【正文】 證 /USB KEY 固態(tài)證書載體 動態(tài)密碼保護(hù) 雙重密碼保護(hù) 及時語短信提醒 交易限額設(shè)置 ? 客戶登錄網(wǎng)銀或進(jìn)行匯款、支付等關(guān)鍵交易時，我行會向其預(yù)留的手機(jī)上發(fā)送短信，告知客戶一個隨機(jī)生成、一次有效的動態(tài)密碼，這樣一來，即使他人竊取了客戶的卡號、密碼等信息，甚至截取了以前的動態(tài)密碼，也無法冒名使用網(wǎng)銀，盜用資金。 ? 對交易信息進(jìn)行加密，使他人無法破解客戶和我行互相傳遞的信息。興業(yè)銀行 其他銀行（ 50家以上） 二、手機(jī)動態(tài)密碼認(rèn)證方式 網(wǎng)上銀行多重安全防范措施 CFCA數(shù)字證書認(rèn)證 /USB KEY 固態(tài)證書載體 動態(tài)密碼保護(hù) 雙重密碼保護(hù) 及時語短信提醒 交易限額設(shè)置 ? 客戶申請成為我行個人網(wǎng)銀的數(shù)字證書用戶后，我行即頒發(fā)唯一標(biāo)志此用戶的數(shù)字證書，供客戶裝載到計算機(jī)里，或者裝在形似小優(yōu)盤的 USBKey中隨身攜帶。深圳發(fā)展銀行 中國民生銀行 中國光大銀行 交通銀行 中國農(nóng)業(yè)銀行 網(wǎng)銀安全現(xiàn)狀 灰鴿子 網(wǎng)銀安全現(xiàn)狀 在觀察一個偽造工行網(wǎng)銀支付界面的釣魚網(wǎng)頁時，通過地址欄可以看到，它的 URL（網(wǎng)頁地址）與正當(dāng)工行支付網(wǎng)頁的 URL（網(wǎng)頁地址）完全不同，這也是當(dāng)前常見的網(wǎng)銀盜竊手段，即不法分子利用各類誘惑信息欺騙網(wǎng)銀用戶首先進(jìn)行一個小額支付（通常為 1元），發(fā)來的鏈接卻是釣魚網(wǎng)頁，以此偷取受害用戶的網(wǎng)銀信息 釣魚網(wǎng)站 網(wǎng)銀安全現(xiàn)狀 網(wǎng)銀安全現(xiàn)狀 另類釣魚網(wǎng)站 中獎（ 另類釣魚網(wǎng)站 中獎 另類釣魚網(wǎng)站 中獎 三、網(wǎng)銀安全措施現(xiàn)狀 網(wǎng)上銀行登錄主要認(rèn)證方式介紹 一、數(shù)字證書（私鑰）認(rèn)證方式 存放在電腦中 存放在 USB KEY中 二、動態(tài)口令（一次性口令）認(rèn)證方式 口令卡 認(rèn)證令牌 手機(jī)動態(tài)密碼 三、雙渠道交易確認(rèn)方式 網(wǎng)上銀行認(rèn)證方式 一、數(shù)字證書（私鑰）認(rèn)證方式（第三方： CFCA） 目前正在使用 CFCA提供的證書的銀行有： 它所生成的木馬無論通過何種形式傳播，盜取的網(wǎng)銀帳號和密碼都會自動發(fā)送到不法分子指定的服務(wù)器中 網(wǎng)銀大盜 網(wǎng)銀安全現(xiàn)狀 網(wǎng)銀大盜生成器 灰鴿子 灰鴿子 遠(yuǎn)程控制木馬的控制界面，不法分子可以對中招機(jī)器進(jìn)行的操作包括： 文件管理、獲取系統(tǒng)信息、剪貼板查看、進(jìn)程管理、窗口管理、鍵盤記錄、服務(wù)管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控 …… 可以 說，用戶在本地能看到的信息，使用灰鴿子遠(yuǎn)程監(jiān)控也能看到。 17 荊州人趙蓉的網(wǎng)上銀行帳戶上的資金被劃走 ： 2022年 7月 ， 黑龍江人付某使用了一種木馬程序 ， 掛在自己的網(wǎng)站上； 荊州人趙蓉下載付某的軟件 ， 木馬就 “ 進(jìn)入 ” 電腦 ； 屏幕上敲入的信息通過郵件發(fā)出：賬戶 、 密碼； 付某成功劃出 1萬元； 抓獲付某時 ， 他已獲取 7000多個全國各地儲戶的網(wǎng)上銀行密碼 。 CERT/CC的誕生 — DARPA成立 CERT（ Computer Emergency Response Team），以應(yīng)付類似 “ 蠕蟲（ Morris Worm） ” 事件 國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 2022年至 2022年兩年間 ,電腦高手劉某利用木馬軟件 7次作案，破解網(wǎng)上銀行，盜竊 3萬元 . ? 