漏洞研究

关注公众号 jb51net

关闭
首页 > 实用技巧 > 漏洞研究 > 逐一侦破 网上银行安全漏洞

逐一侦破 网上银行安全漏洞

投稿:mdxy-dxy

逐一侦破 网上银行安全漏洞

当我们还没来得及感叹网上银行的快捷与便利,病毒与黑客的不断得逞就已经把许多用户吓了好一哆嗦。难道说享受便捷的生活就一定要用自身的安全来交换吗?

  【用户篇】不要和陌生人说话

  案件回放

  2005年2月28日,网友小姚在一个名为“利好交易网”的网站上,点击进入了工商银行网上支付系统,他在输入了自己的卡号和密码后却无法登录。好在小姚及时地发现这个工行网站和去年被媒体所曝光的那个假网站非常相似,并迅速赶往附近的工行,取出卡里的大部分钱,只留下71元。几个小时后,当小姚再次查询余额时,发现卡里除了仅有的1元钱外,其他的70元钱早已不翼而飞。

  查找漏洞

  很显然,这个诱骗小姚输入自己账户信息的假网站就是本次案件的罪魁祸首。经调查,发现其网站地址www.lcbc.com.cn/index.jsp,与工商银行的正规网站www.icbc.com.cn仅为一个字母“1”与“i”之差,也难怪一向精明的小姚会看走了眼。据银联下属的中国金融认证中心总经理李晓峰介绍:“犯罪者通过假网站来实施诈.骗的手段与那些用病毒程序盗取密码的‘高手’相比,采用的技术其实非常低劣。他们利用普通用户没有足够的防范意识,缺乏对网上银行正确使用的充分了解等特点,以促销、有奖活动等诱骗用户上当。”

  与此相类似的诈.骗手法还有很多,如2005年 6月27日,上海银监局发现上海地区存在一电话号码,其自动语音提示可提供邮政储蓄、中国银行、工商银行、农业银行、建设银行、交通银行等多家金融机构的电话银行服务,办理银行 卡查询、修改密码等服务。当客户拨打021-51082075后,其自动语音提示各家商业银行的电话银行号码,当客户选择其中一家银行号码后系统提示分别输入银行 卡号及账户密码并按“#”字键,随后系统会报出其账户的余额。经查,该电话号码系专门套取客户账号与密码、从事欺诈行为的仿冒电话银行。

  另外,还有这位不得不说是“幸运”的张先生,在广告公司上班的他曾收到过这样的一条手机短信,内容是“中国银行现已开通网上银行服务,可以在网上查询余额和转账服务,欢迎登录www.956666.com。”由于其中的“956666”与中国银行的客服电话非常相似,张先生当时对这一短信的真实性并没有表示怀疑,并打算过几天后就去该网站开通此业务。没想到,第二天电视上就播出了“域名为www.956666.com的假冒网站,已被公安部门查封”的消息,张先生看后不觉惊出一身冷汗,因为他大数额的存款全部都在中国银行,如果当时登陆了这个假网站,那后果真是不堪设想。

  由此可见,“相似”是从事这一类案件的犯罪者惯用的手段,骗的就是用户使用过程中的“粗心大意”。也难怪,大家都说这银行是比保险箱都保险的地方,更何况是这网上的电子货币,可谁曾想,还真就有人打起了这“网络保险箱”的主意。

  专家分析

  如果说您还没有经历过以上这些用户的遭遇,那除了要暗自庆幸一番外,小心与警惕是再不可免的了。据国家计算机网络应急技术处理协调中心有关负责人表示:“2004年,国家计算机网络应急技术处理协调中心共接到网络仿冒报告223起,仿冒对象主要是金融网站和电子商务网站。这个数字与2002和2003年,每年只有一起案件相比,增长的速度实在非常惊人。”

  之前说过,这些假网站、假电话的诈.骗行为毫无技术含量可言,那为何如此的雕虫小技却使得众多的用户上当受骗呢?“主要是用户贪图便宜的心理导致他们失去了应有的安全意识”,招商银行北京分行电脑部总经理王建恒表示,“银行不会委托第三方以促销的名义向本行的客户索取个人账户信息,尤其是查询账户,要求输入银行 卡账号、密码等更是绝对不可能。所以,只要记准银行正规的网站地址与客服电话,不被任何奇怪的促销所迷惑,就完全可以避免这种现象的发生。”

 

