最近一个月的时间内,江苏连续发生了100多起网银用户被骗的案件,中国银行百名用户被钓鱼。另据RSA反欺诈指挥中心2010年12月报告显示,中国已成为遭受网络钓鱼攻击数量最多的五个国家之一,并较上月呈现了4%的增长。
国内专业的动态密码身份认证企业——上海动联信息技术有限公司技术总监胡永刚介绍了黑客犯罪的过程:近期的网络安全欺诈实际上主要是利用普通时间型动态密码令牌不能防钓鱼的漏洞。首先,犯罪分子通过发送诈骗短信,诱骗登陆欺诈钓鱼网站,并诱使用户输入帐号、密码和动态口令,在获取用户真实密码和动态口令后,在1分钟内犯罪分子快速登录中国银行网上银行官方页面完成转账。在短短的1分钟内,由于动态口令还没来得及更新,犯罪分子可以轻易登录客户账户,将帐户上的金额全部转走。
胡总监介绍说:“上述案例再次证明,安全问题是一个综合性的问题。上述案例中的被盗,并不是由于动态口令自身被破解或伪造造成,而是黑客通过钓鱼得到了真实的动态口令。任何单一的技术手段,在应用上,都可能存在漏洞。就像普通Usbkey不能防止木马攻击一样,普通时间型动态口令不能防止钓鱼。不过,合理应用动态密码,完全可以达到网络安全的要求。动态密码有多种种类,在国外是一个应用成熟的身份认证技术形式,因其较高的安全性、简单易用的模式而被网银用户高度认可。”
针对此情况,业内专家认为,像中国银行网银出现的问题,其实可以通过以下几种方式来避免:1、采用挑战应答动态令牌,用交易的关键信息作为挑战输入令牌,得到动态口令;这样交易信息就跟动态口令捆绑在了一起,黑客如果篡改了交易信息,认证将无法通过。2、建立用于交易确认的第二通道,如短信、电话等,当用户需要交易时,将交易信息和确认码通过短信或电话通知用户,用户输入确认码才能完成交易。3、交易风险实时监控,对于非常用的IP和不符合交易习惯的操作,进行动态密码二次甚至多次认证;通过上述方式,完全可以保障交易的安全。另外,动联现在能够提供更强功能的K8动态密码令牌产品,该产品拥有高于USBKEY的安全性,包含开机密码保护、主机验证、挑战应答、交易签名等方式,真正做到网银安全的无懈可击。
上海动联信息技术有限公司(dynamicode.com.cn)是身份安全领域的领先厂商,致力于身份安全产品的自主研发、生产、销售和服务,为政府、金融、电信、电子商务、网络游戏和企业机构等提供专业的身份安全产品和解决方案。
动联注册于上海张江高科技园区,在北京、广州、深圳、成都、杭州、香港等地设有分支机构。动联的动态密码身份认证系统和动码令终端已广泛应用于银行、证券、电信、企业、政府等国内外的著名企业和机构,如中国工商银行、中国银行、交通银行、中国移动、中国电信、国信证券、国泰君安证券,在同类产品中动联的市场占有率名列第一。
作为商用密码产品生产定点单位和销售单位、国家双软企业和ISO 9001:2008国际质量体系认证企业,动联坚持技术创新的核心理念,拥有强大的技术开发实力,不断致力于身份安全产品和动码令?身份认证中心的研发。动联拥有完善的资质,包括“商用密码产品型号证书”、“软件产品登记证书”、“计算机软件著作权登记证书”、“计算机信息系统安全专用产品销售许可证”、“涉密信息系统安全产品认证”、“产品信息安全认证证书”,并获得多项专利。
秉承“客户导向、卓越创新、正直诚信、全心投入”的企业价值观,动联将努力实现“保障电子交易和信息系统的安全,成为身份安全产品和服务领先者”的发展愿景。