捍卫电子钱包——别让人偷了网上账号

潮人日志

文/图 刘承松 · 专稿

“网络世界神奇无穷,网络世界危机四伏”,互联网迷人而又危险。当你遨游网海,总是免不了对自己各种各样网络账号提心吊胆,担心有朝一日被可恶的盗号者盗去或者骗去。一旦账号有失,小则心里不痛快,大则丢金蚀银,让人捶胸顿足。

为了使你的网游完得更加开心,为了你的网银资金不在一夜之间不翼而飞,为了你在QQ天地里更加自由自在,请读读这篇文章,它会给你不少在账户安全保护方面的启示。

一、网游账号保卫战

案例重现:玩家“小花痴”在“魔兽世界”里想合成几件极品装备,但是缺“钱”缺“经验”,于是就到网上找找看有没有好的点子。他无意中看到一个帖子说:“合成黄金装备秘笈,别被GM看见哦!”,这对“小花痴”产生了极大的吸引力,这不正是要找的东西吗?于是就迫不及待地点击浏览。不过经过几个网页跳转之后,最终也没发现自己需要的所谓“秘笈”。然而就在这时“小花痴”发现系统有点卡,游戏速度也明显变慢,只好下线。等他重新启动并登录网游后,发现自己的网游账号已经被洗干净了。他扼腕叹道:“哎,我真不该去轻信那个骗人的鬼话哦!”

不玩游戏的人可能无法体会游戏玩家网游账号被盗的感受。其实和家里失窃一样,网游账号就是家门钥匙,一旦“钥匙”被盗,窃贼就可以洗劫你的“财产”。网游玩家的财产有哪些呢?装备、好友、游戏财富、游戏里的虚拟地位,一旦你失去这些,在网游中就变得一文不名。

1.网游账号防盗“十戒”

有句名言说“冲动是魔鬼”。有不少玩家的账号被盗,问题就出在玩家自身。针对网游账号失窃问题,专家提出了玩网游“十戒”。

(1)一戒:“裸机”上网

说明一下,这里的“裸机”并非指没有安装任何软件的计算机,而是指不安装杀毒软件的计算机。实际上目前还有很多玩家的计算机里没有安装任何杀毒软件。这就无异于将自家大门敞开,任凭小偷进来搬东西。

(2)二戒:网吧上网前不重启系统

很多网游玩家为了追求气氛,都是到网吧里玩游戏。但不少人有一个不好的习惯:在别人使用了计算机之后,直接插上网吧卡后上网,其实这样匆匆而为是存在很大安全隐患的。如果前一个用户在电脑上安装了木马软件,则这很有可能在神不知鬼不觉的情况下盗取你的网游账号和密码。

不过现在所有网吧都安装了还原软件,重启之后系统盘中的所有文件会被重置,这在一定程度上减少了中木马的几率,所以在上网之前重启一次计算机是很有必要的。

此外,在网吧玩游戏还应该注意周围的人,说起来可笑,在一项调查中发现,很多人的密码实际上是被别人偷看之后丢失的。

(3)三戒:到处下载客户端

玩网游之前,一定要到官方网站去下载客户端。在不明网站下载的网游客户端中可能本身就已经被动过手脚,使用这样的客户端,密码不被盗的几率恐怕不会高于5%吧。

此外,360安全卫士也有一些经过认证“绝不包含木马”的网络游戏和常用的装机软件,大家可以到360安全卫士中切换到“软件管家”选项卡下查看、下载游戏客户端,如图1所示。

09fl-01-116.jpg
图1

(4)四戒:使用不明外挂

安全专家表示,一般的网游外挂在用户少的时候完全免费运营,但如果用户数量增多时,则可能另有图谋,在将木马集成到升级包之后,要盗取网游账号简直易如反掌。

据了解,目前《征途》官方就推出了一种“内挂”系统,就是为了防止外挂造成的大规模盗号事件。所以在网游时要遵守游戏规则,不要使用外挂系统,同时请注意使用安全软件保护账号安全。