部分银行官方网址与客服电话
中国工商银行
www.icbc.com.cn  95588
中国建设银行
www.ccb.cn  95533
光大银行
www.cebbank.com  95595
民生银行
www.cmbc.com.cn  95568
交通银行
www.bankcomm.com  95559
福建兴业银行
www.cib.com.cn  95561
广东发展银行
ebank.gdb.com.cn  5677188
中国银行
www.bank-of-china.com  95566
中国农业银行
www.95599.cn  95599
华夏银行
www.hxbank.com.cn  95577
招商银行
www.cmbchina.com  95555
浦东发展银行
www.spdb.com.cn  95528
北京银行
www.bankofbeijing.com.cn  96169
中信实业银行
sh.citicib.com.cn  95558

  探员支招

  有首歌唱得好:“借我借我一双慧眼吧”,在这里,我们并没有过多的高招可以奉献,只希望所有的用户都可以“面对诱 惑,保持警惕”。

  一位金融律师告诉记者,为了防止此类损失的出现,用户在网络上交易应该养成一个好的习惯,要按照银行提供的资料输入正确的网址,或者牢记自己需要登录的网站网址。他建议用户最好不要采取搜索引擎的方式去查找网址,这样会鱼龙混杂,把假网站也罗列其中,稍不注意,就会掉入假网站设好的圈套中。

  另外,对于要求输入卡号和密码的网页,用户不要太轻信,因为银行一般不会要求在同一网页输入多个数据的。不过该律师也指出,就网络支付以及相关交易问题,国家的确应该出台一些强制性的规定,加大处于优势一方的银行的责任和义务,更好的保护处于劣势地位的用户的利益。他预计,此类事件发生后,银行和公安机关可能会采取一些相应的措施,用以保证用户上网交易的安全。

  但无论怎样,都请您相信,天上从来就不会掉馅饼,只有防患于未然,才能避免“祸从天降”。
      【银行篇】喂黑客一块硬骨头

  案件回放

  今年7月初,南宁市的黄女士在中国建设银行南宁市桃源支行开通网上银行业务的第二天,突然发现自己账户上的4500元钱不翼而飞了。从银行打出的账户交易清单中,黄女士发现那消失的4500块钱被拿来交了144个陌生的移动电话费,根据网络IP显示,这些交易全部是在武汉的一个网吧里进行的。这时,黄女士才意识到,自己的钱可能是被网络黑客盗走了。

  查找漏洞

  这个案件与之前案例的最大不同,就是问题出在了银行本身。由于银行系统的漏洞导致了黑客攻击的成功,从而泄露了用户的资料,使其遭受了严重的经济损失,对此,银行方面责无旁贷。可这权责虽然分清了,但用户的心中难免会出现一个更大的问号,那就是一直对外宣扬自身是坚不可摧的银行交易系统怎会如此脆弱不堪呢?

  要知道,大家的担心并不是多余的。据专业部门统计,我国与互联网相连的网络管理中心95%都遭到过攻击或入侵,去年,67.4%的国内互联网用户被黑客入侵过,其中金融系统占89%。尤其是今年上半年,全国发生网络与信息安全事件7万多件,其中1.3万多件涉及金融系统。估计到2007年,由此造成的损失将达到67亿美元。由这些数字来看,银行往日在用户心目中那固若金汤的形象难免要大打折扣了。

  所以,这接踵而来的黑客攻击应该也必须为银行的系统维护敲响警钟,工商银行的电子银行负责人表示,银行应该为网上银行建立起一套集保护、监测、反应为一体的动态自适应的金融监管和预警体系,以有效监管自身安全漏洞和来自内外部的攻击行为。同时,银行对可能引起系统中断或故障的各种原因还要进行评估,以便事先制订出相应的灾难恢复计划。

  中科院研究生院信息安全国家重点实验室教授、密码专家吕述望告诉记者:“密码技术作为信息安全的核心技术,在银行预防黑客攻击工作中应得到充分采纳和运用。银行需要采取必要的技术手段,建立起严密的‘制度防内、技术防外’安全管理控制机制,运用密码技术保证数据信息在处理、储存和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制,杜绝内部作案,防止外部入侵。”

  专家分析

  其实,排除个人用户使用的安全意识问题,中国人民银行参事陈静表示,网上银行自身系统所面临的威胁无外乎以下三点:银行交易系统被非法入侵;信息通过网络传输时被窃取或篡改;交易双方的身份识别,账户被他人盗用。

  “由于银行开展网上银行业务需要承担的风险远高于银行客户。因此,像国内已开通‘网上银行’业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证网上银行的安全运行”,陈静说。

  同时,为了防止交易服务器受到攻击,银行还采取了许多有效措施保障系统的安全有效运行:

  1. 设立防火墙,隔离相关网络

  这其中一般采用多重防火墙方案,可以很好地分隔互联网与交易服务器,防止互联网用户的非法入侵。同时,用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

