江民建议网银采用“U盾+短信确认”的交易验证方式

近年来随着网上银行的迅速发展,网上银行已经成为大众普遍使用的交易渠道之一。据不完全统计,2008年的网上银行交易金额接近300万亿元。如此庞大的市场,更是令一些不法分子垂涎,大量盗号、远程控制类木马病毒充斥在互联网上,致使网银用户信息被盗,严重威胁网银交易安全。

据江民反病毒专家介绍,目前骇客针对网上银行的犯罪主要是通过木马程序和各种诈骗手段进行,其中木马程序主要包括远程控制类病毒,如灰鸽子,窃取账号密码的盗号类病毒,控制用户网银交易内容的浏览器劫持类病毒;诈骗手段主要是通过虚假邮件及虚假网站等,诱骗用户在伪造的网页上输入自己的网银账号密码,以达到盗取用户网银账号密码的目的。

随着近年来网银事故频频发生,为了保障用户的资金安全,各家银行对网上银行都采取了更加严密的安全保护措施,取消了以往"账号+密码"的简单模式,而普遍采用双因素、多因素的认证手段,例如采用数字证书或动态口令等。江民反病毒专家指出,"各家银行系统的安全性不尽相同。目前最安全的网银交易方式应该是硬件数字证书(如U盾等)并辅以短信确认的方式,但目前并非所有的交易平台都强制应用了这种交易方式。账号+密码、账号+密码+数字证书文件(软证书)、账号+密码+硬件证书(无短信确认)等方式都存在着被用户客户端木马利用的可能"。

针对网银安全的现状,江民反病毒专家给出了几点建议:一方面银行应持续改进和加强银行内部系统的安全性,虽然银行内部系统不受用户客户端木马的威胁,但可能受到黑客的直接攻击。内部系统一旦被攻陷,造成的损失将会是无法估量的;另一方面,银行应充分考虑到网银交易客户端的安全性,继续加强推广硬件数字证书的力度,加强客户端软件的安全性,采取短信确认等方式,来尽量规避客户端木马给用户带来的风险。