tag 标签: 网银升级

相关博文
  • 热度 21
    2011-2-1 00:50
    6569 次阅读|
    0 个评论
    中行E令诈骗尽显网银动态口令安全漏洞 ----网络钓鱼诈骗挑战网银身份认证安全之 网银身份认证设备浅析篇 杭州晟元芯片技术有限公司/郭志 目录: 网银身份认证设备的发展历史 网银身份认证设备的原理及安全性能分析 网银身份认证设备 未来发展趋势             进入今年1月以来,国内多省市发生以“中国银行E令卡网银升级”为名,通过手机短信和制作“克隆网站”(又称“钓鱼网站”)实施诈骗的案件。仅江苏省1月10日至24日短短半个月时间内就发生100多起同类诈骗,广东、浙江、北京等地也陆续出现多起网银诈骗案件,被骗金额从几万到几百万,全国各大媒体连续多次报道相关新闻。一时之间众多被骗用户在报案的同时将矛头指向发行行中国银行,本意是增强网上银行的登录和买卖业务安全的动态口令牌为什么反而成为被黑客利用的漏洞。 网银身份认证设备的发展历史         网上银行应用系统中的安全控制的第一道防线是身份认证。目前,国内外网银的身份认证技术主要分3个层次,一是网银推广初期采用静态密码技术,二是动态口令技术,三是基于PKI体系的数字签名技术。         静态密码技术在度过了网银前期的推广期后逐渐被淘汰。         动态口令产品主要有三类:刮刮卡、手机OTP以及时钟令牌。         基于PKI体系的数字签名技术是目前较新较安全的身份认证技术,目前已经从第一代USBKEY逐渐向第二代液晶KEY、按键KEY过渡,同时也出现了第三代生物识别KEY、手机SDKEY等高新安全的KEY。 网银身份认证设备的原理及安全性能分析         静态密码,就是不变的密码,这种简单的认证方式容易被黑客破解、窃取,国内银行已基本取消了静态密码的支付权限。         动态口令技术,也称为一次一密(OTP)技术,即用户的身份验证密码是变化的,密码在使用过一次后就无效,下次登录时的密码是完全不同的新密码。其中刮刮卡是基于银行事先生成好的密码组,用户使用一次后自动作废,刮刮卡成本低廉,使用方法简单,国内银行在2005年左右开始试推广,目前已不是银行的主推产品。手机OTP原理与刮刮卡相同,比刮刮卡更绿色环保,易用性更高。 动态口令牌是一种内置电源、密码生成芯片和显示屏、按照专门的算法每隔一定时间自动更新动态口令的专用硬件,密码的生成是由用户专用硬件来完成,降低了动态密码泄露及管理风险。         动态口令技术,改变了静态认证的固定密码口令,通过随机变化的一次性密码口令,提升交易的安全性。不可否认OTP技术作为理论上不可破解的抵御外部被动攻击的密码系统,在网上银行防止木马破解攻击方面发挥了广泛应用。但是同样网络黑客很清楚在网上银行业务流程“用户—网上银行—银行数据库”三个环节中,突破后两者很困难,于是,薄弱的用户端便成了他们攻击的主要对象。随着计算机技术的发展,在木马钓鱼的作用下,黑客能够实现和用户电脑的同步,而OTP技术的密码口令有效时间,给黑客提供了足够的截获、登录、转账的操作时间。         PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。基于PKI体系的数字签名技术,可有效保护用户私有信息(身份认证信息)的保密性、真实性、完整性及抗否认性。数字签名主要是消息摘要和非对称加密算法的组合。数字签名(Digital Signature)应用,从原理上讲,通过私有密钥用非对称算法对信息本身进行加密,即可实现数字签名功能。这是因为用私钥加密只能用公钥解密,因而接受者可以解密信息,但无法生成用公钥解密的密文,从而证明用公钥解密的密文肯定是拥有私钥的用户所为,因而是不可否认的。实际实现时,由于非对称算法加/解密速度很慢,因而通常先计算信息摘要,再用非对称加密算法对信息摘要进行加密而获得数字签名。下图简要介绍了常用数字签名的过程。         目前网银应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备。