白某在昆明一家科技公司的软件开发部工作,会编程序,平时对黑客软件兴趣较浓。据白某交代,她先在网上找他人的求职信息,获取他人的身份信息
10、和联系方法,伪造了一张身份证,用该身份证在建行开户。白某在淘宝网上利用发送信息之际,将病毒植入他人电脑,进而获取了他人的银行账号、密码和认证证书,同时修改密码,盗取银行账户资金。 可见,在这起案件中,网上银行并没有过错,这位建行客户蔡先生是在淘宝网上中了病毒被人窃取密码、证书之后,才发生资金被盗。目前来看,网上银行基本上是安全的,但网上购物的确风险较大,因为不少病毒、骗术隐藏其中。,网银失窃案:11万元不翼而飞 签约网银不安全?,平时她还会用借记卡在网上支付水电费等费用,不过并没有签约网上银行业务,因此网上支付的金额是有限额的,单笔额度为500元,一天累计额度为1000元。 2006年12月7
11、日,朱玉梅上网查询账户明细,结果无法登录,原因显示是录入密码不对。接连输入三次后都是错误,账户被锁。 第二天,朱玉梅再次上网查询,但结果依然是输入三次后账户被锁。在这个过程中,朱玉梅也曾致电建设银行的客服电话95533,客服人员告诉她,只要本人带上身份证和存折,去建行的柜台办理网上银行业务,然后回家下载数字证书即可。 12月9日,朱玉梅到建设银行上海市分行黄河路支行办理网上银行签约,结果回家后还是无法登录,账户又因密码错误被锁。之后,朱玉梅再次到银行办理网上银行签约,结果依然如故。 12月14日,一头雾水的朱玉梅第三次来到银行。按照工作人员说的方法在建行的电脑上操作,删除了原来的网上银行,然后
12、再次办理了签约客户的网银。 朱玉梅回到家后重新注册登录后没有看到下载证书的按钮,于是就先查询账户明细,结果发现自己借记卡上的钱从12月6日到14日被人从网上分22次消费、转账共计人民币9898.55元。朱玉梅感到莫名其妙,赶快把网上银行删除了。,网银失窃案:11万元不翼而飞 签约网银不安全?,朱玉梅在建设银行上海分行打印的明细对账单,从12月6日至12月12日,除了几笔朱玉梅的转账存入、支取外,每天均有两笔各500元的网上消费,正好是建设银行网上银行未签约客户的支付最高限额。而就在12月14日,朱玉梅第三次办理了网上银行签约之后,当天先后两笔分别被转走60元和2750元(记者注:手续费分别为1
13、元和13.75元),此时朱玉梅的账户上仅剩38.16元。 12月14日当天,朱玉梅发现网上银行的账户丢失近万元后,迅速到上海市公安局黄浦分局报案,刑侦支队十队接受了报案,并出具了回执单。 12月19日,由于有客户要给朱玉梅汇款70万余元,认为借记卡不太安全的朱玉梅让客户把钱汇到她的白金卡上。为了方便上网查询,朱玉梅在12月19日下午4时许上网注册了一次,下午5时许,她看到汇款已到账。 12月20日上午10时许,朱玉梅去建行办理了60万元的现金本票,然后把白金卡办理了网上银行的签约手续。没想到,等她回家上网时发现她的密码不能登录,而这时离她在银行签约的时间仅过去了40分钟左右。顿感不妙的朱玉梅马
14、上回到银行打印明细对账单,账单显示,卡上的余款已被通过网上转走10万元(记者注:手续费25元),账户上仅余下410.39元。朱玉梅再次到上海市公安局黄浦分局报案。 事后,朱玉梅通过银行查询到她在网上银行两个账户上的近11万元都被转到了福建的一个账户上。,杨先生在卡上存入100万元,第二天卡内就少了995050元,仅剩下4950元,而此时卡、USB Key等文件资料都还好好地躺在他的保险柜里。为此,杨先生将银行告上法庭,索赔100万元。昨日,法院作出一审判决,认为原告未妥善保管密码是巨款被取走的原因,遂驳回其诉讼请求,并判令其负担案件受理费13800元。 “因业务需要,我与第三方约定对此100万
15、元存款双控,也就是双方同时控制账号”, 经过分析,问题终于浮出水面,主要原因就是该用户开通了网上银行,设置了网上银行的密码,设置了帐户安全方式:USBKEY验证,但是他却将帐户、密码告诉了第三方,以为第三方没有USBKEY就无法转帐,看起来好像是没有问题的,但实际操作中,该用户应该在USBKEY下载了证书之后再将密码告诉第三方。问题就出在该用户还没有下载USBKEY证书就把密码告诉了第三方,那么第三方很容易就可以去再买个USBKEY,马上下载证书,配合密码就可以转款了。像这种双方控款的情形,应该是把查询密码可以告诉第三方,把转款密码不能告诉任何人。现在一般的网上银行都是设置查询密码和转帐密码的