(5)五戒:迷信杀毒软件

很多网游用户认为只要装了杀毒软件就万事大吉了。实际上,世上没有不透风的墙,也没有戳不穿的盾。最安全的方法是层层设防,给盗号木马多设置几道关口。牢记一点:没有杀毒软件是万万不能的,但杀毒软件绝不是万能的。除了杀毒软件之外,还应多设置几道安全关口。例如ARP防火墙、360保险箱等。

(6)六戒:过分依赖密保卡

不少网游公司和运营商开发了自己的密保卡,如图2所示。并声称“除非被抢劫,密保卡绝对安全”。实际上,密保卡也不是万能的,目前有一些木马可以通过定时拦截来自服务器的数据,使玩家频繁掉线,导致玩家必须频繁输入密保卡,这样就自然造成密码被盗的后果。

09fl-01-118.jpg
图2

还是那句话:“世上没有绝对安全的东西”,不要因为购买了密保卡而忽视杀毒、更新病毒库、扫描木马、安装相关保障软件等。

(7)七戒:相信天上会掉馅饼

有一类账号失窃可能与技术问题并没有太大关系,而和“江湖骗术”差不多。这些盗号者往往利用了玩家虚荣、贪图小便宜、急功近利等心理,使用各种花言巧语将网游密码骗到手。如前面提到的“小花痴”网游账号被盗就属于这种情况。

首先不要相信“天下会掉馅饼”,遇到非官方的链接不要轻易去点击,其次,此类骗术往往会将落脚点放在“钓鱼网站”上,比如让玩家在某某页面登录领取奖品等。可以启用杀毒软件的防钓鱼功能来防止被骗。

(8)八戒:密码太低级且无变化

如果你的网游密码都是字母或都是数字,那么再长的密码也只属于低安全级别。因为暴力解码器几乎可以在几秒中内就得到正确结果。如果密码是由数字和字母无序交替组成的话,12位以下就算中级安全密码,16位以上包括16位则为高安全密码。

还要强调一点,输入密码时的无规则性对于密码的安全保护也是非常重要的技巧。

比如,在输入密码时先输入密码的后4位,移动插入点再输入前4位,最后移动插入点到中间输入中间的8位。尽管这样麻烦了点,但对于游戏账号的安全是大有益处的。

最后要说的是游戏登录密码的定期更换,肯定有不少玩家会感到烦琐,甚至觉得如果频繁更换密码的话,说不定哪天自己都忘记了。其实要想定期更换密码又不被忘记,方式有很多。比如你可以设计制作一张属于自己的“密码卡”。即在一张卡片的纵横方向写下杂乱无章的字母和数字,然后自己确定一套密码连线的规则(这套规则千万不能告诉别人),修改密码时按照规则操作就行了,并不复杂。

(9)九戒:不申请手机绑定和密保卡

“密保卡”刚问世的时候,价格高、保密程度低,许多玩家还在犹豫。目前各个网游公司都推出了性价比很高的网游“密保卡”。所以,为了防止你的账号丢失,花几个钱购买一张“密保卡”是很明智的选择。

而对于手机绑定业务来说,玩家只需要支付很少的费用,就可以通过短信方式进行账号绑定,在绑定之后可以收到账号修改通知、进行密码查询、修改等操作。

(10)十戒:密码被盗后马上取回

最后一戒比较蹊跷,按照常理,密码丢了当然是要尽快找回来,不然夜长梦多。不过,根据调查,不少玩家在发现自己账号丢失时,因担心“如果时间晚了,可能身上的装备就被盗走了”,而马上用同一台计算机进行密码取回操作。而这样做可能恰恰给盗号者提供了又一次盗窃活动的方便,因为如果这台计算机已经中了木马,再如此操作,可能不仅仅是密码,连“密码保护提示”的信息都会一同被窃取,到时连申诉的机会都没有了。所以,一旦发现密码丢失、账号被盗,不要立即在刚出事的电脑上找回密码,最好换一台安全的电脑进行相关操作,以确保“密码保护提示”相关信息不被盗取。

