网银资金被盗,页面白屏 网银资金被盗之过？

　　从2006年以来，中国的股市一路走高，牛气冲天，人们纷纷投身到炒股大军中来，不知不觉间，股市开户数已过亿。日益火爆的股市交易给传统的柜面交易带来了巨大的压力，股民往往在牛市行情时因抢不到交易机而痛失良机，与利润擦肩而过；另一方面，银行的加息以及层出不穷的金融新产品引发了新一轮的转存热，大量储户涌向银行，加剧了银行柜面服务的压力，银行网点“排长龙”现象愈演愈烈，服务效率低下。
　　有没有更好的办法来缓解这些问题？答案是有的，基于Web服务的网上银行交易系统是很好的选择。但是，网上木马病毒的肆行，网银资金丢失案件的频频发生，使人们对网上银行的安全性产生了怀疑，对网上交易望而生畏。
　　本期特组织网上银行交易安全的主题报道，一方面提醒人们提高网银安全的防范意识，另一方面，通过专家的讲解，学习如何防范网银安全的方法。
　　
　　便利的诱惑
　　
　　从1996年中国银行首次将传统银行业务延伸到互联网上，到目前为止，国内几乎所有的商业银行都推出自己的网上银行。据公开数据显示，目前中国有近1.6亿网民，而网上银行个人用户数量已超过了4000万个！
　　网上银行之所以能发展如此迅速，与其巨大的便利性分不开。
　　
　　便利的诱惑
　　
　　近年来，在国内商业银行处理资金业务排长队的现象，已经多次被人们诟病，也多次被各类媒体批评，但情况依然照旧。这种情况有多严重？不久前，记者因为要汇一笔款，下午2点到工商银行某办事处，到排号机上拿号一看，前面居然排了380个号，整个大厅也没有这么多人啊？而银行的8个柜台中，只有两个窗口在慢条斯理地办理个人业务，其余的大爷、大婶们在耐心地聊天、等待。按照这个速度，估计下午5点下班也无法办理自己的业务。于是无奈之下转到另一家更大的工商银行分理处，拿到排号条差点昏过去，前面居然排了590个号！而柜台的窗口情况依旧。看样子，当天根本无法办理自己的事情了。骂了几句商业银行后，转念一想，也不能怪人家银行，既然是商业性的赢利机构，银行对陪钱的小客户服务自然要压缩成本了，在商业利润面前，银行的社会责任自然要靠边站了。
　　无奈之下，因为时间太紧，才斗胆使用网上银行，资金几秒种就转走了。实在太方便了！难怪那么多的人开通了网上银行。
　　但是，在确认对方收到钱后，记者迅速取消了该账户，因为，这次转账，既没有使用数字证书，也没有使用动态密码，只是使用了简单的“用户名+静态口令”的方式，作为跟踪信息安全领域的老记者，本人深深地了解，这种交易的安全风险有多大。这次只是侥幸成功而已，比较起所冒的巨大的安全风险，这种便利性带来的好处实在大打折扣。
　　与记者有同样想法的，还有许多广大的网银用户。因为，近期发生的多起网银盗窃案件，给网上银行的安全问题敲响了警钟。事实上，到目前为止，安全性问题已经成为制约网银发展的主要因素。
　　
　　钱哪儿去了？
　　
　　以下是近期发生的关于网上银行资金被窃的几个真实的案例，它们都具有代表性，所以列举出来，实际发生的案件远远不止这么几起。
　　案件一: 呼和浩特市的一位市民，因登录了假的商业银行网站，结果账户里的2.5万元不翼而飞。
　　案件二: 曾经有一家公司的高管，将自己的银行卡和密码交给下属到银行办理业务，该下属利用银行卡和密码申请了网上银行，随后辞职，并通过网上银行转移走该高管的全部资金。
　　案件三: 福州沈先生收到了一条短信，发短信的是建行客服中心，内容大致为，沈先生银行账户向外转账了人民币3万元，经沈先生查询确认，其网上银行的账户中确有3万元被转到了别的账户上去了。同时沈先生还发现他的网上银行账户密码已经被人更改了。
　　案件四: 河南的陈先生在用网上银行给手机充值时，突然发现账户上的1600元只剩下了2.9元。郑州市公安局网络安全检察支队断定陈先生的钱是被人用木马病毒转走了。
　　案件五: 2007年3月10日，上海建设银行卡用户蔡先生由于进行网上银行业务导致账号被盗，16万现金竟被人通过网上银行分11次转出; 日前，上海警方经缜密侦查，在云南警方的大力协助下，一举侦破“3•10”特大网银盗窃案，犯罪嫌疑人白某和葛某在云南昆明落入法网。
　　这类案件实在举不胜举，每一次出现，都会惊醒一大批用户。难怪银行排那么长的队还依然有人契而不舍，难怪许多大爷大妈宁可拿着白纸黑字的存折也不愿意使用没有任何数字标记的银行卡！
　　
　　问题究竟出在哪儿？
　　
　　记者为此专门采访了国内一位专门研究网银安全的专家李先生，他告诉记者，从发生的一连串网银案件来看，几乎大部分都是因为仅仅采用了账号和口令的简单方式造成的。这是一种最简单也最方便的方式，同时也是一种最不安全的也。归纳起来，网银面临的主要风险有如下几种。
　　1.用户没有妥善保管好自己的口令和账号，将自己的账户信息外泄被他人利用。比如案件二就属于这种情况。
　　2.户使用了简单的口令字，很容易被攻击者用穷举攻击、字典攻击或猜测等方法获取。
　　3.“网银大盗”难以防范，“网银大盗”窃取用户银行口令字的方式主要有两种: 一是“网络钓鱼”，也就是利用欺骗性的电子邮件和伪造的网站来进行诈骗活动，用户一旦填写数据，就可能被对方获取; 二是利用木马和病毒远程控制用户终端。用户在被木马感染的电脑上使用网上银行，其卡号和口令字也会自动发送到黑客指定的邮箱中。案件一、三和案件四都属于这种情况。
