專家曝光網銀“高危用戶”

　　網上銀行是否安全？是否還能讓大家放心使用？在央視“3·15”晚會對黑客產業鏈曝光之后，這一直是熱點話題。艾瑞咨詢機構的調查顯示，近三成的用戶決定減少使用網銀，近六成的潛在用戶決定推遲使用。而北京晨報記者調查發現，網銀的安全問題有被用戶在心理上夸大的嫌疑，絕大多數所謂的“網銀大盜”，不過是一群談不上技術含量的“普通騙子”。“我們也怕這影響了用戶的判斷。”中國工商銀行電子銀行中心業務管理處副處長孫宗群對北京晨報記者透露，容易丟失網銀賬號和密碼的“高危人群”，其實只有兩類：一類是急性子，一類是馬大哈。

　　案例：錢從銀行不翼而飛

　　金山互聯網安全公司工程師王嗣恩最近正在幫人處理電腦中的病毒，試圖找回從網上銀行中丟失的幾千元錢。

　　“丟錢時，老太太正好在網上買電話充值卡，準備付賬時，支付頁面突然彈出網上銀行系統正在升級的通知，不但要求用戶重新輸入銀行卡密碼，還要求用戶輸入更加機密的手機動態密碼，而當多次輸入均‘無效’后，電腦就黑屏死機、系統崩潰，老太太以為是電腦問題，于是就讓兒子重裝了系統，第二天上網一查，才發現幾千元錢都已從網上劃走。”

　　王嗣恩幾乎可以確定用戶的被盜源于某種病毒，當病毒“探知”用戶正要打開支付網站或者銀行網站頁面，它就會自動發出“銀行系統升級”的假頁面信息，騙取卡號、密碼以及其他加密措施的密鑰，再直接破壞系統。“其實只要當時拆下硬盤，就可以找到盜取者和病毒的信息。”

　　“我朋友的例子算得上典型，但其實并不多發，可只要出了一例，就會讓大家特別害怕，這應該是目前網上銀行安全的現狀。”王嗣恩說。本版撰文 晨報記者 張黎明

　　最易攻破的人群：

　　急性子和粗心者

　　在王嗣恩看來，絕大部分網銀賬號和密碼丟失并不是在高級黑客的攻擊之下，而是盜竊者利用了人們心急的弱點和對網上銀行不熟悉，靠“騙”得來的，這一觀點和孫宗群相同。

　　孫宗群舉例說，有兩類用戶最容易成為盜竊目標，“一類是急性子，不管是在網上購物也好，跟別人交易打款也好，都想著快點完成。”來自支付企業支付寶的“反詐騙”提示也特別舉例說明，“一些網絡買家太急于購物，并沒有使用貨到后再打款的‘擔保’功能，而是聽信賣家的催促，使用了‘直接到賬’功能，這很容易上當。”

　　另一類則是粗心者。記者在調查中發現，利用病毒來騙取用戶卡號和各種密碼比較常見，但盜竊者需要為此制作假網頁和網站，“請客戶認真觀察，真正的銀行支付頁面，在地址欄都是用‘https’開頭，比普通的網頁多了個字母‘s’，瀏覽器右下方還有個小鎖圖標。”孫宗群認為，只要能細心識別支付網頁的真假，絕大多數被盜事件都能避免，“如果記不住那么多，請一定要記住那把鎖。”

　　最復雜的騙局：

　　網上銀行安全軟肋

　　當然，要對網上銀行動手腳并非不可能，但這要求盜竊者具有一定的技術基礎和耐心。實際上，目前網絡銀行普遍采用的三大安全措施都可以找到漏洞，只要黑客用心琢磨，而又恰好碰上了用戶的“配合”，盜走賬戶中的財產并不難。

　　被認為最安全的防護措施 “硬證書”U盾，都有可能出問題，“一種情況是黑客已經遠程控制了你的電腦，又正好發現了你的網銀賬戶里資金充裕，這時候，如果你使用完網銀還沒及時拔掉U盾，這種最安全的保護措施自然就失效了。”王嗣恩說。而孫宗群給出的例子則更為復雜，“我們曾經遇到過一種情況，騙子先發過來一個假網頁騙走了卡號和密碼，隨即登錄用戶的網上銀行，卻發現還需要U盾才能提款，因為無法攻破U盾，于是他接下來給出真的支付頁面，但卻悄悄改動了支付金額，用戶一不小心就上當了。”

　　對另一種防護措施“口令卡”來說，支付密碼也必須靠騙取。孫宗群舉例說，“同樣是先用假網頁騙得卡號和密碼，接下來，偷盜者會制造網站正在升級等假象以爭取時間，繼續騙取用戶的口令卡密碼，最后，騙子再登錄用戶真正的銀行網站完成轉賬。”

　　相對而言，第三種保護措施“軟證書”（也就是直接下載到電腦中的數字證書）的風險更大一些，不過，中國金融認證中心的信息安全專家提醒說，目前已經有專門保護軟證書密碼的“保險箱”技術，如果用戶采用，能大大提高安全性。

　　最有技術含量的威脅：

　　讓電腦成為“肉雞”

　　在所有的偷盜方式中，最有技術含量、也最讓用戶無可奈何的一種就是“遠程控制”，也就是讓用戶的電腦成為黑客圈子里俗稱的“肉雞”，這才是真正的“偷盜”。

　　本報在2007年3月曾經對這種“肉雞產業鏈”做過報道，當時，每一只“肉雞”的價格在0.1元到1元不等，因為有人在網上販賣遠程控制程序，買賣“肉雞”資源也很流行，資深商販一個月內可以抓到10萬臺電腦，進賬萬元。而一旦電腦成了“肉雞”，黑客通過遠程監控，控制用戶電腦中的各種資源，自然就能得到卡號和密碼，也根本不用騙取軟證書密碼，甚至可以利用硬證書U盾正插入電腦時趕緊取錢。

　　“不過，這多半是一次性的。”王嗣恩說，用戶往往都設了一次轉賬的上限，如果不是靠設置虛假交易的騙取來配合，光是靠偷，黑客也只能隨著用戶的行為取一次錢，而用戶一旦發現，馬上就會請求銀行封掉賬戶，這樣，黑客也只能等待下一次機會。“‘肉雞產業鏈’現在仍然紅火。”王嗣恩說，“但主要不是用來控制網銀的，除非它偶然發現你的確很有錢，或者是熟人之間有意為之。”而且，現在殺毒軟件的技術已經可以檢測出你的電腦是否成了“肉雞”，以便幫助用戶及時脫身，這對于灰色產業鏈來說也是一次巨大的打擊。