它内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在国密安全芯片中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。         第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。针对该隐患各银行在不断教育用户提高自身安全意识,安装杀毒软件,防木马软件的同时,也开始大力发展第二代USBKEY产品。         第二代USBKEY产品主要包括液晶KEY、按键KEY、语音KEY等产品,该类产品的特点是增加用户签名交易时与银行端的互动,如通过USB Key显示或报读的数据内容就是真正被签名的内容,实现“所见即所签”,用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。虽然在易用性及成本上增加了难度,但在安全性上该类产品是目前比较理想的安全认证终端。该类产品做到了安全的用户终端设备对银行终端设备的认证,可以有效降低基于网络诈骗行为的发生,然而对于抵御现实生活的有意盗窃,二代KEY在安全上还是显的有些力不能及。         第三代KEY产品,突破了现有KEY类产品USB接口的束缚,在易用性和安全性上取得了质的突破。作为在易用性突破的代表产品,手机SD KEY采用SDIO接口,将KEY的应用从电脑扩展到所有带SD卡槽的手持类设备,尤其在手机网银上的应用,随着手机实名制的普及及银联CUPMobile手机支付模式的大力推广,SD KEY突破理论基础实现了量产应用。同时基于无线KEY的需求将进一步丰富第三代KEY的产品线。         作为安全性突破的代表产品,指纹KEY采用生物识别技术,在技术上解决了PIN码输入的安全隐患,彻底实现所有的安全要素单独在安全芯片上运行。同时在应用上解决了PIN码遗忘、丢失等易用性问题。目前该类产品由于成本原因主要针对高端用户。但是随着国内IC设计企业晟元芯片的崛起,作为国内唯一一家同时拥有电子签名芯片和指纹芯片的IC设计公司推出的电子签名系列芯片之一AS602B,迅速的将指纹KEY的生产成本大幅度降低。同时随着市场应用环境的更加成熟、指纹识别技术的发展以及用户对安全保障需求的增加,指纹KEY势必将逐渐走向中端客户,从而迎来更大的发展。   网银身份认证设备 未来发展趋势           万事达组织认为,一项适用的网络银行安全(身份认证)技术,应该尽量满足以下特点:        A、“有效的”安全性,不仅满足高级别的安全需求,同时具备易用性;        B、统一性,在多种电子交易渠道中(如POS、网上等)都可有效适用;        C、高性价比,适合大众消费心理;        D、方便性,让用户能够立刻上手并且用起来不麻烦才有可能普及;         在实际应用中,认证方案的选择是从市场规模、系统需求和认证机制的安全性三方面来考虑的。在网银发展的初期,以市场推广为主要诉求,以方便性和高性价比来满足市场初期需要,对系统需求和身份认证机制的安全性放在第二位来考虑,因此首先出现的是基于静态密码的大众版网上银行。随着市场规模的逐步放大,对安全性的需求也逐渐强烈起来,此时出现了基于动态口令的多种产品。由于动态口令产品成本低廉,应用方便,因此以中国银行为主推的时钟令牌产品在前几年占据了较大的市场份额。然而随着利用钓鱼网站进行诈骗事件的逐渐增多,国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。目前工行、建行、农行、邮储银行等大多数商业银行都已经在推广基于PKI体系的高安全U盾或者K宝,只有中国银行还在大范围推广使用动态口令牌。         从安全性、性价比和方便性方面来看,现有USBKEY比静态密码及OTP产品更安全,应用方面也做到了无驱无软方便用户使用,在价格上随着国内自主安全芯片设计能力的不断提高USBKEY价格也大幅度降低,性价比优势越来越明显。而在适用性与方便性方面第三代KEY的发展起到了关键作用,目前手机SD KEY的用户数量也在不断增长中。