工行回应
U盾是安全的 问题是客户的
昨日,工商银行网上银行客服人员表示,U盾是安全的,目前出现问题一般是用户个人的问题。工作人员说,根据他们的了解,网银被盗的情况一般有:个人用户未妥善保管密码,被熟人窃取后作案;个人用户在网上随意点击网页链接,电脑中毒,导致信息泄露。
为了防止网银出现问题,工作人员建议,首先,不要在网吧使用U盾,因为网吧用户很多,信息被窃取的机会较大。此外,如果在家或者办公室使用个人电脑进行网银交易,一定要在交易后迅速拔下U盾,防止他人趁机作案。并应该经常对电脑进行杀毒,不要点击不明网站的链接,以防电脑中毒。随后记者咨询U盾在近期是否会进行升级,工作人员表示,暂时没有升级。
提醒
网银密码设置不要“随大流”
承办检察官提醒,网银用户在设定网上银行密码时,不要使用身份证号码、自己或家人的生日等,也不要使用和QQ、BBS等程序相同的密码。
对于使用U盾的网上银行用户,在完成网上银行操作后应当立即拔下U盾。检察官建议,金融机构也应该加强科技防范水平,比如设定交易时间间隔,让用户能有足够的时间拔下U盾,防止犯罪分子钻空子。
作案过程
抓“肉鸡” 蒙密码 趁机偷袭
利用网银用户交易结束、U盾未拔下的时间差把钱转走
琚文辉平时喜欢上网,渐渐学会了如何使用木马程序。据交代,第一次下载木马程序是在2004年4月,当时他从网上搜索到一种木马,能够远程对他人的电脑获取系统操作权限,还能记录对方的键盘操作。
用电脑试验破“盾”之术
因为自己也是U盾的使用者,他渐渐萌生了一个想法,如果能将木马程序植入他人电脑,当对方使用网银时,自己便可获得相关信息,进而盗窃钱财。于是,他开始自己在家里通过几台电脑试验,最终摸索出了使用木马“破解”U盾的办法。
他所使用的,是一种“抓鸡”工具(被植入木马的电脑用户被称为“肉鸡”),即通过扫描IP号段,发现系统存在漏洞的电脑,自动将木马植入用户的电脑,使之成为自己的“肉鸡”,成功植入病毒后,如果用户电脑系统内有网银驱动,他则重点“照顾”。
一旦网银驱动,木马就能同时记录下网银用户的账户号和U盾密码。为了再获取用户的账户密码,他又通过木马记录下对方登录邮箱、QQ、论坛的密码,然后趁用户不使用网银时,使用这些密码进行试验。一些习惯把银行密码与网络上使用的密码设为一致的用户就成为他下手的对象。
数月内攻破20余U盾防线
此后,一旦用户再次使用网银时,U盾一插入电脑,琚文辉便在自己的电脑上远程监控。等对方网银交易刚一结束,他便利用U盾还未拔下来的时间差,迅速登录对方的网银,把钱转走。转账的过程非常快,大约不到30秒就能完成,一般来说,事主根本来不及察觉。
琚文辉称,他选择U盾用户,是因为工行的网银用户最多,作案更容易得手。他交代,在短短的几个月内,自己破解了20多位U盾用户的账号、密码和U盾密码,并4次盗窃得手。但其中两起涉案金额很小,目前尚未查实。
简介
U 盾 即工行2003年推出并获得国家专利的客户证书usbkey,是工行提供的办理网上银行业务的高级别安全工具。它外形酷似U盘,像一面盾牌,据介绍,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。
追访
网上叫卖“破盾”软件
昨日,记者在网上搜索U盾信息,发现有人公开叫卖“破解U盾软件”,开价数百元,号称对U盾的破解成功率有80%以上,不少网友认为是虚假的。有网友称,从技术上讲,数字证书是目前最安全的网银认证工具,存放在U盘内的数字证书从外部无法窃取,更不必担心被黑客控制,因此,可破解U盾的说法不可信。不过,网银用户自身交易习惯也很重要,用后要及时拔出,不可转借他人,更不能从陌生网站下载软件或链接。
工商银行网银用户李女士说,使用U盾后,只是在点击“安全退出”一栏时,才会弹出一个“来自网页的消息”:为了您的资金安全,请拔出并妥善保管。”
记者又尝试使用另一个银行的USB数字证书,交易后点击退出,页面自动弹出提醒“您的移动证书usbkey还插在电脑上,在退出前强烈建议先拔掉usbkey”,立即拔下USB后,网页即无法进行转账交易。
这些USB证书的共同点都是,如果不及时点击关闭页面,用户常会忽略拔出U盾。加拿大华人网 http://www.sinoca.com/
|
SinoCa.COM All Rights Reserved.