别来讹我的网银好吗
安全阵线
最近,某用户网银中的100万元余额不翼而飞,而他不是个例,网上冒出很多专门针对动态口令网银的钓鱼网站,它们气势汹汹地杀向广大网民。
揭秘:黑客瞄准哪些网银
如果你在新浪微博中输入“网银 钓鱼”关键词进行搜索,你会看到很多安全厂商和各地公安机关发布了网银钓鱼警报。在百度中输入“网银 钓鱼”关键词进行搜索(图1),可以看到约200万条搜索结果。
网银钓鱼网站有泛滥的趋势(安全厂商估算涉案金额接近一亿元),为什么会这样?到底是什么原因促使不法分子大量炮制网银钓鱼网站?怀着疑问,我们进行了深入调研,发现了其中的秘密——都是动态口令惹的祸。
什么是动态口令?动态口令是一套独特的系统(图2),每60秒随机生成一个口令,该口令在认证过程中只使用一次,下次认证时则更换使用另一个口令。这套系统简单好用,特别是令盗号病毒难有作为(盗来的密码还没有用就失效了),被中国银行、光大银行等多家银行采用。
盗号这条路行不通,不法分子又想到了利用钓鱼网站来诱骗动态口令。首先,不法分子广撒网群发短信,谎称用户的某某网银动态口令即将过期,要登录某某网站进行升级。用户登录网站输入账号、密码、动态口令后,钓鱼网站就获取了用户的相关信息,不法分子立即利用信息登录网银,转移用户账号中的资金。
这个过程只需要两三分钟,用户往往还没有反应过来就被不法分子“打劫”了。看到这里,大家已经明白了当前网银钓鱼网站主要针对使用动态口令的网银,而使用移动数字证书的网银则没有危险。不过,远程控制木马可以威胁使用移动数字证书的网银。
预防:这样避开网银钓鱼陷阱
网银钓鱼网站如此猖獗,我们应该怎么预防呢?如何才能识破网银钓鱼网站的陷阱呢?首先,应该提高安全意识,如果近期你收到要求你登录网银升级动态口令的短信,十有八九都是假的,最好打银行的官方电话进行核实。
其次,不要手动输入网银登录地址,最好将该地址收藏起来,以后直接访问即可。这样操作后,就不怕不法分子的诈骗短信了。此外,我们最好确保杀毒软件和安全辅助工具的反钓鱼网站功能开启着(图3),它们可以拦截绝大多数网银钓鱼网站(不同安全软件拦截的数量不同,但都可以提供不错的保护)。
最后,大家要时常注意银行官方网站的通知,及时采取相关的安全措施,避免上当受骗。
小贴士 | TIPS
移动数字证书是一种专用硬件,例如工行的U盾,将移动数字证书插入电脑的USB接口后,才可以登录网银进行各种操作。以前的数字证书是安装在电脑中的,后来怕被黑客复制,才制成了可移动使用的硬件。