在安全性与方便性方面指纹KEY具有更大优势,因此未来针对用户差异化的需求第三代KEY将发挥更大作用。         从目前市场容量来看,截止2009年底,我国网上银行注册用户数已达到1.89亿,网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。但是由于互联网的开放性,网上银行系统的安全性问题令人担忧。据《瑞星2010年度安全报告》指出,2010年全年我国互联网上新增病毒750万个,比去年下降56%;新增钓鱼网站175万个,比去年增加1186%;其中,钓鱼网站的受害网民高达4411万人次,损失超过200亿元。面对如此严峻的安全挑战,各大商业银行加快新一代网银认证设备的推广力度,2010年仅USBKEY出货量就达到6000万只比2009年增长近一倍, 基于 PKI 体系的安全电子签名设备取代 OTP 设备已成必然趋势 。         同样在2010年表现抢眼的二代USBKEY全年出货量猛增,从09年几百万猛增至10年的2000多万只。面对日益白热化的网银市场,各大银行在用户推广上也积极开展差异化策略,针对中高端用户积极推进高新安全网银认证设备的推广工作。以手机SD KEY、指纹KEY为代表的第三代KEY的应用也日趋增多。         另外在国家政策层面,从2007年银监会发布134号通告到2010年初央行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》,明确了网银安全的技术规范,国家对网银系统的安全方面的投入在不断加强。该技术规范包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。其中对身份认证设备的安全也做了详细规定,基本要求现有一代USBKEY可以满足,而增强要求则需要二代KEY和三代KEY来支持。         因此,无论是从市场需求角度还是从为维护国家金融安全角度考虑,在钓鱼网站日趋猖獗的当下如何提高网民的“财产”安全已经是一个迫在眉睫的问题。在网银产品的应用上各大商业银行势必会逐步淘汰落后的技术,加强发展新一代安全产品。晟元芯片愿意与产业链各方共同努力,携手共创网银安全的美好明天。         2011-1-28 附件: 典型案例:   乐清陈女士刚输完密码就被人用网银转走了200万 2010年12月23日 04:11都市快报【 大 中 小 】 【打印】 共有评论0条 陈女士是乐清人,今年 10月,她向某银行申请贷款200万元,想用于购房。她办了一张某银行的借记卡,又开通了网上银行。 陈女士的网上银行账户是用一个动态密码管理的。这个动态密码每隔一分钟自动更换。 前几天,陈女士收到一条短信:“尊敬的网银用户:您的中行E令于次日即将过期,请您尽快登录www.bocg.tk进行升级,给您带来不便敬请谅解,详情95566【中国银行】”。 陈女士赶紧登上这个网站,输入自己的用户名和密码,还有动态密码。 可是网站提示她:密码不正确。 第二天早上,陈女士又收到一条短信,说她申请的贷款200万元已经发放了。陈女士一查,发现她银行账户上没有一分钱了。 骗子是怎么获得密码的? 警方也是第一次接到这类报警。警方查询发现,www.bocg.tk是一个钓鱼网站,也就是假冒的网上银行网站(真实的银行网站是http://www.boc.cn)。 根据陈女士的分析,警方推断: 1.陈女士收到“密码过期”的短信,从内容看,是很符合银行方通知的,还附有客服电话,这些都是障眼法。 2.目前这个钓鱼网站已关闭。经办民警发现,钓鱼网站页面和真实网站设计相似,有一定的欺骗性。 3.骗子怎么做的呢? 民警分析,骗子是大量群发这个短信的。当陈女士上去这个钓鱼网站后,骗子在后台技术终端提示称密码不正确,需要再次输入。等陈女士再次输入后,她的密码和资料都被盗取了。 警方发现,骗子几乎是在陈女士再次输密码的同时,分两次,每笔都是999000元,再加上手续费,一共转走了1998024元,就这样陈女士向银行贷来的200万元飞走了。 其他案例 1 、 1月10日晚9时许,江苏家住凤翔苑的范某收到“+8613063261741”发来的短信称:“你的中行E令将于次日过期,请尽快登录www.bocbt.com进行升级,详询95566中国银行”。