發(fā)表日期:2007.09.19 訪問人數(shù):1012
昨天,中國金融認證中心(CFCA)副總經(jīng)理曹小青透露,據(jù)CFCA的最新監(jiān)控發(fā)現(xiàn),網(wǎng)銀大盜對網(wǎng)銀的攻擊手段、技術(shù)有加快更新的趨勢,已經(jīng)從攻擊密碼轉(zhuǎn)向攻擊數(shù)字證書。網(wǎng)銀用戶如果只將數(shù)字證書下載后存放在電腦的IE瀏覽器上,那么其網(wǎng)銀賬戶仍存在風險———數(shù)字證書可能因電腦染上木馬病毒而被盜取。
CFCA監(jiān)測發(fā)現(xiàn),目前網(wǎng)上銀行交易面臨的不安全隱患主要有兩種:一種是在未申請數(shù)字證書的前提下,網(wǎng)銀用戶密碼被盜取,導致資金被盜;另一種是,雖然申請了數(shù)字證書,但由于沒有妥善保管,被網(wǎng)銀大盜用木馬病毒攻破載有數(shù)字證書的電腦,進而造成資金被盜。
曹小青透露,為了提升網(wǎng)銀安全,監(jiān)管部門將要求各銀行電子銀行禁用“戶名+口令”的網(wǎng)銀交易方式,因為在該模式下,如果網(wǎng)銀用戶沒有申請數(shù)字證書,其網(wǎng)銀密碼很容易通過網(wǎng)絡(luò)釣魚、假冒網(wǎng)站、詐騙短信等方式被騙取。他舉例說,最近破獲的一起網(wǎng)銀盜竊案件中,犯罪分子用80個常見的密碼,竟先后“猜”對了上萬個賬戶。
但是,即便網(wǎng)銀用戶申請了數(shù)字證書,卻將其下載后放在電腦IE瀏覽器上(業(yè)內(nèi)稱之為“軟證書”),依然存在風險———證書被木馬病毒破譯。
據(jù)了解,到目前為止,網(wǎng)銀領(lǐng)域尚未出現(xiàn)一例因數(shù)字證書安全機制被攻破而使用戶資金受損的案件。目前新出現(xiàn)的一些網(wǎng)銀盜用案件,并非數(shù)字證書機制本身不安全,而是用戶在數(shù)字證書保管和使用過程中出現(xiàn)了問題。
“保管好數(shù)字證書至關(guān)重要。”曹小青建議,目前比較科學的、最為安全的做法是,把數(shù)字證書下載在USBKEY(類似U盤,業(yè)內(nèi)稱之為“硬證書”)里,數(shù)字證書只有封裝在里面并被用戶隨身攜帶,木馬病毒才會對其束手無策。
CFCA建議,保管好數(shù)字證書必須做到以下三點:首先,一定要將數(shù)字證書放在USBKEY內(nèi);交易時,插在電腦USB接口上,交易完成后及時拔出妥善保管;如果存放數(shù)字證書的USBKEY有損壞、丟失等,要及時告知銀行。
免費咨詢