16、,转帐密码是绝对不可以告诉任何人的。 总结:用户开户后应该尽快登陆网上银行,按提示下载证书,设置新的查询和取款密码等。如果你开户时密码让第三方知道了,那么,第三方可以马上登陆银行网站,抢在你的前面把合法的证书下载到他的电脑上面,或者装进他的USBkey中,那么他就变成了合法的用户。所以,必须尽快得到证书并保护好自己的密码。,利用招商银行名义发送邮件,该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情,并提供招行网站的超级链接,如果点击链接就会打开一个冒充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像,足以以假乱真,而且域名也很具有欺骗性。该网站的域名是真招行网站的域名是
17、,cmb是招行的英文缩写,而95555是使用招行账户的用户都非常熟悉的招行电话银行号码,不法分子将cmb与95555组合在一起,就会让用户不会对它产生怀疑,具有较强的欺骗性。用户往往误认为自己进入了招行的真正网站,其实用户所造访的不过是一个经过精心设计的假冒网站而已。 如果用户在钓鱼网站上输入个人信息,不法分子便会利用电子邮件将帐户信息自动发送到事先设定好的邮箱,窃取用户的账号、密码。 还有诸如出现过的某假冒工行网站,网址为http:/ ,而真正银行网站是http:/ ,犯罪分子利用数字1和字母i非常相近的特点蒙蔽用户。 又如曾发现的假公司网站(网址为 http:/ ),而真正网站为 http
18、:/ ,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布赠送QQ币的虚假消息,引诱用户访问。,电子邮件/欺诈信息/手机短信+钓鱼网站链接,网银“动态密码“遭遇安全挑战,近年来,国内多次发生“假冒网站”以及客户资金被盗案件,凸显网银安全性问题。 为了提高安全性,一些银行通过“动态密码”或“动态口令”验证网银用户的身份,如发给客户一张印有一组数字或字母的卡片,使用时按照一定的规则输入其中一组,下次使用再输入另一组。此外,让客户购买专门传发密码的电子器件,每按一次按钮就可以生成一个密码,或者将一次性密码通过手机短信的方式发给客户等方式,在应用中也比较常见。 “动态密码”使用方便,但它
19、只适用于金额小的交易,对于金额大、使用频繁的用户,其安全性并不理想。目前“动态密码”隐患主要有两类,一是以病毒等为主的系统安全风险,目前还未形成规模;二是身份风险,目前大多数案件都来源于此。身份风险又分为银行方面的身份风险和用户方面的身份风险,如“网上钓鱼”案件,是银行的身份被仿制,用盗窃的账户密码进行盗窃,是因为个人的身份被仿制。 据有关专家介绍,遭遇病毒和黑客的攻击时,一旦用户输入“动态密码”并通过网络传送,位于用户与网银服务器通信通道间的黑客便可通过键盘监听、内存读取等方式将其截获,使用户无法完成登录,并造成网络连接断开、连接超时等假象;另一方面黑客利用截获的“动态密码”假冒用户登录到网
20、银,肆意作案,使用户蒙受损失。 此外,通过“动态密码”登录的用户没有电子签名,这样也就没有具有法律效力的认证材料,一旦出现纠纷,用户的合法权利将不受保护,同时也给银行带来一定的风险。,利用黑客技术手段窃取用户信息,主要是利用木马手段。木马制作者通过发送邮件或在网站中隐藏木马通过漏洞触发等方式传播木马,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱。利用木马屏幕监控功能进行录象破解决软键盘登陆的事例也时有发生。 近日清远市清城区人民法院获悉,谭某等7名被告人利用网络技术窃取网上银行客户资料盗窃存款一案经该院一审后,已于近日二审终结,7名被告人分别被
21、判处1年至14年不等有期徒刑,并处罚金。据了解,谭某、梁鹏、黄风、黄俊、曾航、蔡某、骆某7人均是20岁左右的年轻人,彼此通过互联网QQ相识。去年1月,黄俊通过QQ发给梁鹏一个“香港某集团”的网址,告知梁鹏内有许多网上银行客户资料,要求梁入侵该网站, 下载数据库资料,想办法将别人的银行存款拿出来。梁鹏发现了该网站的漏洞,破坏了该网站的服务器,并上传某病毒程序下载了该网站数据库,取得了上万个网上银行客户的资料,然后与黄俊两人通过QQ分别将客户资料提供给谭某、蔡某、骆某、黄风、曾航等人密谋盗窃。7人主要通过远程操控他人电脑在网上转账,或利用假身份证办理银行信用卡取款的方法盗取存款。7人共作案9次盗得
