防范“網(wǎng)絡(luò)釣魚” 動態(tài)密碼打響保衛(wèi)戰(zhàn)
(聯(lián)合電訊社/上海)--最近一個月的時間內(nèi),江蘇連續(xù)發(fā)生了100多起網(wǎng)銀用戶被騙的案件,中國銀行百名用戶被釣魚。另據(jù)RSA反欺詐指揮中心2010年12月報告顯示,中國已成為遭受網(wǎng)絡(luò)釣魚攻擊數(shù)量最多的五個國家之一,并較上月呈現(xiàn)了4%的增長。
國內(nèi)專業(yè)的動態(tài)密碼身份認(rèn)證企業(yè)——上海動聯(lián)信息技術(shù)有限公司技術(shù)總監(jiān)胡永剛介紹了黑客犯罪的過程:近期的網(wǎng)絡(luò)安全欺詐實(shí)際上主要是利用普通時間型動態(tài)密碼令牌不能防釣魚的漏洞。首先,犯罪分子通過發(fā)送詐騙短信,誘騙登陸欺詐釣魚網(wǎng)站,并誘使用戶輸入帳號、密碼和動態(tài)口令,在獲取用戶真實(shí)密碼和動態(tài)口令后,在1分鐘內(nèi)犯罪分子快速登錄中國銀行網(wǎng)上銀行官方頁面完成轉(zhuǎn)賬。在短短的1分鐘內(nèi),由于動態(tài)口令還沒來得及更新,犯罪分子可以輕易登錄客戶賬戶,將帳戶上的金額全部轉(zhuǎn)走。
胡總監(jiān)介紹說:“上述案例再次證明,安全問題是一個綜合性的問題。上述案例中的被盜,并不是由于動態(tài)口令自身被破解或偽造造成,而是黑客通過釣魚得到了真實(shí)的動態(tài)口令。任何單一的技術(shù)手段,在應(yīng)用上,都可能存在漏洞。就像普通Usbkey不能防止木馬攻擊一樣,普通時間型動態(tài)口令不能防止釣魚。不過,合理應(yīng)用動態(tài)密碼,完全可以達(dá)到網(wǎng)絡(luò)安全的要求。動態(tài)密碼有多種種類,在國外是一個應(yīng)用成熟的身份認(rèn)證技術(shù)形式,因其較高的安全性、簡單易用的模式而被網(wǎng)銀用戶高度認(rèn)可。”
針對此情況,業(yè)內(nèi)專家認(rèn)為,像中國銀行網(wǎng)銀出現(xiàn)的問題,其實(shí)可以通過以下幾種方式來避免:1、采用挑戰(zhàn)應(yīng)答動態(tài)令牌,用交易的關(guān)鍵信息作為挑戰(zhàn)輸入令牌,得到動態(tài)口令;這樣交易信息就跟動態(tài)口令捆綁在了一起,黑客如果篡改了交易信息,認(rèn)證將無法通過。2、建立用于交易確認(rèn)的第二通道,如短信、電話等,當(dāng)用戶需要交易時,將交易信息和確認(rèn)碼通過短信或電話通知用戶,用戶輸入確認(rèn)碼才能完成交易。3、交易風(fēng)險實(shí)時監(jiān)控,對于非常用的IP和不符合交易習(xí)慣的操作,進(jìn)行動態(tài)密碼二次甚至多次認(rèn)證;通過上述方式,完全可以保障交易的安全。另外,動聯(lián)現(xiàn)在能夠提供更強(qiáng)功能的K8動態(tài)密碼令牌產(chǎn)品,該產(chǎn)品擁有高于USBKEY的安全性,包含開機(jī)密碼保護(hù)、主機(jī)驗(yàn)證、挑戰(zhàn)應(yīng)答、交易簽名等方式,真正做到網(wǎng)銀安全的無懈可擊。
上海動聯(lián)信息技術(shù)有限公司(dynamicode.com.cn)是身份安全領(lǐng)域的領(lǐng)先廠商,致力于身份安全產(chǎn)品的自主研發(fā)、生產(chǎn)、銷售和服務(wù),為政府、金融、電信、電子商務(wù)、網(wǎng)絡(luò)游戲和企業(yè)機(jī)構(gòu)等提供專業(yè)的身份安全產(chǎn)品和解決方案。
動聯(lián)注冊于上海張江高科技園區(qū),在北京、廣州、深圳、成都、杭州、香港等地設(shè)有分支機(jī)構(gòu)。動聯(lián)的動態(tài)密碼身份認(rèn)證系統(tǒng)和動碼令終端已廣泛應(yīng)用于銀行、證券、電信、企業(yè)、政府等國內(nèi)外的著名企業(yè)和機(jī)構(gòu),如中國工商銀行、中國銀行、交通銀行、中國移動、中國電信、國信證券、國泰君安證券,在同類產(chǎn)品中動聯(lián)的市場占有率名列第一。
作為商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位和銷售單位、國家雙軟企業(yè)和ISO 9001:2008國際質(zhì)量體系認(rèn)證企業(yè),動聯(lián)堅(jiān)持技術(shù)創(chuàng)新的核心理念,擁有強(qiáng)大的技術(shù)開發(fā)實(shí)力,不斷致力于身份安全產(chǎn)品和動碼令®身份認(rèn)證中心的研發(fā)。動聯(lián)擁有完善的資質(zhì),包括“商用密碼產(chǎn)品型號證書”、“軟件產(chǎn)品登記證書”、“計算機(jī)軟件著作權(quán)登記證書”、“計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”、“涉密信息系統(tǒng)安全產(chǎn)品認(rèn)證”、“產(chǎn)品信息安全認(rèn)證證書”,并獲得多項(xiàng)專利。
秉承“客戶導(dǎo)向、卓越創(chuàng)新、正直誠信、全心投入”的企業(yè)價值觀,動聯(lián)將努力實(shí)現(xiàn)“保障電子交易和信息系統(tǒng)的安全,成為身份安全產(chǎn)品和服務(wù)領(lǐng)先者”的發(fā)展愿景。