中国IT实验室9月19日据新闻晨报:昨天,中国金融认证中心(CFCA)副总经理曹小青透露,据CFCA的最新监控发现,网银大盗对网银的攻击手段、技术有加快更新的趋势,已经从攻击密码转向攻击数字证书。网银用户如果只将数字证书下载后存放在电脑的IE浏览器上,那么其网银账户仍存在风险―――数字证书可能因电脑染上木马病毒而被盗取。
CFCA监测发现,目前网上银行交易面临的不安全隐患主要有两种:一种是在未申请数字证书的前提下,网银用户密码被盗取,导致资金被盗;另一种是,虽然申请了数字证书,但由于没有妥善保管,被网银大盗用木马病毒攻破载有数字证书的电脑,进而造成资金被盗。
曹小青透露,为了提升网银安全,监管部门将要求各银行电子银行禁用“户名+口令”的网银交易方式,因为在该模式下,如果网银用户没有申请数字证书,其网银密码很容易通过网络钓鱼、假冒网站、诈骗短信等方式被骗取。他举例说,最近破获的一起网银盗窃案件中,犯罪分子用80个常见的密码,竟先后“猜”对了上万个账户。
但是,即便网银用户申请了数字证书,却将其下载后放在电脑IE浏览器上(业内称之为“软证书”),依然存在风险―――证书被木马病毒破译。
据了解,到目前为止,网银领域尚未出现一例因数字证书安全机制被攻破而使用户资金受损的案件。目前新出现的一些网银盗用案件,并非数字证书机制本身不安全,而是用户在数字证书保管和使用过程中出现了问题。
“保管好数字证书至关重要。”曹小青建议,目前比较科学的、最为安全的做法是,把数字证书下载在USBKEY(类似U盘,业内称之为“硬证书”)里,数字证书只有封装在里面并被用户随身携带,木马病毒才会对其束手无策。
CFCA建议,保管好数字证书必须做到以下三点:首先,一定要将数字证书放在USBKEY内;交易时,插在电脑USB接口上,交易完成后及时拔出妥善保管;如果存放数字证书的USBKEY有损坏、丢失等,要及时告知银行。