  2. 高安全级的Web应用服务器

  服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

  3. 24小时实时安全监控

  例如目前许多银行所采用的ISS网络动态监控产品,可进行系统漏洞扫描和实时入侵检测。据中国工商银行电子银行部副处长周永林介绍,在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均得以幸免于难。

  而由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通信过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,目前,工行、招行与建行等都已经采用了有效密钥长度为128位的高强度加密。

  探员支招

  网上银行交易系统的稳定与安全,是交易得以顺利进行的基础与保障,如果说银行只有在出现问题以后才去弥补自身的不足,必将会被用户所淘汰。所以,面对目前层出不穷的攻击形式与无所不在的安全危机,只有积极、主动的不断升级自身系统,才可以真正做到防患于未然。一直从事北京招行技术管理方面工作的王建恒在这方面非常有经验,他认为银行不仅要在客户终端和银行服务器之间使用保密协议,确保数据传输的安全性,还应该在操作上进行合理的流程控制。另外,网上个人银行必须采取双层密码保护,客户在输入卡号和密码的同时,还要输入一个动态的附加密码,这样,银行就能对每一笔业务进行风险控制。

  值得一提的是,招行、建行等都先后推出了USB Key个人数字证书。该证书的外形与闪存盘产品类似,小巧便携,其核心是一块能实现加密运算的芯片,使用时,可在USB设备内部完成核心的安全识别和加密运算,然后再将加密信息返回给PC系统。这样,客户可随身携带该数字证书,随时随地使用网上个人银行专业版,既安全又方便。但这种USB Key每个平均需要二三百块钱的使用金额造成了其推广的难度,因此怎样降低其使用成本、更好地服务于用户应该是银行目前需首要解决的问题。

  另外,在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。所以,用户的惟一身份标识就是银行签发的“数字证书”。

  由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。

   【行业篇】让每人都有一把保护伞

  案件回放

  据电视台2004年12月10日报道,因为登录假中国银行网站而损失2.5万元的呼和浩特市的胡先生,已正式要求中国银行赔偿其损失,但遭到中国银行的断然拒绝。中国银行方面表示,他们已经不是第一次碰到这样的事情,银行以前也从未有过赔付的先例,这次他们也没有任何理由要进行赔偿。而胡先生却坚持认为“银行应该赔钱”。

  查找漏洞

  相比之前的案例,这个案件最为复杂的地方就是关于权责的划分。首先,2.5万元确实不是一笔小数目,对于胡先生的损失,想必谁都会表示同情,但真正涉及到责任的承担,人们的看法与理解却不尽相同。

  按照胡先生的说法:“我是出于对该银行的信任,才把钱存到了这里,作为银行,你应该对我的资金进行妥善保管。”他还表示,按照银行的相关规定,用户的卡和密码丢失以后所造成的损失由用户承担,但现在的关键问题是自己的卡一直没有丢。那么对于这样的情况,银行又是如何看待与顾客的权责问题呢?

  中国银行西单大厦营业部一位姓刘的工作人员表示:银行对责任划分的一般原则是先分清是属于自己的责任,还是属于他人的责任。在这个事件中,是用户自己保管着密码和银行 卡,而且是由于其自身的原因上了假网站,导致卡和密码失窃造成了损失,那么,这样的情况下,责任应该由顾客承担。

  由此看来,银行判断用户的损失责任界定标准是要分析损失是银行内部的系统问题或者其他问题造成的,还是因为用户自己保管不慎或者密码的失窃造成的。

  当记者咨询过中国建设银行与浦东发展银行的电子银行部负责人后,他们也认为,出现假网站,并不是银行所能左右的,所以造成卡号和密码丢失的过错并非属于银行。同时,像工行、招行的有关人士还表示,在自身银行发现假冒网站后,总行都会与公安机关积极配合,对假网站及时予以关闭,并对储户挂出了警示公告或安全提示,这说明银行在事前、事后都没有过错,已经尽了自己应该注意的义务,因此要求银行承担赔偿损失的责任是丝毫没有根据的。

  专家分析

  虽说都是有理有据,但以上的这些都只是当事人双方的一面之辞,难免会有失偏颇,用户上假网站造成损失要银行赔钱,可银行又说自己没有责任,那么用户的损失到底该由谁来承担呢?还是让我们来听听法律专家的论断。

  据清华大学法学院副教授汤欣表示,从法律的层面上讲,有过错的行为人要承担他的行为责任,所以在这个案件中,需要索赔的对象首先是行骗的人,是他们的欺诈行为导致用户账号和密码失窃,直接造成了用户的财产损失,这一点毋庸置疑。

