防范“網(wǎng)絡(luò)釣魚(yú)” 動(dòng)態(tài)密碼保障網(wǎng)銀賬戶無(wú)懈可擊

　　(聯(lián)合電訊社/上海)--2011年1月10日至今，江蘇省內(nèi)不少網(wǎng)銀用戶收到這樣一條提示短信。“尊敬的網(wǎng)銀用戶：您的中行E令即將過(guò)期，請(qǐng)您盡快登錄www.bocccb.com進(jìn)行升級(jí)，詳詢95566。”蘇州唐先生恰好是中國(guó)銀行的網(wǎng)銀用戶，他在家中電腦上登錄升級(jí)，可當(dāng)輸入用戶名、密碼、動(dòng)態(tài)口令后沒(méi)幾分鐘，發(fā)現(xiàn)卡內(nèi)的198萬(wàn)余元被分兩筆轉(zhuǎn)走。原來(lái)，唐先生中了新出現(xiàn)的“中行網(wǎng)銀E令升級(jí)”詐騙。

　　最近一個(gè)月的時(shí)間內(nèi)，江蘇連續(xù)發(fā)生了100多起網(wǎng)銀用戶被騙的案件，中國(guó)銀行百名用戶被釣魚(yú)，其中一名網(wǎng)銀用戶一次就被詐騙轉(zhuǎn)賬走101萬(wàn)元。解放網(wǎng)25日亦報(bào)道，一名“80后”網(wǎng)絡(luò)公司維修員，利用“釣魚(yú)鏈接”向網(wǎng)絡(luò)買(mǎi)家發(fā)送山寨版支付寶網(wǎng)頁(yè)，騙取貨款6000余元。另?yè)?jù)RSA反欺詐指揮中心2010年12月報(bào)告顯示，中國(guó)已成為遭受網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量最多的五個(gè)國(guó)家之一，并較上月呈現(xiàn)了4%的增長(zhǎng)。

　　近日，國(guó)內(nèi)專(zhuān)業(yè)的動(dòng)態(tài)密碼身份認(rèn)證企業(yè)——上海動(dòng)聯(lián)信息技術(shù)有限公司技術(shù)總監(jiān)胡永剛做了解答。胡總監(jiān)介紹了黑客犯罪的過(guò)程：近期的網(wǎng)絡(luò)安全欺詐實(shí)際上主要是利用普通時(shí)間型動(dòng)態(tài)密碼令牌不能防釣魚(yú)的漏洞。首先，犯罪分子通過(guò)發(fā)送詐騙短信，誘騙登陸欺詐釣魚(yú)網(wǎng)站，并誘使用戶輸入帳號(hào)、密碼和動(dòng)態(tài)口令，在獲取用戶真實(shí)密碼和動(dòng)態(tài)口令后，在1分鐘內(nèi)犯罪分子快速登錄中國(guó)銀行網(wǎng)上銀行官方頁(yè)面完成轉(zhuǎn)賬。在短短的1分鐘內(nèi)，由于動(dòng)態(tài)口令還沒(méi)來(lái)得及更新，犯罪分子可以輕易登錄客戶賬戶，將帳戶上的金額全部轉(zhuǎn)走。

　　胡總監(jiān)介紹說(shuō)，上述案例再次證明，安全問(wèn)題是一個(gè)綜合性的問(wèn)題。上述案例中的被盜，并不是由于動(dòng)態(tài)口令自身被破解或偽造造成，而是黑客通過(guò)釣魚(yú)得到了真實(shí)的動(dòng)態(tài)口令。任何單一的技術(shù)手段，在應(yīng)用上，都可能存在漏洞。就像普通Usbkey不能防止木馬攻擊一樣，普通時(shí)間型動(dòng)態(tài)口令不能防止釣魚(yú)。

　　胡總監(jiān)繼續(xù)說(shuō)，不過(guò)，合理應(yīng)用動(dòng)態(tài)密碼，完全可以達(dá)到網(wǎng)絡(luò)安全的要求。動(dòng)態(tài)密碼有多種種類(lèi)，在國(guó)外是一個(gè)應(yīng)用成熟的身份認(rèn)證技術(shù)形式，因其較高的安全性、簡(jiǎn)單易用的模式而被網(wǎng)銀用戶高度認(rèn)可。