范先生就登录以上网址,输入用户名,密码,动态口令。操作好后,他又登录中国银行的官方网站进行查询,发现卡里的2.2万余元已被划走。据了解,收到短信时范某也注意到了号码并不是银行客服,而是普通的手机号码。当时,他正好在登录网上银行,便没有起疑。由于动态口令每1分钟就更新一次,在对方的要求下,他输入了两次口令。而不法分子就利用这短短的一两分钟时间,套取了范先生的密码,并迅速转账。 2 、 1月6日,江阴受害人沈某被骗60万元、谢某被骗30.2万;12日,滨湖区的刘某也被骗60万。 3 、 1月6日,家住长宁区的张小姐对短信信以为真,账户里的70余万现金消失得无影无踪。“照例说银行有冻结账户的权利,而根据警方目前掌握的信息,骗子转账的账户开户地在广州。”张小姐告诉记者:“所以我立即就打电话给中国银行广州分行,希望他们能够冻结这个账户,但是对方却说了一堆我听不懂的话,然后把我推到了上海这边。”结果这一来一回,张小姐打了几十个电话却依然没能冻结这个“可疑账户”。 4 、 1月9日,青岛市民刘先生收到陌生号码发的短信,刘先生就在家中电脑登录这个网站,该网站的页面和中国银行官方网站的页面大体一致,网页右上角显示立即升级e令,刘先生就点击升级,随后页面上指示让其输入网银账户的用户名、密码、动态口令,提示升级完成后,刘先生就关了页面。第二天上午刘先生到中国银行提钱,发现其银行账户里的钱被转走了10余万元,他立刻就想起在网上操作的事,惊觉自己被骗,遂向警方报案。经查“www.boct.tk”这个网站已经不存在,对方盗用了刘先生的网银信息转走了其账户里的钱。  5 、 1月11日,金先生卡内30万余额全部被转走,中行浙江省分行查询发现,3点02分时,金先生账户发生交易,30万余额全部转入在中行安徽省分行开设的一个叫李菊的人账户内。 3点03分,李菊账上这30万到账。3点08分,李菊账上这30万被分割成2万、3万不等的数字,分别转到国内各地10多个账户。银行方面说,由于全部转出,这笔钱现在已经无法冻结。 6 、 1月13日下午5点45分左右,南京市民许先生正准备下班,突然收到一条手机短信:“尊敬的网银用户,你的中行E令将于次日过期,请尽快登录WWW.BOCVK.COM。进行升级,给您带来不便请谅解,详询95566(中国银行)。”巧的是,许先生正是中国银行的网上银行用户,而且,很多银行平时常发短信提示用户办理各项业务,所以,看到这条短信后,许先生虽然发现来自一个陌生手机,但他并没产生怀疑,在拨打中国银行95566客服电话、发现占线后,他顾不得多想,利用办公室电脑,根据短信提示登录所谓“中国银行”的网址WWW.BOCVK.COM.。网页打开后,徐先生看到,显示的界面正是“中国银行”,他根据网页提示,输入自己的用户名、密码以及随机产生的中行E令(动态口令)、身份证号等信息后,页面显示升级成功。看到这儿,他放心地退出界面,可没一会儿,当再次登录自己的中行网银账户时,许先生发现账户上的101万元已被转走。 7 、 没过几天,同样的事情发生在苏州市民唐先生身上。他被骗的更多,有198万余元。而据反病毒公司网秦统计,“假银行”欺诈短信泛滥,单月用户举报量已经突破6000个。 8 、 1月7日,家住广州市番禺区的范女士账户已经被转出30万人民币。 9 、 青田金先生银行账户里转账了90万元。 10 、 家住长宁区的张小姐被转走了70余万元。 11 、 家在江苏的李先生被转走了34余万元。 12 、 杭州金先生的房贷卡30万元被骗走。 13 、 绍兴市民章某在接到假冒的中行网银E令卡升级的短信后,登录假中行网站,48秒100万被偷走。 14 、 绍兴市民魏先生、陆先生也分别被相同骗局骗走了1700元和11多万元钱。 … …            … … … …            … … 据金山网络最新统计数据显示,近两周,访问过中行山寨网站的用户已经多达5万人。 相关链接 公安网:《无锡警媒联手防范“中行网银E令升级”诈骗犯罪》 泡泡网:《银行网银遭山寨 5万用户遭遇网银骗局》 新华网:《"网银升级"诈骗高发 专家称正确辨识使用才是关键》 新快网:《升级网银百万元被转账 八招应对网银诈骗》