　　4.用户虽然使用了数字证书，但是，使用的方式不安全，用户将数字证书对应的私钥保存为硬盘中的一个文件，而新出现的网银木马是具有复制数字证书和对应私钥的能力的，一旦私钥被黑客窃取，黑客就完全可以假冒用户进行网上银行转账操作。案件五就是用户使用了数字证书，其私钥被窃，从而导致资金被转出的案例。
　　
　　有解决方法吗？
　　
　　李先生介绍，其实对以上案件进行分析后我们可以发现，数字证书技术是保障网银安全的最有效、最便利、最根本、最成熟的技术。
　　数字证书本身是一个包含个人身份信息的特殊、权威电子文件，采用数字证书技术，可以有效解决互联网上“您是谁”的问题，能够保证用户在网上传送信息的安全，防止其他人对信息的窃取或篡改; 通过数字证书技术，用户还能对网上的交易进行电子签名，实现用户的“数字亲笔签名”。截止到目前为止，国内外还没有出现过一起因为证书密码被破译，而使用户资金被盗的案件。
　　上述影响力极大的案件五只能证明: “一旦被别有用心的人盯住，就很难逃脱资金被窃的命运。”而并不能证明数字证书不安全。一位参与侦破该案件的专家马先生介绍，几种偶然因素加在一起，才造成了被害人资金的被窃: 首先，受害人蔡先生采用的是Windows中的软件数字证书，很容易被网银木马复制; 其次，网银木马是菜先生的所谓朋友，也就是犯罪人通过阿里巴巴的电子商务交易系统传送过来的，蔡先生以为是定单，于是运行了该软件，却不知，就这样将木马种在了自己的电脑中; 第三，因为是“朋友”，犯罪人很轻易地猜到了被害人蔡先生的口令。这几种看似偶然的事情整合在一起，结果是，电脑中的私密信息全部通过木马被“朋友”偷去。正可谓“家贼难防”啊！
　　数字证书之所以被称为最安全的技术，是其原理造成的。根据非对称密码学的原理，每个证书持有人都有一对公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由证书持人自己持有，并且必须妥善保管和注意保密。数字证书则是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件。CA完成签发证书后，会将证书发布在CA的证书库（目录服务器）中，任何人都可以查询和下载，因此数字证书和公钥一样是公开的。
　　可以这样说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在自己本地生成的，（如: 在自己所持有的KEY或CPU/IC卡中自动生成私钥，该私钥其他人是无法获取的），由证书持有者自己负责妥善安全保管。具体使用时，签名操作是发送方用私钥进行签名，接受方用发送方证书来验证签名; 加密操作则是发送方用接受方的证书进行加密，接受方用自己的私钥进行解密。因此，如果说数字证书是用户的网上数字身份证话，那么证书相应的私钥则可以说是用户的私章或公章。
　　在案件一中，当用户登录网站时，如果有数字证书在手，通过一种和银行互相确认对方身份的机制，用户就能够检查出这个网站的真假。只有双方的身份验证真实后，用户和银行之间才会建立一个安全、加密的信息通道，这样一来，用户大可不必担心会登录到假的银行网站而使自己的资金账户受到不法分子的侵扰。
　　在案件二、三中，即便是用户的卡号和口令被盗，但是如果使用了数字证书技术，别人是无法冒充用户的合法身份的，不法分子就不能够通过用户的用户卡号和口令对资金账户进行任何的操作。
　　在案件四中，不法分子使用的木马等病毒，即使植入了用户的个人电脑，获得了用户的账号和口令信息，也会因为无法获取安全介质中的用户私钥而不能够对账户资金进行任何操作。
　　硬件数字证书保证网银安全
　　李先生认为，硬件数字证书将是主要的发展趋势。
　　数字证书的用户私钥可被储存在带有智能芯片的IC卡和USB-Key的介质中，USB-Key是一种USB接口的硬件设备，可以将其称为“安全电子钥匙”。它内置单片机或智能卡芯片，可以存储用户的私钥或数字证书以及密码算法，并确保存储的内容很难被拷贝出来。利用IC卡和USB-Key内置的密码算法和用户的私钥或数字证书，可实现对用户身份的认证和交易的签名，做到了私钥和密码计算的安全。
　　1．数字证书与USB-Key相结合可以有效保护用户的私钥和密码算法的安全。
　　在案件五中，即便是用户的卡号和口令被盗，但是如果使用了安全USB-Key来存储用户的私钥和密码算法，黑客就窃取不到用户的私钥，可保障网上银行账户资金的安全。
　　2.数字证书与USB-Key相结合可以做到双因子认证（签名认证和口令认证）。
　　使用USB-Key存储用户私钥并实现卡内签名的认证方式可以与口令认证结合起来做到双因子认证，可以大大提高网银的安全性。即使USB-Key丢失或被窃，只要获取不到PIN口令，不法分子对网上的交易资金也是望尘莫及; 反之亦然。
　　总体而言，在一个缺乏信任的网络银行体系中，采用技术手段是最有用的，硬件数字证书目前被认为是最安全的技术手段。