正   文

中国网上银行发展报道(六)

  

  第三方数字证书让“网银大盗”不再猖狂

  最近有新闻报道,某厂商截获了一种被称为“网银大盗”变种(TrojanSpy.Banker.gj)的木马病毒。据称“该病毒可以盗取多家网上银行及支付宝等系统的交易账户号和密码,同时,在中毒电脑中安装“灰鸽子”木马,黑客通过“灰鸽子”可以进一步远程控制中毒电脑,窃取电脑中所有文件,包括网上银行数字证书”。一时间,各媒体陆续报道了此事,并相继对病毒窃取的指定的某些银行和商户进行了采访,同时也指出对网银安全的质疑。

  在回应此事件中,有多家银行电子银行部相关人士表示,目前暂未收到有客户网银被盗的相关投诉。同时,银行人士和反病毒专家联合提醒网银用户,要保护好自己的电脑和交易密码,及时升级杀毒软件。

  那么,到底是什么原因导致会发生这种事情呢?对此,第三方安全认证机构中国金融认证中心(CFCA)的有关负责人表示,从技术上来说,“灰鸽子”病毒远程控制中毒电脑并盗取电脑中文件的可能性是存在的。如果用户用了数字证书,但没有采取合理方式储存数字证书,只将其作为文件证书的方式保存在电脑中,确实存在一定风险。但是,从目前情况来看,银行向客户推荐的主要是移动数字证书,此种证书以USB Key为介质,USB Key具有运算功能,能够保证客户证书的私钥不被窃取和复制,比普通U盘的安全级别高很多。因此,如果用户使用了储存在USB Key中的数字证书,即使“灰鸽子”,也无法向窃取文件那样,窃取到用户的私钥,当然,病毒能够操控计算机。随着技术的发展,目前市场上也出现了在USB Key上加按钮以确认交易信息,或通过将交易信息转换成语音提示提醒客户的新产品。通过这种方式,将证书持有人真正的参与到交易中,能够从根本上防止网银交易出现安全问题。

  该负责人还谈到,虽然技术在不断进步,但用户安全意识的提高才是真正防范此类问题的基础。因此,需要向广大客户提示的是:数字证书的安全,在于私钥的安全。而私钥是第三方安全认证机构CA通过对用户身份进行检验核实而向用户唯一签发的,只要用户自己不泄漏,其他任何人不可能得到,因此,妥善保管好自己持有的数字证书,是防范风险的重要前提。目前,意图窃取客户证书的病毒和木马层出不穷,广大客户应该在思想上提高安全意识,增强自己计算机的安全,安装杀毒软件和防火墙,防止非法程序侵入;同时,也应该采用更加安全的证书存储方式,如:带有确认功能的USB Key,来保证自己网银的安全。

  除了传统的特洛依木马、各种病毒黑客等程序外,“网上钓鱼”也是近几年出现的新的网上攻击手段。他们通过电子邮件或者外表酷似真正的商务网站、银行网站,利用客户的疏忽和麻痹大意,从而达到盗取用户的银行账号及密码的非法目的。从目前发现的情况来看,“网上钓鱼”的具体形式大致有以下几种:一是发送电子邮件,以虚假信息引诱用户中圈套。二是建立虚假网上银行、网上证券网站,骗取用户账号密码实施盗窃。三是利用虚假的电子商务活动进行诈骗。四是利用特洛伊木马和黑客程序手段窃取用户信息后实施盗窃活动。五是利用用户弱口令认证等漏洞破解用户账号和密码。实际上,不法分子在进行网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、组合进行,还有的通过手机短信、QQ、MSN等通讯工具进行各种各样的“网络钓鱼”非法活动。

  综合之前发生过的案例来看,所有受害者都没有使用数字证书。专家指出,“网上钓鱼”等诈骗行为之所以得逞,是由于用户没有采取科学有效地防范措施和养成良好的互联网使用习惯,不法分子正是钻了网民这些安全意识薄弱的空子。从技术上讲,数字证书就是目前最好的安全工具,它采用了先进的密码技术,实现网上身份认证、信息加密、数字签名等功能,能够确保网上信息传递双方身份的真实性、信息的完整性、私密性、网上交易的不可否认性的功能,是被国内外普遍采用的,最根本、最有效的网上信息安全保障机制。

  有银行针对“灰鸽子”事件在接受采访时说,网银用户不必为此过分恐慌。银行为保护客户的账户安全采取了很多措施。比如网银大众版已经屏蔽了转账功能,只能查询,资金不会被盗用。而专业版则强制客户关闭浏览器远程终端选项才能启动,因此不必担心被黑客远程操纵。