  而中国政法大学一位民商法专家也认为,按照目前的证据来判断这个案子,银行应该没有赔偿责任。但他同时也表示,这只是一个暂时的现象,是由于法律调整滞后于现实造成的。相信在未来立法时,可以考虑将目前银行一些可有可无的做法,上升为强制性的规定,比如,银行必须为网站设立更明确可靠的防伪技术,让消费者很容易辨别真伪,以及银行必须设立专职人员进行网络巡视,及时防堵假冒网站等,增加银行一方的义务,最大限度地保护用户的利益。

  当纠纷产生以后,双方最关心的都是能否通过正规的法律途径有效的解决问题。近年来,因为泄露银行储蓄卡导致存款被他人骗取的纠纷时有发生。而由于国家一直未出台相应的法律规范,以致于关于此类新型案件应否作为民事案件受理的问题,在法律工作人员之间也存在着“应该受理”和“不能受理”的不同看法。

  不过,就在本文截稿前夕,记者最新获悉四川高院日前已专门就此问题发函至最高人民法院请示。而最高人民法院也于8月1日公布了《关于银行储蓄卡被泄露导致存款被他人骗取引起的储蓄合同纠纷应否作为民事案件受理问题的批复》,也就是说,从批复颁布之日起,因为银行储蓄卡被泄露,而存款被他人使用假卡取走的“存款神秘丢失案”,存款人可以到法院状告银行。由此,我们也看到了国家对网络银行交易安全的重视,相信随着国家相关法律的日益完善,网络交易的环境也会越来越安全。

  探员支招

  除了期待国家相关法律的正式出台以外,当一再面对用户与银行发生纠纷时,我们也希望能有一个公正、权威的第三方出来为双方主持公道。这就需要像银监会、中央银行等机构对网上银行的各种风险进行监控。

  根据《网上银行业务管理暂行办法》的要求,商业银行应建立网上银行业务信息管理系统,中国人民银行可开发与商业银行对接的信息管理系统,中国人民银行应对商业银行的网络业务有“重点”地监管,即对商业银行的网络批发业务予以跟踪监督,对于零售业务则注重其发展方向的变化。

  同时,从国外金融业发展情况来看,“混业经营”是趋势,特别是网上银行将大大加快我国“混业经营”的进程。网上银行货币虽加快了银行资金的周转速度,降低了交易成本,但金融风险也因电子货币流转环节的复杂性和交易对象的广泛性等因素而上升,使得监管当局面临着逃避管制的风险。

  再有,传统的监管手段可能导致对网上银行业务无法实施高效、全面的监管,作为金融监管当局,除了制定具有针对性管理办法外,还应加快自身电子化建设步伐,依托先进的科技手段,实施非现场监测,以不断适应金融监管中出现的新情况新问题。

  现阶段,在审批过程中,应严格制度建设。网上银行的公示、信息披露、内部控制和系统设计等制度性安排,必须严格审批。但对网上银行的硬件设施配备、技术投人、人员配置不宜干预过多,应当给银行以适当的弹性空间使其根据自己的实际情况进行筹划投资,避免因行政干预造成不必要的资源浪费。同时,还要重视风险防范、化解机制。网上银行的设立或新业务的开展,必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案、计划。

      相关链接 安全使用网上银行七大秘籍

  1. 核对网址

  客户在登录网上银行时,应留意核对所登录的网址与协议书中的法定网址是否相符,谨防一些不法分子恶意模仿银行网站,骗取账户信息。

  2. 妥善选择和保管密码

  密码应避免与个人资料有关系,不要选用诸如身份 证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。密码应妥善保管,避免将密码写在纸上。尽量避免在不同的系统使用同一密码,否则密码一旦遗失,后果将不堪设想。

  3. 做好交易记录

  客户应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。

  4. 妥善保管数字证书

  网上银行用户应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。

  5. 对异常动态提高警惕

  若遇重大.事件,系统必须暂停服务,银行会提前公告客户。客户如不当心在陌生的“银行网址”上输入了银行 卡号和密码,并遇到类似“系统维护”之类的提示,应立即拨打银行客服热线进行确认。万一发现资料被盗,应立即修改相关交易密码或进行银行 卡挂失。

  6. 安装防毒软件

  为电脑安装防火墙程序,防止个人账户信息遭到黑客窃取。建议安装防病毒软件,并经常升级。

  7. 堵住软件漏洞

  为防止他人利用软件漏洞进入计算机窃取资料,客户应及时更新相关软件,下载补丁程序。

您可能感兴趣的文章:
阅读全文