编者按：近来，木马攻击更加利害了，网络银行密码极易被木马窃取，网银交易受到了前所未有的冲击。但在网银用户越来越多的今天，我们该怎么办？

木马攻击就在我们身边
无赖，我们需要网络银行
法规应对，转账超千元需双重身份认证
双重身份认证应对攻击
双因素动态密码系统撑大局

       关于网络银行发生骗盗的事件已经不是什么新鲜事了，近两年来，网银安全事件的报道不断见诸报端。甚至于，老百姓都自发地成立了网银受害者联盟。其中，比较有名的就是“工行网银受害者集体维权联盟”了。我们会发现，网络银行骗盗事件在不断的发生。

    一位来自工行网银受害者集体维权联盟的成员这样描述着：本人持有一张工商银行卡，开通了网上银行转账功能。2007年9月18日下午5点半左右，我进入我的网银账户给客户转一笔146454.54元的转账业务，从我的收款人当中选中收款方，然后到转账页面，直接输入金额，然后确认，我确定整个过程没有看到其他名字。当时我就到转账汇款查询回单打印里面去打印回单，却发现我的收款人是另一个我从不认识的名字:李辉......

    但有一个值得注意的现象就是，尽管网络银行被盗事件不断被报道，但更多的老百姓却视之为偶然事件，这好像跟自己没有太大关系。真的是这样的么？

木马攻击就在我们身边

　　网络银行骗盗发生时，可能是因为银行网站受到了攻击，更有可能是用户电脑受到了侵入。例如黑客首先在用户电脑系统注入木马程序后，驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客，他们再据此进行反读取以破译，钱便被黑走了。

   自2007年12月起，自横扫网络的“灰鸽子”事件之后，盗取网银账号能力强百倍的“黑鸽子”、网络钓鱼等木马黑客程序再度普及性的爆发了。例如Backdoor/Huigezi.2007.enk、auot.inf等木马黑客程序，它们的共同特征就是应用了基于反弹入侵和插入进程技术，用户一旦被感染，在正常开机下也查不到其进程。因而，一些杀毒软件也无法防御，一旦感染，它能洞穿被入侵电脑的防火墙从而控制系统桌面、鼠标、摄像头。

   可能，大家并没有因为网银被盗来体验木马黑客的危害性，但你可以通过QQ密码被盗来进行模拟式的体验。

   近几个月来，不少人的QQ密码被频繁盗取，笔者就接到了很多网民的诉说。其表现的情况是：每当你登录QQ等及时通讯工具时，系统就会提示你，你的QQ在外地异常登录，你需要重新获取新的登录密码，才能再次登录。这种情况就表示，你的电脑已经被木马黑客程序控制了。换句话说，如果你用这台电脑去登录网上银行，那网银密码将岌岌可危。

   全新的木马黑客攻击已经影响到了每一个网民，对于很多普通网民来说，已经对网络产生了一种惧怕感。

   笔者的一位专门搞网站软件开发技术的朋友，需要时常通过招行银行打款给笔者，为了打款，他每次都到营业厅去排半个小时队，然后通过银行操作员把钱打给笔者。笔者就很奇怪地问他：为何不申请一个网上转账功能，这样多方便。“我是专业搞网站软件开发的，更知道网络银行不安全啊!”他这样坚定地回答。

无赖，我们需要网络银行

   网银很危险很暴力!但使用的人还是越来越多。
  
   在日常的工作、生活中，通过网络银行给别人打款时非常方便、高效，通过网络银行进行炒股投资、网络购物时也非常高效。例如中国建设银行（亚洲）高级副总裁&首席信息官梁建文先生讲了这样一个例子：

    2007年8月8日，3点15时，香港股票市场还没有停，香港的股市下午7点钟才停，而3点15时，刮起了8号风球，特大龙卷风给香港造成了巨大影响，这也可能会给股市造成冲击。而此时，人们的电话在不停在打，打回家去，打给小孩子.... 此时，要买卖股票怎么办，到交易中心的电话已经很难打通了。怎么办？上网，在网上进行股票买卖。网上交易是最方便、快捷的方式。

   此前据《人民日报》的统计：一位该报记者走访了北京的4家国有银行的居民区营业点，发现平均排队等待时间为85分钟，最短56分钟，最长167分钟，“大厅里不少客户，有的带着书报，有的打着毛线，还有一对情侣嗑着瓜子谈恋爱，显然都作好了‘持久战’的准备。”

　　当有人在银行营业厅花一个小时排长队来打款，这还不包括去银行的路上时间。通过网络银行，仅需要几分钟就可以完成给别人打款的任务。相比起来，网络银行的方便与高效率的优势极其吸引人。

     据iResearch的调查显示，中国网上银行用户的数量近几年快速增加，2005年为2682万人，2006年就达到了3610万人，2007年则到了4440万人，，年的时间内接近提升了一倍。iResearch的调查数据证明着：尽管网络银行交易存在隐患，但由于其方便与高效，其普及率越来越高。同时，iResearch的调查还显示，很多网民不使用网络银行的原因中，“对网上银行的安全性不放心”的比例占了68.1%，这是阻碍网上银行应用的最大问题。

    我们不得不面对这样的尴尬：对于不少人，网络银行很可怕，但我们不能不用!