2.网游账号被盗后怎么办

现以《征途》为例说明账号被盗之后该怎么办。如果账号不幸不盗,首先不要惊慌,迅速按照以下顺序操作,最快并且最大限度挽回自己的角色损失。

(1)冻结账号

在发现账号被盗后,请迅速冻结自己的账号,以避免账号内的财物被动。冻结账号有以下两种方式:

一是向官方申请冻结账号。拨打网游公布的客服电话,申请暂时冻结被盗账号。客户服务人员将会向你询问身份认证资料(包括身份证、真实姓名、联系地址、固定电话等),核实账号的归属权。如果确认账号属于你,将立刻封停该账号,同时官方GM将对账号进行强制下线处理。

第二种方法是自助封锁账号。进入官方网站的“客服中心”,再进入“账号管理”→“账号维护”页面,选择“封锁/开启账号”,按提示输入“游戏账号”,选择“游戏类型”,并输入“数字密码”,如图3所示,则该账号成功封锁,盗号者只有干瞪眼。

09fl-01-119.jpg
图3

注意:“数字账号”是在注册通行证时填写的除了游戏密码之外的另一组密码。如果遗忘了“数字密码”,可通过“官网客服中心”进入“账号维护”,再进入“找回数字密码”,通过邮件方式取回数字账号。

(2)邮件取回密码

进入官方网站的“客服中心”,再进入“账号管理”→“账户维护”中的“修改/找回游戏密码”页面,通过邮件方式完成密码取回,如图4所示。应输入游戏账号及注册时填写的安全电子邮箱地址,此邮箱将会收到一封标题为 “《征途》——取回密码” 的邮件,通过邮件当中的链接地址可以直接修改密码。若是“数字密码”丢失,可进入“找回数字密码”页面,使用相同的方式取回。

09fl-01-120.jpg

图4

注意:使用“取回密码”(游戏密码、数字密码)服务,一定要填写正确注册时提供的安全邮箱地址。如果安全邮箱无法使用,可以致电《征途》客服中心电话,说明情况后,至“官方网站客服中心”进入“沟通无限”,下载“修改安全邮箱受理申请单”,填写完整并打印,连同身份证复印件传真到指定号码,或者邮寄到指定地址。

(3)解除账号冻结

在成功取回网游的账号与密码后,还需要解除在被盗后申请的账号冻结服务。根据冻结账号方式的不同,有如下两种办法解冻账号:

如果是向官方网站提出冻结账号申请的,请登录到官方网站“客服中心”,进入“沟通无限”,再进入“下载”页面,填写好“其他传真服务申请单”,填写完整并打印,连同身份证复印件传真到指定号码或者邮寄到指定地址。注意,需要在备注中说明因账号被盗而申请封号,目前已经解决盗号问题要求解封账号,并注明有效联系方式及要求回复。客服人员将在验证相关信息后解除账号冻结状态并通知用户。

如果是自助封锁账号的,请登录到官方网站“客服中心”,进入“账号管理”→“账号维护”页面,再进入“封锁/开启账号”页面,输入游戏账号及数字密码,即可成功开启账号。

二、别动我的“支付宝”

案例重现:12月21日下午,JACK的支付宝账户余额为2000多元,到了第二天,他账户上竟然只剩下了20元。发现问题后JACK马上查询支付宝账户支出情况,才发现支付宝被盗。他立即打电话到支付宝公司,得知自己的支付宝账户被人盗走后购买了网游点卡。JACK仔细回忆,原来自己前几天因为广告的诱惑进了一些奇怪的网站,很有可能就是那是因为上了钓鱼网站而导致支付宝账户名与密码被盗。而自己的支付宝又没有安装数字证书,导致了对方利用账户名和支付密码就可以直接在其他电脑上盗取支付宝中的资金。

网上购物给人们带来了极大的方便,彻底改变了我们的生活。而“支付宝”是网购一族中比较保险而且使用最广泛的一种货款支付方式,但这也是一些不法分子眼中的“肥肉”。尽管阿里巴巴采取了各种防范措施,但总不时有客户的“支付宝”账户被盗,甚至支付宝中的金钱被窃。因此“支付宝”的安全防范成为网购一族最关注也是最敏感的问题。要保证“支付宝”绝对安全,恐怕没有人敢拍这个胸脯。但只要时时注意防范,谨慎操作,一旦密码失窃马上采取有效措施,账户上的金钱还是比较安全的。