  据了解,数字证书的应用涉及三个主体:电子签名人、签名依赖方、第三方电子认证服务机构CA。CA是数字证书的颁发、管理的核心机构,它是网上交易体系信任链扩展的基础,交易双方就是因为基于对权威的、第三方CA的信任,从而信任CA中心签发的数字证书持有人,建立起彼此信任关系的。第三方CA能够为交易双方规避风险,在发生网上交易纠纷时,第三方CA提供数据公正,对执行法律和仲裁提供依据,确保障交易各方的权益。2005年开始实施的《中华人民共和国电子签名法》、《电子认证服务管理办法》等相关法律法规,明确了电子签名的合法性,规定了类似网上银行这种向社会公众提供的服务中,必须由依法设立的第三方电子认证服务机构发放数字证书,提供安全认证服务。

  从上述技术和法律的角度来看,由合法的第三方电子认证服务机构颁发的数字证书,是网上信息安全的根本保障。

  ________________________________________________________________________________________

  相关资料:

  什么是数字证书:

  数字证书是由权威、可信、公正的第三方认证机构CA所颁发,是一个权威的电子文档,由公/私钥对组成。它是用户网上身份的惟一证明,是公钥的载体,与公钥对应的是惟一私密保存的个人私钥。公钥加密,私钥解密用于通信;私钥加密,公钥解密用于签名。至今为止,国内外还没有发现一例由于数字证书机制被攻破而使网上诈骗得逞的事件。它是交易双方的“网上数字身份证”、“安全保镖”或理解为防攻击的盾牌,能够保证用户网上传送信息的安全,防止其他人对信息的窃取或篡改;它还能对网上的交易进行电子签名,实现用户的“网络亲笔签名”。用户在进行网上交易时,证书会形成电子签名附在发给对方的交易指令上,从而使对方能够认定用户的身份,使他人无法破解、修改交易双方互相传递的信息。

  以网上银行应用为例:如果银行的网站和客户的浏览器都申请安装了第三方CA所签发的数字证书,并安装了CA根证书的公钥,那么当客户通过SSL协议通道登录访问网银服务器时,客户端与网银服务器之间就进行了相互认证。当用户登录网银服务器时,网银服务器首先利用事先已装好的CA公钥,去解密验证用户证书的CA签名,验证用户的真实身份;同时还需要检查用户证书的有效性,即网银服务器自动连接到CA的目录服务器,检查用户证书的有效期和是否进入黑名单(CRL检查),这一切若通过,证明该用户是银行的合法用户。除了上述网银服务器要验证用户的真实身份外,用户也要利用CA公钥验证银行网站是否是自己的真实开户行、检查银行证书的有效性等。

  虽然这一系列严格的认证流程看起来比其他安全手段较为复杂,用户操作起来不如用户名口令简单,但在安全级别上是完全可以放心的,并且,中国金融认证中心正在不断优化、完善客户服务体系,简化用户下载证书和使用证书的流程,力争为用户提供更为方便、快捷的服务。目前,采用了CFCA电子认证的网上银行还没有一个出现过“网上钓鱼”成功的事件;即使使用数字证书机制的网站被假冒,只要网站和客户的证书及私钥妥善保管,黑客的钓鱼伎俩是没有用的,换句话说,数字证书机制可以彻底杜绝网上钓鱼事件的发生。

  数字证书通常被储存在带有智能芯片的USB Key的介质中,USB Key是一种USB接口的硬件设备,可以将其称为“安全电子钥匙”。它内置单片机或智能卡芯片,可以存储用户的私钥或数字证书以及密码算法,并确保存储的内容无法被拷贝出来。利用USB Key内置的密码算法和用户的私钥或数字证书,可实现对用户身份的认证和交易的签名,安全性保障高,不仅私钥签名无须出卡,节省了主机时间,又做到了证书和私钥的保密。

  另外,用USB Key存储数字证书具有双因子认证功能,即强弱因子相结合的认证功能,一般的口令或USB Key的PIN(口令)都属于弱因子,而证书和指纹等属于强因子认证。强因子认证过程复杂、弱因子认证安全级别较低,而两者相结合的方式却能很好地解决了安全性与易用性之间的矛盾,既相对便捷,又具有私钥不出卡,黑客程序窃取不到、保障数字证书和私钥无法被黑客复制等优点。 USB Key有PIN(口令)保护,即使USB Key丢失或被窃,只要获得不了PIN口令,不法分子对网上的交易资金也是望尘莫及。可以说,“数字证书+USB Key”的方式是目前安全保护机制的最优组合,可以有效抵御“网上钓鱼”的攻击。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888