2022年 04月 — 5月 ,北京地區(qū)使用工商銀行網(wǎng)上銀行的客戶 ,陸續(xù)有人發(fā)現(xiàn)自己賬戶中的存款被人轉(zhuǎn)移到陌生賬號上 ,被盜金額從幾百到一萬不等 . 黑客使用偽造的工商銀行的假網(wǎng)站 ,用戶登錄假網(wǎng)站后 ,網(wǎng)站的病毒程序會將盜竊來的賬號密碼發(fā)到指定的郵箱 . 國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 江蘇 21歲的大專生汪某 ， 利用把淘寶網(wǎng)會員號借給網(wǎng)友購物之機(jī) ， 暗中記下網(wǎng)友的網(wǎng)絡(luò)銀行卡號 ， 套走存款 3177元； ? 甘肅王某趁公司演示網(wǎng)上銀行業(yè)務(wù) ， 快速地記公司賬號及網(wǎng)上銀行客戶卡密碼 。 機(jī)理 利用 sendmail, finger 等服務(wù)的漏 洞，消耗 CPU資源，拒絕服務(wù)。 1979年他和他的伙伴侵入了北美 空防指揮部 1983年的電影 《 戰(zhàn)爭 游戲 》 演繹了同樣的故事，在片 中，以凱文為原型的少年黑客幾 乎引發(fā)了第三次世界大戰(zhàn)。利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機(jī)上，向美國 CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從 CITYBANK銀行在紐約的計算機(jī)主機(jī)里竊取 1100萬美元。 我國網(wǎng)上銀行的發(fā)展始于 1997年 ,招商銀行率先推出網(wǎng)上銀行 ,接著中國工商銀行、中國建設(shè)銀行、交通銀行、中國銀行、中國農(nóng)業(yè)銀行等也紛紛開通網(wǎng)上支付業(yè)務(wù)。德國 1997年開始提供 網(wǎng)上銀行業(yè)務(wù)是目前最大的網(wǎng)上零售國， 隨后， 日本、韓國、新加坡也迅速發(fā)展起來。 網(wǎng)上銀行 網(wǎng)上銀行提供的金融業(yè)務(wù)大致分為三大類 : ? 信息、查詢和交易 目前，網(wǎng)上銀行已經(jīng)遍布 180多個國家，容納了 360萬個網(wǎng)絡(luò)，接入了 1億多臺電腦，有 100多萬信息源， 5億多用戶。構(gòu)建現(xiàn)代安全網(wǎng)絡(luò)銀行 一、網(wǎng)絡(luò)銀行概念 網(wǎng)上銀行 是指利用互聯(lián)網(wǎng) /WWW技術(shù) ,通過建立互聯(lián)網(wǎng)站點和 WEB主頁 ,為客戶提供有關(guān)銀行業(yè)務(wù)與信息服務(wù)（如提供存貸、電子商務(wù)、帳戶管理）等服務(wù)的各種金融服務(wù)的銀行機(jī)構(gòu)。 網(wǎng)上銀行的定義： 網(wǎng)絡(luò)銀行中，用戶通過個人電腦、掌上電腦、手機(jī)或者其它數(shù)字終端設(shè)備，采用撥號連接、專線連接、無限連接等方式，登錄互聯(lián)網(wǎng)，享受網(wǎng)上銀行的服務(wù)。 網(wǎng)銀操作流程 網(wǎng)上銀行發(fā)展概況 1999年 6月， IBM公司的一項統(tǒng)計數(shù)字標(biāo)明， 斯堪的那維亞地區(qū)網(wǎng)上銀行業(yè)務(wù)的發(fā)展在 歐洲處于領(lǐng)先地位。 自 1995年世界上第一家網(wǎng)上銀行 —— 美國安全第一網(wǎng)絡(luò)銀行誕生，短短十幾年間， 網(wǎng)上銀行便在世界范圍內(nèi)得到了迅速的發(fā)展。 