1.设置并保护好密码

(1)密码设置

淘宝账户一般设有四种密码,即“淘宝网”登录密码、“支付宝”登录密码、“支付宝”支付密码和电子邮箱密码。

对于淘宝账户,怎么保证自己的密码安全呢?首先要有足够的安全防范意识,其次,千万不要为了图方便和省事将这4个密码设置成相同的字符。还要注意密码中字母的大小写,这可是要区分的。另外,设置密码时一定要设置好自己的密码保护资料,并注意保密。

(2)保护密码

能将这些密码全部准确地铭记于心最好,如果担心记不住这么多字母和数字,且怕搞混了密码,可用小本子记录下来,并妥善保管好这个小本子,不要被别人看到甚至拿去。也可以将账号、密码存储在电脑里,但这个文件一定要加密保存,平时隐藏掉,需要时才显示出来。最好将存有账号和密码的文件保存到随身的U盘中,并且不要轻易示人。

2.保密需加固

(1)申请“支付宝”数字证书

有了数字证书,即使支付宝账号被盗,只要盗贼没有数字证书也不可能窃取你账户中的金钱。在申请“数字证书”之前应该将“支付宝”账户与自己的手机绑定,如果账户未绑定手机,页面上会有提示:“为了保证账户安全,‘支付宝’需要你首先绑定手机(免费)。”

绑定手机非常简单,只需登录“支付宝”账户,进入“安全中心”选项卡,确认要绑定手机后,按提示输入手机上收到的短信校验码,确认即可。在绑定手机后再去申请“支付宝”数字证书。

申请“数字证书”的操作也不复杂。首先启动网页浏览器,在地址栏输入网址“www.alipay.com”登录“支付宝”账户,然后点击“我的支付宝”,进入后点击“申请证书”。或者登录“支付宝”账户后点击“安全中心”→“数字证书”,如图5所示。然后在出现的页面中点击“点此申请数字证书”链接。

09fl-01-123.jpg
图5

接下来按照提示一步步操作即可完成“数字证书”的申请。

注意:“数字证书”申请成功后,记得把“数字证书”备份在自己的U盘中,而不要备份在网络硬盘里。备份后,如果有一天发现系统中毒且病毒杀不干净,一定要重新安装操作系统和杀毒软件并升级病毒库,然后才能够及时导入数字证书。

(2)开通手机“动态口令”

开通手机“动态口令”服务的“支付宝”账户,将受到二重密码的保护。当用户对账户进行重要操作时(如提现、转账等),用户的手机将收到一条“动态口令”码,准确无误地输入该“动态口令”码后,操作才能成功完成,否则用户的请求将被拒绝。这样,当用“支付宝”账户余额付款,或是申请数字证书,或是修改银行信息,或是确认收货,或是找回密码,或是找回密码保护问题等都会受到手机“动态口令”的保护。

怎样申请这项功能呢?方法同样简单。首先登录www.alipay.com后,点击“安全中心”→“手机动态口令开通”,在该页面点击“立即点此开通”按钮,然后根据提示操作即可,如图6所示。

09fl-01-124.jpg
图6

(3)设置账户变动“手机短信提醒”

此外,“支付宝”账户最好设置账户变动时的手机短信通知功能,即“手机短信提醒”功能。如果设置了该功能,每当进行密码修改、使用“支付宝”账户余额付款、申请提现、取回密码、银行账号变更登记、修改电子邮件地址等操作,用户将会立即收到手机短信通知。如果短信所提示的操作非本人所为,可以及时检查账户并联系“支付宝”,以保证账号安全。

方法是首先进入支付宝安全中心,点击“支付宝信使”链接,选择第一栏的“短信提醒”,然后按提示操作即可。如图7所示。

09fl-01-125.jpg
图7

3.谨防“钓鱼”网站

“网络钓鱼”是一些攻击者以假冒网站、虚假邮件等手段骗取账号密码的欺骗行为。在你登录“支付宝”时,一定要看清楚页面地址,注意以下两个方面的信息,准确识别网站的真假。

