【正文】 通信信息若被輕易的監(jiān)聽、分析，用戶身份的安全也就蕩然無存，所以通信上的安全與保密是 POS 安全特性中極其重要的一面。因為 POS上做任何交易都得與銀行主機進行通信，相當于銀行的一臺終端。 （ 3）通信傳輸中的信息安全。在處理 POS 交易前，要識別持卡人的身份，防止他人盜用合法持卡人名義進行非法的 POS交易，以保護消費者數(shù)據(jù)的完整性和保密性。 （ 2）用戶的身份安全。 POS本身的物理安全主要體現(xiàn)在其物理 陽泉學院 畢業(yè)論文 27 封裝上是否堅固耐用，能夠承受相應的碰擊而不致?lián)p壞，能夠承受一定程度的化學、電氣和靜電的損害。 （ 1） POS 的物理安全。 從上述分析可知， POS系統(tǒng)的安全不僅僅是軟件系統(tǒng)邏輯上的安全，而且還包括 POS本身的物理 上的安全。 （ 3）主動攻擊。 （ 1）使用非法的物理設備，通過部分合法的信息，冒用合法的操作員進行交易，一起進入系統(tǒng)。主要表現(xiàn)在：風險意識淡薄、警惕性不足；軟件系統(tǒng)和日常維護管理不嚴；規(guī)章制度不健全，業(yè)務操作不規(guī)范；卡產品技術設計上的缺陷，為犯罪分子提供了可趁之機；自助設備硬件上的風險；網絡安全風險；服務響 應風險；對賬手段相對落后。 （ 2）內部風險。 另外，外部分險還表現(xiàn)在客戶的自我保護意識方面不強，人們普遍缺乏安全意識，隨手丟棄存取款憑條或交易憑證、在無保護狀態(tài)下進行密碼輸入等情況相當嚴重，磁道信息或帳戶密碼極易被犯罪分子獲得，為變造、偽造、克隆銀行卡和進行網上犯罪提供了便利；有的網上銀行客戶對個人數(shù)字證書的安全 意義認識不足，保管不當，在多臺或公用計算機中安裝了個人數(shù)字證書；有的客戶賬戶交易密碼設置過于簡單；有的為了避免忘記密碼，將卡、折和密碼一起存放。 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 虛假提示 √ √ √ 人為制造 ATM 吐超故障 √ 人為制造 ATM 吐超假象 √ √ 加裝工具盜取銀行卡 √ √ 加裝鍵盤盜取密碼 √ √ 假插卡槽盜取卡信息 √ 藏攝像頭偷拍密碼輸入 √ √ 門禁加裝刷卡器盜取密碼等信息 √ √ 轉移客戶注意力 √ 陽泉學院 畢業(yè)論文 26 并盜取卡和密碼 仔細分析這些手法，可以歸納出每一種手法采用了一種或多種作案手段。 手法十：不法分子用膠水封堵自助銀行自動門的刷卡器，在旁邊安裝另一個有輸入密碼的刷卡器，里面有一通信電話卡，只要持卡人輸入的密碼后刷卡，其信息資料九以短信的形式發(fā)往犯罪嫌 疑人的手機上。 陽泉學院 畢業(yè)論文 25 手法八：不法分子在自助銀行門上的刷卡器上安裝自制的磁條讀寫裝置，假冒成門禁系統(tǒng)以遮擋住原來的門禁系統(tǒng)，并貼上“刷卡后請按密碼確認”等提示語言字樣，誤導客戶操作，竊取銀行卡卡號和密碼，制造假卡行騙。 手法七：不法分子在 ATM柜員機安裝秘密攝像裝置，竊取持卡人密碼。 手法六：不法分子在廣告夾里藏攝像鏡頭。 手法五：不法分子利用假插卡槽作案。 手法三：在客戶使用 ATM取款時，不法分子上前搭話，分散其注意力，設法竊取客戶銀行卡帳戶信息和密碼，或調換客戶銀行卡。 