網(wǎng)銀國內(nèi)外發(fā)展?fàn)顩r 起初在 美國 其他國家發(fā)展?fàn)顩r 我國發(fā)展?fàn)顩r 網(wǎng)上銀行發(fā)展概況 二、網(wǎng)銀安全現(xiàn)狀 國外網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 花旗銀行網(wǎng)站遭遇黑客 ， 20萬信用卡用戶信息被盜； ? 韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時間癱瘓及大量交易數(shù)據(jù)丟失 ； ? 94年末，俄羅斯黑客弗拉基米爾 國外網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 2022年 2月 6日前后 ， 美國 YAHOO等 8家大型網(wǎng)站接連遭受黑客的攻擊 ， 直接經(jīng)濟(jì)損失約為12億美元 ； 國際知名黑客 凱文米特尼克 凱文 ?米特尼克是美國 20世紀(jì)最 著名的黑客之一，他是 “ 社會工 程學(xué) ” 的創(chuàng)始人。 著名病毒 莫里斯蠕蟲（ Morris Worm） 時間 1988年 肇事者 Robert T. Morris , 美國康奈爾 大學(xué)學(xué)生，其父是美國國家安全局安全專家。 影響 — Inter上大約 6000臺計算機(jī)感染， 占當(dāng)時 Inter 聯(lián)網(wǎng)主機(jī)總數(shù)的 10%，造成 9600萬美元的損失。 并找機(jī)會將 12萬元資金劃撥到了其事先開立的 “ 楚鑫 ” 賬戶上； ? 哈爾濱市某高校４名大學(xué)生利用網(wǎng)上銀行轉(zhuǎn)賬 ， 盜取哈爾濱工商銀行多個儲蓄所５３萬余元巨款； 國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 2022年 10月 ， 三名犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號 ， 然后登陸該銀行網(wǎng)上銀行網(wǎng)站 ， 嘗試破解弱口令 ， 并屢屢得手； ? 2022年 7月，某市一 17歲在校生劉某，利用互聯(lián)網(wǎng)傳播 “ 網(wǎng)銀大盜 ” 木馬程序，盜取了134個網(wǎng)民的銀行賬號和密碼，并將他人銀行賬戶上的錢款轉(zhuǎn)到自己的賬戶中，先后共盜取他人存款 5萬余元； 國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例 ? 貴州 11歲兒童在網(wǎng)上購買了專門用于套取工行銀行網(wǎng)上銀行個人賬戶和密碼的假冒網(wǎng)址， 并冒充工行網(wǎng)上客戶服務(wù)人員 ， 以幫助李某某解決網(wǎng)上銀行不能登錄問題為由 ， 騙取信任后讓李某某在自己購買的中國工商銀行假冒網(wǎng)站上填寫銀行賬戶相關(guān)信息進(jìn)行網(wǎng)上銀行卡的升級 ， 從而盜取了李某某的工行個人網(wǎng)上銀行賬號及密碼 。 利用木馬進(jìn)行攻擊 安全事件： 付某： 三、網(wǎng)銀 典型網(wǎng)絡(luò)犯罪工具 網(wǎng)絡(luò)銀行受到攻擊的典型案例 ?網(wǎng)銀大盜 ?灰鴿子 ?釣魚網(wǎng)站 網(wǎng)銀安全現(xiàn)狀 不法分子在向 木馬 作者繳納一定注冊費(fèi)后（費(fèi)用標(biāo)準(zhǔn)與所選擇的功能掛鉤），再填入收取所盜網(wǎng)銀帳號密碼的 FTP服務(wù)器地址 ，便可以生成專為自己進(jìn)行網(wǎng)銀盜號的木馬。如果用戶在電腦上進(jìn)行網(wǎng)上銀行交易，則遠(yuǎn)程屏幕監(jiān)控容易暴露用戶的帳號，再加上鍵盤監(jiān)控，用戶的密碼也岌岌可危。中國工商銀行 中國建設(shè)銀行 中信銀行 華夏銀行 廣東發(fā)展銀行 上海浦東發(fā)展銀行 ? 當(dāng)客戶進(jìn)行網(wǎng)上銀行操作時，證書會幫助我行認(rèn)證客戶的身份，防止他人偽冒客戶身份。 ? 對交易信息進(jìn)行數(shù)字簽名，使他人無法篡改交易信息。 ? 動態(tài)密碼中包含用戶所進(jìn)行的交易中的收款賬號、交易金額等敏感信息，供用戶核對，防止黑客的“中間人攻擊”。 ? 動態(tài)密碼如沒有收到，相關(guān)頁面上均有“重發(fā)動態(tài)密碼”按鈕，