　　針對(duì)此情況，業(yè)內(nèi)專(zhuān)家認(rèn)為，像中國(guó)銀行網(wǎng)銀出現(xiàn)的問(wèn)題，其實(shí)可以通過(guò)以下幾種方式來(lái)避免：1、采用挑戰(zhàn)應(yīng)答動(dòng)態(tài)令牌，用交易的關(guān)鍵信息作為挑戰(zhàn)輸入令牌，得到動(dòng)態(tài)口令;這樣交易信息就跟動(dòng)態(tài)口令捆綁在了一起，黑客如果篡改了交易信息，認(rèn)證將無(wú)法通過(guò)。2、建立用于交易確認(rèn)的第二通道，如短信、電話等，當(dāng)用戶需要交易時(shí)，將交易信息和確認(rèn)碼通過(guò)短信或電話通知用戶，用戶輸入確認(rèn)碼才能完成交易。3、交易風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控，對(duì)于非常用的IP和不符合交易習(xí)慣的操作，進(jìn)行動(dòng)態(tài)密碼二次甚至多次認(rèn)證。通過(guò)上述方式，完全可以保障交易的安全。另外，動(dòng)聯(lián)現(xiàn)在能夠提供更強(qiáng)功能的K8動(dòng)態(tài)密碼令牌產(chǎn)品，該產(chǎn)品擁有高于USBKEY的安全性，包含開(kāi)機(jī)密碼保護(hù)、主機(jī)驗(yàn)證、挑戰(zhàn)應(yīng)答、交易簽名等方式，真正做到網(wǎng)銀安全的無(wú)懈可擊。

　　背景資料：關(guān)于K8增強(qiáng)型動(dòng)碼令

　　K8增強(qiáng)型動(dòng)碼令是動(dòng)聯(lián)繼K5專(zhuān)業(yè)型動(dòng)碼令、K7超薄型動(dòng)碼令之后更高型號(hào)的產(chǎn)品，定位于高端用戶，集超薄設(shè)計(jì)、長(zhǎng)壽命、開(kāi)機(jī)PIN碼保護(hù)(個(gè)人識(shí)別碼)等優(yōu)勢(shì)于一身，已然成為動(dòng)態(tài)密碼身份認(rèn)證業(yè)界的翹楚。其外觀小巧時(shí)尚，科技感十足，細(xì)節(jié)設(shè)計(jì)頗具人性化。K8增強(qiáng)型動(dòng)碼令堪稱(chēng)輕盈，尺寸比信用卡還小了一圈，厚度僅3.25毫米，重量只有13克，可單手操作。鍵盤(pán)和圖形界面易于使用，通用的操作提示圖標(biāo)淺顯易懂，用戶甚至不需要看說(shuō)明書(shū)就能輕松上手。大LCD顯示屏，最長(zhǎng)8位數(shù)字顯示，更為清晰，雙功能on-off / erase按鈕，獨(dú)具智慧。

　　K8增強(qiáng)型動(dòng)碼令除了在外觀、性能上有較大突破外，安全性更是全面升級(jí)。其采用一次性密碼(OTP)技術(shù)，支持時(shí)間同步、事件同步、主機(jī)驗(yàn)證、挑戰(zhàn)/應(yīng)答、交易簽名等多種安全方式，有效防止釣魚(yú)網(wǎng)站和中間人攻擊。8位數(shù)字LCD，可輸入多達(dá)16位挑戰(zhàn)數(shù)字，數(shù)倍提升安全系數(shù)。

　　K8增強(qiáng)型動(dòng)碼令的上市，可以完美解決黑客和中間人攻擊問(wèn)題，輕松應(yīng)對(duì)虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。K8增強(qiáng)型動(dòng)碼令在便攜性、易用性、安全性方面均實(shí)現(xiàn)了重大突破，實(shí)現(xiàn)了三者的完美統(tǒng)一，將給動(dòng)態(tài)密碼產(chǎn)品高端市場(chǎng)帶來(lái)巨大沖擊。