【it168 专稿】网上银行(简称“网银”)虽然给网民的生活带来了非常大的便利,但是在网上银行的使用过程中,却存在着种种的安全陷阱,稍一不留神,就会带来不可弥补的经济损失,先来看看下面几年安全事件回顾。
一、网银攻击事件回顾
2003年12月,汇丰、中银香港均发现有假网站冒充。香港金融管理局称,这是至2003年6月以来,第六宗涉及香港银行的假冒网上银行案。
2004年3月,花旗银行在短短两个月当中至少发现14个伪造网站,有时几乎每隔一天就发现一个假冒网站,不法之徒伪造该银行的网站,然后假冒银行的名义发出电邮给客户,要求客户输入帐号和密码。
2004年12月7日,假冒的中国银行网站出现在互联网上,诱骗银行卡持有人的帐户和密码,被揭发后该网站被关闭
2004年12月15日假冒中国工商银行的网站暴露出来。假工行网站“www.1cbc.com.cm”与真工行网站“www.icbc.com.cn”的域名只有“1”和i之差,致使大量工行用户上当受骗。
2005年4月网络上又出现一家假工行网站。假工行网站以“注册网上 银行中大奖”为诱饵,让网民输入工行帐号与网络银行密码,从而获取网友个人信息。假冒网站“www.cnicbc.com.cn”比工商银行的正常网址( www.icbc.com.cn)多了cn两个字母。
2006年,公安部破获的盗窃网上银行支付帐号案件超过3600起。
2007年4月,建行网银再现安全漏洞,浙江一市民11万元不翼而飞。
二、网银常见骗术
上面回顾的各种假银行网站新闻早以被各个媒体炒作的沸沸扬扬,使得许多网络用户对网上银行的安全性,一直抱着观望、怀疑的态度。那么这些假银行网站是通过什么方法欺骗用户盗取用户的目的的呢?
(1)、url地址欺骗与简单防范
攻击者通过一定的技术手段,构造虚假的url地址,当用户访问伪造网站时,却以为自己正在访问的是正确的网站,从而造成各种密码和信息的泄露。攻击者往往是通过各种邮件或在各种论坛网页发布伪造的链接地址,诱骗用户访问虚假网站的。
例1、例如攻击者在一个论坛中发布这样一个帖子,主题为“注册网上银行中大奖”攻击者在帖子内容中输入一些欺骗诱惑性的内容,并留下网络银行的地址,诱惑用户登陆自己伪造的虚假网站上,其中最重要的一个环节就是构造虚拟的链接地址,让用户以为自己登陆的是正确的网站,例如攻击者可能在帖子中加入如下代码“点击,活动期间注册送现金,万元大奖等你拿!”当帖子发布以后,在网页中显示的是“中国工商银行网上银行”但是当用户点击链接时,却链接到了伪造的网址上,如果攻击者将这个地方的网站换成其他伪造的银行网站,那么用户就很有可能上当受骗,当然这只是一种非常低级的欺骗手段,稍有经验的用户只要将鼠标移动到链接上就可以在状态栏中看到实际的链接地址,从而识破欺骗。用户在上网过程中要随时注意到地址栏的url变化,发现地址栏上的域名发生变化后就要引起重视从而防范遭受攻击。
(2)、利用ie漏洞欺骗攻击
“钓鱼者”还有更巧妙的攻击方式,利用ie的语法错误,或者利用ie的一些漏洞等,让用户无法察觉url地址的变化。
例2、在使用一些没有打过补丁的电脑时,在url地址里面输入“http://www.icbc.com.cn/@www.123.com/”之类的网址,用户点击后在打开的浏览器标题栏和地址栏中看到的链接地址也是“http://www.icbc.com.cn”可实际上显示的内容是“www.123.com”如果www.123.com是攻击者伪造的网站那么后果不言而喻。
url欺骗不仅仅是这几种另外钓鱼者还有可能利用最新的ie漏洞,或者使用一些其他的脚本编程技术,使得新开的网页中不显示地址栏,或者完全显示和真正网站显示的完全一样信息。
(3)、网站克隆欺骗
当一些大意的用户被欺骗,链接上假网站时如果网站的内容与真是网站内容不尽相同,那用户还会产生怀疑的,往往钓鱼者会将网站做的与真是的十分相似,而且非常简单通过网页克隆的技术使得虚假网站与真是网站难以分辨。在克隆的网站上,无论是网站的logo、图表、新闻内容和链接等等都是链接到真实的网站上,但是在输入帐号的位置就隐藏陷阱了,当用户输入正确的帐号和密码时网站就会弹出提示窗口,显示用户密码错误,要求在输入一次,在输入正确的密码后,才能真正的登陆到真是的网站上,但是用户名和密码已经在第一次提示错误时被程序记录发送到钓鱼者手中了。
三、防范方法
1、假网上银行往往会有很强的隐藏性与真银行网站非常相似,没有经验的用户容易上当受骗,因此用户在登陆网上银行时,一定要再三审核该银行网站的真伪。
2、对于一些虚假网上银行网站,往往是通过电子邮件、网页弹出广告、论坛广告帖等各种手段诱惑用户上钩,因此在登陆一个网上银行时,如果是通过第三方网站链接到此网银网站,那么这个网站有很大的可能性是钓鱼网站
3、所有国内银行网站在第一次进入银行项目的时候都需要下载安全证书用户可以通过检测安全证书来确定网站身份。
4、一般国内的银行网站,由于都是使用专人管理服务器,通常都是运行稳定的,不会出现服务器忙或者系统维护之类的提示。就算有重大的以外事故需要停止服务一般都会提前公告通知用户而钓鱼网站通常都是通过异常提示来盗取用户帐号和密码的。如果在银行网站输入了正确的银行用户和密码却出现系统维护之类的提示,那么应当立即拨打银行的客服热线进行确认。
总结:有些钓鱼网站错误提示也伪装的非常逼真,当用户第一次输入密码时,会被网站记录盗取,第二次输入的密码才会送到真正的网银网站,如果用户确信输入了正确的银行密码但是却出现了密码错误的提示那么一定要当心了。