(1)认清“http”和“https”

支付宝(包括所有银行)的登录页面都是加密页面,登录支付宝时,浏览器标题栏或地址栏中显示的网址是https://www.alipay.com/,并且在网址最前面和浏览器状态栏右下方都会显示一把金黄色的小锁,如果没有发现这个小锁并且网址前面不是https的就一定不要进入。在开头处的“http”和“https”虽然仅一个字母之差,却是截然不同的两个协议,前者为非加密页面,后者是加密页面。所以一定要记清楚这一点点区别,不要误入贼窝。

(2)重装系统后的网址识别

每台电脑首次进入“支付宝”时,系统会提醒你安装安全控件。假如你的计算机系统崩溃,重新安装操作系统后,当登录“支付宝”操作时,系统并没有提示你安装安全控件就立即打开登录页面,那么这个网站百分之百是企图骗取你的账户和钱财的网站,一定不要进入。

4.养成良好的使用习惯

(1)在安全环境登录“支付宝”

要登录“支付宝”进行交易,一定要选择一个相对比较安全的上网环境,在家里、办公室或信得过的亲朋好友家里,都不失为安全的上网场所。千万不要在网吧和不安全的环境中登录“支付宝”账户,因为现在很多网吧都被黑客监控了,他们在电脑上安全了木马程序,本来是想用来盗取玩家网络游戏账号的,如果发现盗取你的“支付宝”账号与密码会更有收益的话,这些人是一定不会放过的。

(2)安全扫描很必要

在每次登录“支付宝”的时候,一定要进行扫描支付宝安全性操作,这样又给“支付宝”守住了另一道大门,可以及时知道账户的安全与否,便于及时发现漏洞和存在的问题。

(3)经常查杀病毒

查杀计算机病毒不要嫌麻烦,最好是定期杀毒,比如三天、五天进行一次全面查杀。还要记住即时更新杀毒软件,保持病毒库处于最新状态。同时千万要杜绝盗版的杀毒软件,不要为了省几个钱而造成更大的损失。

(4)不随便点击链接

现在特别多的“淘友”喜欢群发一个又一个的链接,当然有的是出自推广自己的产品,这无可厚非。但不乏少数居心叵测的人,规矩的“淘友”们不得不提防。所以不要随意打开“淘友”的发过来的链接,信任得过且有必要看的才打开,没必要看或者信任不过的切忌打开,不能抱有侥幸心理。

三、网银安全 防范为重

案例重现:2005年9月3日,杨先生在工行海淀支行西苑储蓄开具的一个存折上有7.4万余元存款,但在9月15日去银行取款时却发现账上只剩下1.3万余元,6万多元不翼而飞。杨先生以此起诉工商银行。工商银行在庭上作出的解释是:此前杨先生已与他们签订了网上银行服务协议,2005年9月4日至15日期间,杨先生的账户通过工行的网上银行系统汇款达36笔,总计6万元,手续费600元,这36笔交易是在对方凭杨先生的账号、密码登录网上银行系统后发出指令,他们依据该指令办理的。该指令的发出均应视为杨先生本人所为,因此造成的后果也应由其自行承担。而杨先生表示那段时间自己并未使用过网上银行。也就是说黑客利用网络安全漏洞盗取了杨先生账户里的6万元现金。

网络银行的方便快捷人所共知,它减少了人们跑银行和排队的烦恼,可是也有不少人对它的安全性有所怀疑。的确,什么事都很难做到绝对的安全,网上银行中个别客户的资金确实有被盗取的案例。但是只要随时提高警惕,做好防范工作,规范登录网上银行后的各种操作流程,网银还是安全的。

1.银行的安全措施

时至今日,我国各大商业银行均相继推出了种类不一的网银安全措施,除了普遍使用的非常简单的交易密码外(4位或6位数字),还有其他附加安全措施,如工商银行的“U盾”和“手机短信认证”、农业银行的“K宝”和“动态口令卡”、中国银行的“动态口令牌”和“中银e信”、建设银行的“建行网银盾”等。有的是免费使用,有的则要收取一定费用。