22、他人存款85万多元。持卡人发现账户上资金被他人转走,当即报案。经公安侦查,上述7人先后被抓获归案。,骗子利用银行转账时间差诈骗北京某医学研究所皇医院(下称皇医院)欲向外借贷,于是委托身在广州的姚某全权办理此事。姚某通过朋友的介绍,认识了一个叫“梁玉胜”的人。“梁玉胜”自称是香港远东国际投资公司(下称远东公司)的代表。2002年10月10日,姚某与“梁玉胜”订立了借款合同,双方约定远东公司向皇医院贷款港币2000万元,首笔贷款为港币500万元,但是借方皇医院在拿到首笔贷款的同时必须支付港币12万元的“风险金”。次日,“梁玉胜”按照姚某指定的账户,向银行出具了金额为港币500万元的空头支票,银行收
23、到支票后将500万元输入到指定的账户。这期间,银行需要几小时来确认支票,只有确认支票可以转账后才能提款。姚某通过柜员机查询,眼见账户里多了港币500万,于是放心地支付了12万的“风险金”。几小时后,银行以签发支票人存款不足为由拒绝划款,账户上新增的500万被取消。等到姚某发现的时候,已经找不到“梁玉胜”的人影。2003年2月7日,“梁玉胜”被抓获,据查其真名为廖某某。法院审理后认为,廖某隐瞒自己的真实身份与他人订立合同,并以空头支票入账骗取借款人信任,而且收到借方履行合同的“风险金”后逃匿,其行为构成合同诈骗罪。近日,越秀区法院判其有期徒刑五年,并处罚金1万元。,案例总结,(1)对要求输入账号
24、信息、信用卡账号之类的邮件和短信中奖等信息不予理睬,如确需验证应手工输入正确的网银网址并认真核对确保其正确,也可将其保存于本机的收藏夹内方便使用,不要轻易点击邮件、邮件附件及不知名网站内的链接地址 以工行为例:个人网上银行登录页面和网上支付页面都经过128位SSL加密处理,在打开上述页面时,在IE浏览器右下角状态栏上会显示一个“挂锁”图形的安全证书标识。点击挂锁,应显示如下信息 颁发给: 颁发者: Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign,(2)网上银行登录密码,最好使用数字加字符这样的复杂密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,
25、建议用字母、数字混合密码,尽量避免在不同系统使用同一密码,防止不被黑客轻易破解,定期修改密码。 (3)针对虚假电子商务信息的情况应当认清:一是虚假购物、拍卖网站看上去都比较“正规”,有公司名称、地址、联系电话、联系人、电子邮箱等;二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货,也不退款,一些消费者迫于第一笔款已汇出,抱着侥幸心理继续再汇;四是在进行网络交易前,要对交易网站和交易对方的资质
26、进行全面了解。,(4)其他网络安全防范措施。安装防火墙和正版防病毒软件,并经常升级;注意经常给操作系统打补丁,修补系统漏洞,同时注意机器安装的软件如暴风影音类播放软件、QQ、雅虎通等的及时升级; 禁止浏览器运行 JavaScript和ActiveX代码,有选择的定期清除Cookies及历史;不要上一些不太了解的网站,控制自己的欲望,不要登陆一些不健康网站,这部分网站最容易被挂马;不要执行从网上下载后未经杀毒处理的软件,打开MSN或QQ等传输的文件要注意;提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;尽量避免在网吧等公共场所使用网上电子商务服务。 (5
27、)清楚机器启动加载运行的程序有哪写,卸载不必要的程序,禁用不必要的服务,关闭不需要的端口,设置日志记录等安全策略。尽量不要采用安全级别很低的“账号+密码”方式进行网上交易,如果需要比较频繁地进行网上交易操作,建议一定要采用由合法、权威的第三方安全认证机构颁发的数字证书,即使用网上银行的专业版和证券交易软件的证书版。否则,一旦用户的个人电脑被植入木马、病毒等恶意代码,账号和密码等信息就很容易被窃取,进而造成资金损失。,(6)使用银行提供的安全措施来保障安全如工行的U盾、 电子银行口令卡等产品。 (7)如果真的不幸帐户信息被盗,尽快更换密码和挂失信用卡,安装专业的反钓鱼软件,并将可疑软件转发给网络安全机构,共同维护一个良好健康的网络环境。,