手法一：不法分子冒用銀行或發(fā)卡機構等金融部門名義，在 ATM 機上粘貼“溫馨提示”等虛假“通告”，然后用透明膠帶塞進 ATM 吐鈔口，使機器里的鈔票無法正常吐出，前來取 錢的客戶不能取鈔，情急之下就會撥打 ATM機上虛假“通告”提供的“服務熱線”，被不法分子誘騙進行轉賬操作。例如：通過假象、分散客戶注意力、套取密碼、誤導客戶等方式竊取客戶資金或通過轉賬轉出客戶資金。 自助支付存在的安全問題 ATM 交易存在的安全問題 （ 1）外部風險。正確的路由控制可以避免是敏感數(shù)據(jù)進入危險的節(jié)點和鏈路。 （ 6）路由控制 路由控制一般由網絡服務商提供，是信息經安全可靠的子網、中繼網或節(jié)點進行傳送。 （ 5）訪問控制 與數(shù)據(jù)庫中的訪問控制類似，給每個客戶賦予適當?shù)牟僮骱驮L問權限， 其目的是為了拒絕非法訪問和使用網絡資源，以保障網絡系統(tǒng)的安全。為了防止這些情況的發(fā)生，就要采取信息的完整性控制。 （ 3）信息認證 信息認證時信息安全的另一個重要方面，要驗證信息的確來自授權方，網絡中互補認識的雙方要進行的通信，必須事先取得權威機構的身份證書，才能取得對方的信任。它是利用數(shù)據(jù)加密算法來實現(xiàn)數(shù)據(jù)保密的方法和 技術。因此保證電話銀行系統(tǒng)的網絡安全也是十分必要的。 電話支付計算機系統(tǒng)方面的安全策略 （ 1）網絡安全 網絡安全是信息安全的基礎，也是銀行數(shù)據(jù)安全、系統(tǒng)安全的前提條件。電話支付計算機系統(tǒng)主要處理客戶通過電話提出的各種服務請求，并與銀行主機進行數(shù)據(jù)處理即數(shù)據(jù)交換，完成各種指令。所以，智能手機的安全性應當引起人們的關注。 （ 4）如 果客戶使用的是智能手機，那么就要注意這個高科技產物的安全性了。網上支付以及電話支付時，盡量使用不同的密碼。 （ 3）盡量使用不同的密碼。因為電話支付必須要通過用戶綁定的電話進行支付，也就是說賬號、密碼以及綁定電話缺一不可，所以其他人是無法盜用的。 （ 2）客戶在申請電話支付時，最好要綁定一個特定的電話。 電話支付的安全策略 客戶保障自己電話支付賬戶安全需注意 （ 1）客戶要提高自身的安全意識，不給犯罪分子任何可乘之機。” 因此，電話銀行支付不要一味的追求方便便捷，也要考慮 到中國的國情：我國對個人隱私的保護力度還比較弱。虛擬交易則主要通過網絡或電話來完成，翟姐的信用卡被人訂購飛機票就是通過虛擬交易進行的。 與此同時，電話訂票平臺在帶來便利的同時，也埋下了安全隱患。一些銀行為了提高發(fā)卡量，聘請了大量的業(yè)務員去街頭拉業(yè)務，并以免年費、送禮物等方式，吸引一些市民前去辦卡。也引起了人們對電話支付的關注?！便y行工作人員表示。 據(jù)介紹，國內新近推出的電話支付系統(tǒng)不需要開通網銀，由銀行授權給某些商務網站，進行訂票、旅游等服務。 銀行方面調查后則表示，現(xiàn)在很多交易都是在非面對面的情況下進行的，只要有支付密碼以及卡 片的一些相關信息就可以交易，并不一定需要簽名。 翟姐表示，她一直沒遺失過卡，也從來就沒有把資料告訴過別人。不法分子謊稱忘了密碼修改了資料，我們也很難確認打電話的是不是本人。但不法分子是如何修改翟姐資料并盜刷其信用卡的呢？ 銀行方面回應說，客戶修改資料，一是親自到銀行柜臺，出示身份證件修改，二是通過電話修改，如果客戶忘記密碼，他們則會進行嚴格的審核，驗證 客戶在銀行辦卡時填寫的資料信息，諸如身份證號、手機號、親人名字等等，答對后才可修改資料。