为了你的网上银行里的资金不被人盗走,让我们先了解一下这些安全防盗措施的功能和使用方法吧。

(1)工商银行的“U盾”

工行“U盾”是获得国家专利的硬件加密工具,如图8所示。对于工商银行的网上银行用户来说,最为保险的措施无疑是使用“U盾”。办理“U盾”业务,需要带上本人有效身份证件和注册网上银行时使用的银行卡,到营业厅申请开通“U盾”服务。根据硬件的不同,“U盾”的价格在50元到60元之间。“U盾”申请成功后需要将个人证书立即下载到“U盾”中,不然这个“U盾”和普通的“U盘”没有任何区别。下载证书前要将“U盾”连接到计算机主机的USB接口上。当然,如果信任的话,也可以委托银行工作人员帮助下载个人证书信息到“U盾”中,也可以自己登录到工商银行的个人网上银行,点击“U盾管理”后选择“U盾自助下载”,完成证书信息下载。

09fl-01-128.jpg
图8

(2)工商银行的“电子银行口令卡”

“电子银行口令卡”是工行最新推出的电子银行安全工具,它可以有效地防止不法分子通过虚假网站、木马病毒、黑客攻击等手段窃取密码,从而让客户更加安全地使用电子银行。

如果已开通网上银行且未申请“U盾”的客户,可以携带本人有效证件及注册网上银行时使用的牡丹卡到工行营业网点申请“电子银行口令卡”。如果尚未开通网上银行,并且不打算选择“U盾”的客户,可以携带本人有效证件到工行营业网点直接开通网上银行并申请“电子银行口令卡”。

注意:领用口令卡时,需要确认口令卡的包装膜和覆膜是否完好。新申领的口令卡应包含完整的塑料包装膜和覆膜,如有损坏,应该要求更换。

申领了口令卡后,在使用网上银行进行对外转账、购物、缴费等对外支付交易以及通过网上银行办理定期存款提前支取时,电子银行系统会随机给出一组口令卡坐标,需要客户根据坐标从卡片中找到口令组合输入电子银行系统,并输入验证码,如图9所示,只有口令组合输入正确的客户才能完成相关交易,该口令组合一次有效,交易结束后即失效。

09fl-01-131.jpg
图9

为了方便客户使用,工行网上银行提供了详细的口令卡状态查询功能。只需登录网上银行,点击“客户服务”栏目下的“查询修改客户信息”即可查询到“电子银行口令卡”的卡号、申请日期、已使用次数、剩余使用次数等详细信息。

(3)农业银行的“K宝”

目前,农行采用了世界上安全性最高、实用性最好的“安全通信协议”以及“数字证书”认证手段,在客户端使用了“K宝”(一种USB Key智能密钥存储器,用于存储个人网银数字证书)、“动态口令卡”、“动态密码软键盘”、“图形码”等多种安全措施,不用客户输入银行账号及密码登录,避免了信息泄露,最大限度地保障了客户的交易安全。

如果有黑客想破获“K宝数字证书”,需要3万台计算机工作10年才有破解的可能。而农行的“数字证书”使用两年后自动失效,需要到银行重新申请。同时,“K宝数字证书”具有不可复制性、不可导出性,只要带有K宝就可以随时随地使用网上银行,使用完网银拔掉“K宝”之后任何人无法登录网银。“K宝”如果丢失,由于“K宝”和银行账户均具有连续密码错误后自动锁定的保护功能,别人也不会用“K宝”转走客户的资金,客户到银行挂失,补办新的“K宝”即可。

(4)农业银行的“动态口令卡”

对没有使用“K宝”的用户,农行采用了“动态口令卡”技术,使客户的证书与密码分离,“动态口令卡”丢失后,到银行网点重新领取新的“动态口令卡”即可。“动态口令卡”是为网银浏览器证书用户而提供的,目的是为了让浏览器证书用户在进行限额以上的支付交易时更加安全地进行网银操作。

