使用网银会遇到五大高风险

据《北京晚报》报道，中国金融认证中心副总经理曹小青表示，网络银行使用的“软证书”存在安全风险。据称，利用网络银行对外转账，数字证书是不可缺少的。 这种证书分两类，一类存放在类似优盘的USBKey中，俗称“硬证书”，另一类存在电脑里，叫做“软证书”，后者成本低使用方便，更受普通个人用户的青 睐。不过，这种证书有一个缺点，那就是不强制用户设置口令，如果多人共用一台电脑，危险增加就是不言自明的了。“软证书”的私钥一旦通过木马程序导出复制 到其他电脑上，放着你秘密的电脑也就成了黑客手中随意宰割的“肉鸡”了。

看到这个消息，我想到了美国媒体去年发表的一则报道，虽然讲的不是同一个具体问题，可是说的却都是网络银行的安全缺陷。美国密执安大学的一项研究 发现，被调查的银行网站中，有超过百分之七十五存在设计上的缺陷，这种缺陷使得用户对网络窃贼盗取他们的身份卡以及钱财难以防范。

根据美国密执安大学的电子工程与计算科学系的教授阿图尔·普拉卡什与博士生劳拉·佛尔克和柯文·博德斯的调查，这些缺陷包括，将登录框以及联系信 息放在不安全的页面上，不能让用户从始至终访问一个网站。普拉卡什说，自从他们这个小组开始收集信息以来，有些银行已经采取步骤来解决这些问题，但是，总 地来说，还有很大的改进余地。普拉卡什说，“让我们惊奇的是，危及安全的那些设计缺陷广泛存在，包括美国的一些大银行。我们要求用户仔细，遗憾的是，用户 在进行网上交易的时候，某些银行的网站很难让其就是否安全作出判断。黑客利用这些缺陷留下的漏洞获取个人的信息和账户。这当中是否包括“证书”问题不得而 知。美国联邦储蓄保险公司.说，跟抵押诈骗、支票诈骗相比，计算机入侵相对来说尽管少得多，但是计算机入侵对银行和用户来说经常是灾难性的。美国联邦储蓄 保险公司曾经对五百三十六例计算机入侵案件进行了统计，每个案件平均损失三万美元。二○○七年的第一个季度总共损失一千六百万美元。计算机入侵在二○○七 年的第一季度和第二季度之间增加了百分之一百五十。在这些入侵案件中，百分之八十虽然来源不明，但是却都发生在网上交易过程中。根据他们的研究，最常见的 网站缺陷包括：

第一，将登录框放在不安全网页上。百分之四十七的银行网站有这个问题。黑客为已经输进登录框的数据重新选择路由或者以骗人的把戏来复制网页，从而 盗取信息。如果是无线上网，完全可以进行中间人工攻击而不需要改变银行提供给用户的链接，这样一来无论多有警惕性的用户都可能成为受害者。若要解决这个问 题，银行应该使用标准且需要敏感信息的安全套接层协议。多数银行的网站在某些网页上使用的是安全套接层协议，但是只有少数银行以这种方式确保其所有网页的 安全性。

第二，将联系信息和安全警示信息放在不安全网页上。有百分之五十五的网页存在这种最受攻击的缺陷。黑客可以改变地址或者电话号码，建立自己的呼叫 中心以便从需要帮助的用户那里收集私人信息。普拉卡什说，银行好像也不太注意在其他网站是否容易获取那些信息。可是用户认为，放在银行网站上的信息是正确 的。采用安全套接层协议制作网页就可以解决这个问题。

第三，允许信任链存在缺口。普拉卡什说，未进行某种交易，银行让链接跳转到银行域名以外的网站，但是却没有任何提示，这样用户不好对安全问题作出 明智的判断。他发现他们所调查的银行网站中有百分之三十有这个问题。网站界面改变，链接也会改变，用户很难知道是否应该相信这个新网站。普拉卡什说，要告 诉用户，他们要离开银行的网站进入一个新的可信赖的网站。银行也可以将所有网站放在一个服务器上。银行在使用某些外来网站的安全功能时，很容易出现这类问 题。

第四，允许使用不合格用户名和密码。研究人员调查了一些网站，发现有的用户使用社会保险号码或者电子邮件地址作为自己的身份卡，因为这类信息容易 让用户记住，可是也很容易让人猜出或者发现。研究人员还发现某些网站并没有对密码设置给出什么限制，要不然就是允许用户使用低密级的密码。百分之二十八的 网站有这样或者那样的缺陷。

第五，过电子邮件方式传送数据不安全。普拉卡什说，电子邮件传送数据的路径一般来讲很不安全，然而还是有百分之三十一的银行网站有这个缺陷。这些 银行向用户提供电子邮件密码或者结算单。如果是结算单，也常常不告知用户是否应该接收链接、真正的结算单或者可以提供结算单的通知。发一个通知没有问题， 但是通过邮件发送密码、链接或者结算单就不行了。

据中国金融认证中心不完全统计，二○○八年网上银行交易额接近三百万亿元，去年的国内生产总值才有三十万亿，有十倍于国内生产总值的资金是通过网 上银行交易的。这么大的交易量没有安全作保证是不可想象的。幸运的是，“软证书”已经有了保护软件，尽管如此，银行方面的责任，就像美国专家指出的那样， 依然有需要改进的地方，而且是随时改进，否则道高一尺，魔高一丈，今天安全，明天又不安全了。不久前中央电视台“三一五”晚会上揭露出来的“肉鸡”买卖就 是一个教训——改进永无止步。不过，在相关技术和法规还不能百分之百保证网络银行交易没有危险的时候，我们还是小心为妙，虽然不可因噎废食，也不能来个大 松心，因为我们中的绝大多数是“输”不起的。不仅要看好自己的存折与卡片，还要监控自己的电脑——那个家伙一旦被人攻占，后果不堪设想呀。