翟姐一下子懵了。到了 2 月 9 日，翟姐收到了銀行寄過來的賬單。后來銀行保衛(wèi)科打電話稱 她的卡被盜用了，建議她去報案。 冒充她的這個人究竟是誰呢？修改卡的資料又為了什么呢？由于當時銀行工作人員表示“暫時查不了賬戶余額”，翟姐又以為反正卡在自己身上，也沒有受到什么損失，資料也改過來了，就沒再追究下去，只是叫銀行凍結賬戶。 翟姐這才恍然大悟，原來她每次刷卡，銀行都會發(fā)條信息給她的?？头藛T提醒他，如果她想 繼續(xù)使用這張卡，一定要將資料改過來。翟姐打電話去其中一家銀行查詢透支金額，工作人員竟表示，她留的手機號和親人名字都不對。 2 萬多元 翟姐從小在廣州長大，目前是天河一家美容機構的負責人，因為工作需要，這幾年，她前前后后在幾件銀行辦了近 6 張信用卡。 案例分析 信用卡未離身怎被盜刷 2 萬元？“電話訂票”埋隱患 信用卡未離身，居然也可以被人刷走卡里的 2 萬多元！而這樣蹊蹺的事情就發(fā)生在了翟姐的身上。 （ 5）由于電話銀行和網絡銀行的關聯(lián)性，用戶往往用網絡銀行的密碼兼當電話銀行的密碼，使黑客知曉銀行卡密碼后能輕松盜取。由于輸入字母不便，電話銀行的密碼相對簡單，在先進的設備和技術下，其被破解的難度也大打折扣。在操作的時候，每個數(shù)字鍵所發(fā)出的聲音頻率大小不一樣，電子輻射也不一樣，容易被人通過聲音接收設備或電子輻射接收設備，輕易地辨別出操作的是哪一個數(shù)字鍵，這就造成了電話支付在商業(yè)應用或公共場合的應用中存在這極大地安全隱患。 （ 2）電話的鍵盤存在安全隱患?？蛻魧﹄娫掋y行交易的安全只是了解較少在缺乏安全機制或措施的環(huán)境中進行電話支付，例如在公用電話上進行電話支付等。（ 7） 業(yè)務擴展性較好：業(yè)務加載無需對終端、平臺 進行改造，承載業(yè)務內容豐富，具有較好的靈活性、可擴展性 。（ 5） 操作簡單：以菜單和操作提示信息提示用戶完成業(yè)務交互，操作簡單，用戶界面友好 。（ 3） 信息完整性：進行報文的 MAC 校驗，保證報文的完整與不被篡改。（ 1） 網絡安全性：終端與電話支付平臺通過 PSTN 網絡連接，滿足 銀行卡 交易對網絡安全的需要。 電話支付概述 陽泉學院 畢業(yè)論文 19 電話支付基本概念 電話支付是 電子支付 的一種線下實現(xiàn)形式，是指 消費者 使用電話（固定電話、手機、小靈通）或其他類似電話的終端設備，通過 銀行系統(tǒng) 就能從個人銀行賬戶里直接完成 付款 的方式。 因此，可以說數(shù)字證書是網上銀行支付安全的根本保障。 在第二類案件中，不法分子使用的木馬等病毒，即使植入了您的個人電腦，也不能夠從 USBkey 中獲取到帳號和口令；而且，不法分子獲得了帳號和口令信息，也會因為沒有數(shù)字證書證明身份而不能夠對賬戶資金 進行任何操作。 在第一類案件中，當?shù)卿浘W站時，如果有數(shù)字證書在手，通過一種用戶和銀行互相確認對方身份的機制，就能夠檢查出這個網站的真假。 第三類，用戶自己沒能保管卡號和口令，比如犯罪分子通過電子郵件、短信等方式騙取了卡號和口令作案等。 第二類是通過在互聯(lián)網上的機器中植入木馬、病毒等方式來作案。這類案件起是技術含量很低，網絡騙子會做網站并稍懂在互聯(lián)網上竊取信息的技術即可，但他卻占到了網銀安全案例總數(shù)的 95%以上。