如果已开通网上银行且未申请“K宝”,可以携带本人有效证身份件及注册网上银行时使用的银行卡到农行营业网点申请“动态口令卡”;如果尚未开通网上银行,并且不打算选择“K宝”,就可以携带本人有效身份证件到农行营业网点直接开通网上银行并申请“动态口令卡”。

注意:申领了“动态口令卡”后应该登录个人网银页面进行有效性检查,如果4项检查有一项不相符,请立刻到农行柜面重新申请。

若进行支付转账交易,输入“付款账户”和“收款账户”以及转账金额并提交后,需要输入动态密码,应根据系统提示的动态密码坐标刮开(如S5,N1)所对应的“动态口令卡”背面坐标。刮开“动态口令卡”后,你只需在动态密码框中顺序输入S5,N1所对应的口令(例如027468,中间不空格),然后提交即完成此笔转账支付交易。

(5)建设银行的“网银盾”

建设银行的“网银盾”(即USB Key)分为下载版和预制版两种,区分预制版与下载版的方法是,预制证书“网银盾”外包装上有明显的“预制证书”标志,可通过外包装查看,且预制证书“网银盾”编号第三位是“5”或“6”。

若购买的是预制版网银盾,那么证书已存放在“网银盾”内,无需下载。数字证书的有效期为5年,自数字证书生成之日起计算。数字证书到期后,可在建行网上银行登录页面,点击“证书到期换证”的链接自助换证。建行“网银盾”密码的设置规则为6-8(或6-15)位字符。如果连续10次输错密码,“网银盾”将被锁定。

如果购买的是下载版“网银盾”,但还未下载证书(规定在签约后的7天之内登录网银激活并下载证书),可先进入建行网站(http://www.ccb.com),在首页左上方选择“登录”,输入身份证号码、登录密码及附加码,成功后根据提示设置交易密码,并根据提示下载数字证书即可。

2.客户的防范意识

光有银行的网银安全措施还不够,广大客户也要树立防范意识,在网银交易过程中要按照操作规程操作,才能保证网银的安全。

(1)采取组合密码

组合密码可以有效防止暴力破解或字典式破解,每增加一种类型的字符就成千上万倍地增加破解的难度。网银密码通常可以使用标点、数字、大小写字母等。

(2)采用软键盘输入卡号、密码

为了防止有些木马程序监听键盘事件从而获取卡号、密码等资料,有的银行的网银会自动弹出动态软键盘。有的银行如果没有软键盘,可以自己随时运用软键盘。其方法是:点击“开始”→“运行”,输入“OSK”,就可以调用Windows自带的软键盘。

(3)Internet安全设置

打开浏览器后点击“工具”菜单→“Internet选项”→“内容”选项卡,点击“自动完成”的“设置”按钮,将“自动记忆”的“表单”和“用户和密码”选项置空,并清空密码和表单,防止IE驻留个人信息,如图10所示。

09fl-01-135.jpg
图10

(4)尽可能使用移动数字证书

数字证书也就是常说的USB-KEY,需要注意的是不用的时候不要插在计算机上,防止远程控制。

(5)使用正确的域名登录

要收藏各大银行网站正确的网址,不要通过网络搜索引擎来访问银行网站。除此之外,关注自己计算机上的HOSTS文件是否被定向。

如果能使用IP地址上网银当然更好,可以用“PING”命令找到各银行网银的网址,获得IP地址,然后用该IP地址登录网银。

(6)不可忽视的windows补丁

很多客户每天升级自己的杀毒软件病毒库,却从不升级Windows。其实升级Windows的作用不亚于升级杀毒软件。及时修补了Windows漏洞,可以防止许多攻击,如图11所示。

09fl-01-136.jpg
图11

(7)谨防诱骗

许多不法之徒采用种种手段诱骗没有经验的人泄露自己的诸如“动态口令卡”的密码,同步盗取资金。其实并不是口令卡被破,而是受害人被忽悠到公开了口令卡密码而已。所以记住一点,口令卡只输在正确的网址,并且绝对不可以通过电话、口头或书面等形式发送。