[]  
今日导读
最新通知
外服E家亲
 
外服在线>>今日导读>>
U盾未拔引来大盗(续)

作者:卜瑜、杨帆 来源:《新安全》


   
 3招防范自己沦为“肉鸡”

     目前各银行普遍使用了USB-Key,也就是俗称的U盾作为大额网银交易的保障。办理了相关业务的用户,只要USB-Key没有被盗,就算账号密码泄露,也无法被窃取网银账户中的钱。但市民如果使用USB-Key后,没有及时从电脑USB接口中拔下来,此时不法分子就可以用木马程序使防守薄弱的个人电脑沦为“肉鸡”,利用远程后台操作的方式,让USB-Key里储存的数字证书认为非法操作者为合法用户,从而允许非法操作者向外转移资金。
   
     因此,大家在操作网银时最好不要长时间将USB-Key插在电脑上,办理完业务后立即将其拔出。其次,电脑里除了安装正版杀毒软件外,还需要安装木马防火墙和网络防火墙,这些安全软件都要开启自动升级功能。此外,网民们在上网过程中,不要打开不明电子邮件及其附件,注意防范“钓鱼”网站,不点击可疑链接。
   
     
识破“钓鱼网站”

     “网络钓鱼”是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。由于它的手段基本就是通过网络用一些诱饵(比如假冒的网站)等使用者上当,很像现实生活中的钓鱼过程,所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的账号、密码等重要信息,使用户受到经济上的损失。
   
     最典型的网络钓鱼是将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,使他们可以假冒受害者获得经济利益。受害者经常遭受显著的经济损失,或全部个人信息被窃取并被用于犯罪的目的。
   
     所谓“钓鱼网站”是指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
   
     目前互联网上活跃的钓鱼网站传播途径主要有8种:
   
     1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
   
     2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
   
     3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;4、通过微博、Twitter中的短连接散布钓鱼网站链接;
   
     5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
   
     6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;
   
     7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;
   
     8、伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
   
     
五招防范“网络钓鱼”

     1、查验“可信网站”
   
     通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证----“可信网站”,可帮助网民判断网站的真实性。“可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心(CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。
   
     2、核对网站域名假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。
   
     3、比较网站内容假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。
   
     4、查询网站备案通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。
   
     5、查看安全证书目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。
   
     
国内网银总体安全
  目前,国内网上银行总体来说是安全的。这一点,可以从网上银行的服务器、互联网和客户端三个区域说明。
   
     首先,网上银行的服务器部分通过防火墙、防病毒系统、EV证书等进行保护。部分银行通过部署交易监控及反欺诈系统,能够区分甚至拦截欺诈交易行为。如某人短时间内多次在不同地区转账,这时银行监控系统就会进行拦截。另外,银行内部系统的管理规范,避免了内部作案的可能,也减少了不法分子入侵的渠道。当然,银行也会定期对信息系统进行安全评估,及时加固脆弱环节。中国金融认证中心(CFCA)以及其他第三方安全认证机构,也会为银行提供安全服务。
   
     其次是客户端部分。客户端离不开多重密码保护。使用过网银的人都知道,网银有登录密码、交易密码、验证码等。多重密码保护本身就提升了网银的安全性。此外,传统的用户名口令、刮刮卡、动态口令、数字证书、短信确认、usbkey等多因素认证方式相互结合,也能提高网上银行的安全性。
   
     其三,银行通过非对称和对称加密相结合的方式来保护互联网传输部分的安全。
   
     
设置网银密码有诀窍

     设置各类密码时,避免使用相同的数字序列、生日、电话、身份证或账号等,一般用途的密码不要和网上银行的密码相同。不要将密码记录在纸张上或储存在电脑中。开车有开车的钥匙,家门有家门的钥匙,如果所有钥匙都是同一把,那就太危险了。其实网络是一样的。很多人都觉得只用一个就行了,其实一样危险。
   
     选择较为固定安全的上网地点,避免在网吧等公用电脑上使用网上银行。因为那些地方的电脑你不熟悉,不知道那里是否安装了监控程序。
   
     经常升级杀毒软件,为电脑安装防火墙程序,定期查杀病毒、木马,做好个人电脑的安全工作。互联网开放性太高了,如果不装防护程序,和家里不装防盗门是一个道理。(编辑:Shannon)



“外服在线”所发布的文章内容仅供注册用户参阅,并不代表本网站赞同作者的观点。


下一篇: 我国已连续8年增加企业退休人员养老金
上一篇: U盾未拔引来大盗