防范“网络钓鱼” 动态密码保障网银账户无懈可击
(联合电讯社/上海)--2011年1月10日至今,江苏省内不少网银用户收到这样一条提示短信。“尊敬的网银用户:您的中行E令即将过期,请您尽快登录www.bocccb.com进行升级,详询95566。”苏州唐先生恰好是中国银行的网银用户,他在家中电脑上登录升级,可当输入用户名、密码、动态口令后没几分钟,发现卡内的198万余元被分两笔转走。原来,唐先生中了新出现的“中行网银E令升级”诈骗。
最近一个月的时间内,江苏连续发生了100多起网银用户被骗的案件,中国银行百名用户被钓鱼,其中一名网银用户一次就被诈骗转账走101万元。解放网25日亦报道,一名“80后”网络公司维修员,利用“钓鱼链接”向网络买家发送山寨版支付宝网页,骗取货款6000余元。另据RSA反欺诈指挥中心2010年12月报告显示,中国已成为遭受网络钓鱼攻击数量最多的五个国家之一,并较上月呈现了4%的增长。
近日,国内专业的动态密码身份认证企业——上海动联信息技术有限公司技术总监胡永刚做了解答。胡总监介绍了黑客犯罪的过程:近期的网络安全欺诈实际上主要是利用普通时间型动态密码令牌不能防钓鱼的漏洞。首先,犯罪分子通过发送诈骗短信,诱骗登陆欺诈钓鱼网站,并诱使用户输入帐号、密码和动态口令,在获取用户真实密码和动态口令后,在1分钟内犯罪分子快速登录中国银行网上银行官方页面完成转账。在短短的1分钟内,由于动态口令还没来得及更新,犯罪分子可以轻易登录客户账户,将帐户上的金额全部转走。
胡总监介绍说,上述案例再次证明,安全问题是一个综合性的问题。上述案例中的被盗,并不是由于动态口令自身被破解或伪造造成,而是黑客通过钓鱼得到了真实的动态口令。任何单一的技术手段,在应用上,都可能存在漏洞。就像普通Usbkey不能防止木马攻击一样,普通时间型动态口令不能防止钓鱼。
胡总监继续说,不过,合理应用动态密码,完全可以达到网络安全的要求。动态密码有多种种类,在国外是一个应用成熟的身份认证技术形式,因其较高的安全性、简单易用的模式而被网银用户高度认可。
针对此情况,业内专家认为,像中国银行网银出现的问题,其实可以通过以下几种方式来避免:1、采用挑战应答动态令牌,用交易的关键信息作为挑战输入令牌,得到动态口令;这样交易信息就跟动态口令捆绑在了一起,黑客如果篡改了交易信息,认证将无法通过。2、建立用于交易确认的第二通道,如短信、电话等,当用户需要交易时,将交易信息和确认码通过短信或电话通知用户,用户输入确认码才能完成交易。3、交易风险实时监控,对于非常用的IP和不符合交易习惯的操作,进行动态密码二次甚至多次认证。通过上述方式,完全可以保障交易的安全。另外,动联现在能够提供更强功能的K8动态密码令牌产品,该产品拥有高于USBKEY的安全性,包含开机密码保护、主机验证、挑战应答、交易签名等方式,真正做到网银安全的无懈可击。
背景资料:关于K8增强型动码令
K8增强型动码令是动联继K5专业型动码令、K7超薄型动码令之后更高型号的产品,定位于高端用户,集超薄设计、长寿命、开机PIN码保护(个人识别码)等优势于一身,已然成为动态密码身份认证业界的翘楚。其外观小巧时尚,科技感十足,细节设计颇具人性化。K8增强型动码令堪称轻盈,尺寸比信用卡还小了一圈,厚度仅3.25毫米,重量只有13克,可单手操作。键盘和图形界面易于使用,通用的操作提示图标浅显易懂,用户甚至不需要看说明书就能轻松上手。大LCD显示屏,最长8位数字显示,更为清晰,双功能on-off / erase按钮,独具智慧。
K8增强型动码令除了在外观、性能上有较大突破外,安全性更是全面升级。其采用一次性密码(OTP)技术,支持时间同步、事件同步、主机验证、挑战/应答、交易签名等多种安全方式,有效防止钓鱼网站和中间人攻击。8位数字LCD,可输入多达16位挑战数字,数倍提升安全系数。
K8增强型动码令的上市,可以完美解决黑客和中间人攻击问题,轻松应对虚假网站、木马病毒、黑客攻击等手段窃取密码。K8增强型动码令在便携性、易用性、安全性方面均实现了重大突破,实现了三者的完美统一,将给动态密码产品高端市场带来巨大冲击。