法规应对，转账超千元需双重身份认证

    如果说，网银骗盗事件的报道属于民间的力量反应，那银监办[2007]134号令则是国家的法规形式来解决这个问题。

    2007年年中，银监办向各银监局，各政策性银行、国有商业银行、股份制商业银行，邮储银行发布了[2007]134号通告：为加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用，预先注册在银行的本人用户名及口令/密码；附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。

    什么样的网银交易才算高风险账户操作？通告对此做了进一步解释：各商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括：向非本人（不含与本行签订业务合作等法律协议和客户预先约定的指定账户，如：代收费、第三方支付、贷款还款帐户等）账户转移资金单笔超过1000元或日累计超过5000元。

   银监办还向银行要求：对于身份认证强度相对较弱的网上银行账户操作，商业银行应充分评估风险，相应进一步采取控制措施（如：限制资金转移功能、限定资金转移额度等）进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。

    银监办的通告意味着：对于银行来说，面对高风险网银交易，要么部署硬件USB数字证书，要么部署双因素动态密码认证等几种双重身份认证系统。无疑，银监办的这种做法，将非常有利于解决老百姓的网上银行之苦。

双重身份认证应对攻击

    我们知道，当网络银行骗盗发生时，可能是因为银行网站受到了攻击，也可能是用户电脑受到了侵入。不过，就目前而言，黑客想打银行网络系统的主意并不是一件容易的事，毕竟国内各大银行经过网络系统的防攻击保护措施之后，安全问题得到了极大的解决。而整个网络银行交易的过程中，个人用户的电脑则是一个短板。

    一般来说，黑客在用户电脑系统注入木马程序后，通过截取、监控用户电脑，来获取账号及密码，然后，再通过获取的账号及密码，重新登录网络银行账户，再将用户的钱转入第三方的账户中，完成盗取。在这个过程中，前提是黑客获取账号及密码是可用的。

    为了打破这个流程，我们引入第二重的身份认证机制，例如硬件USB数字证书、双因素动态密码认证机制、动态电子银行口令卡等，在这种情况下，要完成转账交易，除了输入原来的账号及密码外，还需要使用独立的硬件USB数字证书，或者由独立的双因素动态密码机产生的第二重密码。而第二重认证，是不会跟网络接触的，这就保证了用户不会受到黑客的攻击，从而保障网银的安全。

    现在，国内各大银行都采用了相应的双重身份认证系统。例如，工商银行、建设银行、招商银行、交通银行都采用USB硬件数字证书的方式来确保高风险转账交易的安全，采用数字证书就是一种比较好的解决办法，这也是当前各大银行普遍采用的措施。

    其中，招商银行的数字证书认证分成硬件数字证书和软件数字证书两种，前者要收取U盘的工本费100元，后者可以不收费，招行网银证书是不允许备份在直接备份在硬盘上，只能备份U盘、移动硬盘等设备上，这也是为了网银的安全性考虑，以防他人漏取证书。对于软件数字证书，因为可能被U盘复制、拷贝走，所以存在安全问题。而对于硬件数字证书，它同特定的U盘绑定，除非硬件U盘被盗，数字证书是不会被盗的。

    另外，工行的U盾跟招行的USB硬件数字证书差不多。办理一个U盾一般80元，有了U盾等于加了一把安全锁，即使客户的账号、密码等个人信息被窃，若没有U盾，也无法将客户资金转移。客户只要保证U盾、U盾密码、账号（别名）、登录密码和支付密码这些所有的安全措施不被同一个人窃取，资金损失的可能性几乎为零。可以这样说，U盾是目前网上银行客户端安全级别最高的一种安全工具，只是价格较高。

双因素动态密码系统撑大局

    当大家都认为硬件USB证书可以保证网络银行交易安全时，前不久网上又传出有用户使用硬件USB证书时，钱也被盗取了。当然，这是一个偶然现象。为了保证网络银行安全，我们还有一种做法：双因素动态密码保护。

    现在采用双因素动态密码保护的银行有兴业银行、建设银行等。例如，兴业银行采用了双因素动态密码认证，用户使用动态密码进行双因素认证的方式非常简单，登录进“外汇宝”业务后，用户输入静态密码和动态密码令牌中一分钟一变的动态密码，就可以安全地进行外汇交易。 这种方式的好处是，黑客即使取得消费者的密码和其他个人资料，只要用户手中的动态密码令牌没有丢失，资金安全就有保障。

   因为双因素动态密码保护系统相对复杂，国内各大银行往往采取与网络系统供应商合作开发这套系统。其中，他们合作的供应商主要有RSA、Safeword等双因素动态密码保护系统厂商。

    据从事银行RSA双因素动态密码保护系统建设的上海动联信息技术有限公司中国首席营运官沈勇坚先生介绍：从安全性来讲，RSA的双因素动态密码认证的安全程度是非常高的。它一分钟变化一次密码，并跟电脑系统安全隔离，黑客无法通过网络获取密码，除非这个RSA令牌卡丢失，密码才有可能泄露。

    可以确定的是，如果一个密码生成器完全与网络隔离，那黑客将肯定无法得到它的。当然，双因素动态密码认证体制的第二重密码也需要通过网络传播，但它一分钟变化一次，并且一个密码成功登录一次后就失效了。就算黑客得到了这个密码，也没有用。

    网络银行，我们需要，并且更需要安全的使用!