第二天， 陽泉學院 畢業(yè)論文 18 當她使用密碼任然不能進入自己的網上銀行賬戶時，陳女士才警覺有問題，馬上到開戶銀行查詢，發(fā)現(xiàn)賬戶上 7100 元存款已被人通過網上購物消費掉了。 7 月 28 日凌晨，陸某用倒去的賬號和密碼將李某賬戶中的 2598 元轉移到其事先開好的賬戶內，并準備再次轉移提現(xiàn)?？瓷先ズ唵我仔械姆婪讹L險的辦法，卻沒有引起大家足夠的重視，因而我們也不時能夠聽到網銀不安全事件的發(fā)生，本案例將透過網銀安全事故，分析這些事故時由什么原因造成的 以及使用網上銀行的時候，如何有針對性的采取措施，安全使用網上銀行。 7. 客戶端密碼安全檢測 建行網上銀行支付系統(tǒng)提供了對客戶的客戶端密碼安全檢測，能自 動評估客戶設置的網上銀行密碼安全程度，并給予客戶必要的風險警告，有助于提高客戶在使用網上銀行支付時的安全性。 6. 信息提示，增加透明度 在網上銀行操作過程中，客戶提交的交易信息及各類出錯信息都會清晰地顯示在瀏覽器屏幕上，讓客戶清楚地了解該筆交易的詳細信息。在系統(tǒng)登錄時，還提供了附加碼和密碼小鍵盤等服務，避免泄露顧客的信息。 4. 雙密碼控制，并設定了密碼安全強度 網上銀行支付系統(tǒng)采取登錄密碼和交易密碼兩種控制，并對密碼錯誤次數(shù)進行了 陽泉學院 畢業(yè)論文 17 限制，超出限制次數(shù)，客戶當日即無法進行登錄。 2. 動態(tài)口令卡 建行網上銀行除了向客戶提供證書保護 模式外，還推出了動態(tài)口令卡，可以免除了客戶攜帶證書和使用證書的不便，動態(tài)口令卡樣式輕小、安全性高。在技術方面，客戶證書通過個人證書認證和 數(shù)字簽名技術 ，對客戶的網上交易實施 身份認證 ，并且可以簽署各種業(yè)務服務協(xié)議，確保了交易和協(xié)議的唯一、完整和不可否認。為配合二代網銀盾的推廣使用，建設銀行日前開始舉行 了 “二代網銀盾宣傳語創(chuàng)作大賽 ”活動。 為實現(xiàn)更安全的電子簽名應用，進一步增強客戶的網上銀行安全性體驗，建設銀行推出的二代網銀盾，即將在全行客戶中全面推廣。迄今，已有數(shù)十名網購用戶微博反饋余額被盜用買彩。 陽泉學院 畢業(yè)論文 16 除了“網銀刺客”木馬外，去年底爆發(fā)“多網站泄密門”對網購用戶也造成極大風險。 專家提示，消費者上網購物應注意兩條原則：第一，不點擊陌生人發(fā)來的可疑網址；第二、不打開陌生人發(fā)來的文件。 據(jù)悉，“網銀刺客”木馬惡意利用某截圖軟件，把正當合法軟件作為自身保護傘，從而避開了不少殺毒軟件的監(jiān)控?！? 在購物網站論壇和微博上，與趙女士有著近似遭遇的消費者不在少數(shù)。沒想到的是，付費時出現(xiàn)了‘支付失敗’的提示。根據(jù) 360 網購保鏢監(jiān)測，“網銀刺客”會暗中劫持受害者網銀支付資金，影響十余家主流網上銀行，建議廣大消費者上網購物時開啟安 全軟件防護。 15 消費投訴榜》日前發(fā)布，網購欺詐成為投訴重災區(qū)。操作流程更簡單、快捷。 例建行的網銀盾 建行網銀盾，是建設銀行近期新推出的高強度網上銀行安全產品，是將預先制作 好的電子證書在銀行內部環(huán)節(jié)就直接寫入 USB Key 中，即領即用。完善網絡銀行配套法律法規(guī)建設 ,主要有稅收征管法、國際稅