APP下载

网络支付的安全防范

2016-09-10

检察风云 2016年2期
关键词:数字证书口令密码

网络支付中的风险隐患

假冒用户身份信息

传统交易支付中,买卖双方可以在面对面观察的过程中确认对方身份的真实性。但在线交易时,买卖双方均相距甚远。支付方对于商家的身份并不知晓,而商家对于何人支付、资金如何入账以及网上支付工具是否真实等亦不确定。这就给某些违法分子利用非面对面的网络交易进行欺诈提供了可趁之机。通常,违法分子会利用非法手段来攻击、盗用合法用户的身份信息,并冒用合法用户的身份与他人交易,从而获取非法利益。在此过程中,不法分子对数据信息的窃取、使用,对于重要资料的修改、删除,也极大程度地干扰了合法用户对于网络支付的正常使用。

遭遇“网络钓鱼”

某些违法分子会利用用户安全意识较为薄弱的漏洞,采用虚假网站、虚假网络支付界面等“钓鱼”手段,来窃取用户的银行资金信息。一般而言,违法分子会事先建立一个虚假的电子商务网站,并在网站上发布各类虚假的商品信息。当用户点击这一网站购买商品时,即会被链接到虚假的银行支付界面。一旦用户在该虚假支付界面上输入银行卡号、密码等信息,这些信息就会立即被违法分子所窃取。

植入“木马程序”

除了“网络钓鱼”之外,“木马程序”也是网络支付中的一项常见风险隐患。违法分子会利用“木马程序”等网络技术,来盗取用户的银行账号、密码,或者客观的文件证书。

通常情况下,违法分子会将“木马程序”捆绑在一些软件与程序文件中,并发布至网站供人下载。用户一旦下载并安装了这些带有“木马程序”的软件后,计算机即中了木马病毒。用户一旦在该台计算机上登录自己的网银,并通过键盘输入银行账号与密码后,“木马程序”即会获取键盘输入信息,并自动通过邮件形式发送至违法分子邮箱,从而导致客户的网上银行账号与密码被窃取。

支付密码泄露或支付数据被篡改

部分用户安全防范意识较弱,在设置银行卡密码时,往往将密码设置得过于简单或特征过于明显。譬如,有些网银用户习惯将自己的密码设置为出生日期、身份证号后几位,或类似于“123456”、“888888”等简单数字。这些设置过于简单的密码,非但不能起到有效保护之作用,反而容易被违法分子所窃取。一旦违法分子获取了用户的银行卡号,其就可以有意识地破解用户设置的密码,进而轻而易举地进入资金账户,盗取用户资金。

此外,在缺乏必要的安全防护措施的情形下,违法分子可以极为轻松地对互联网传输中的支付数据予以篡改。通常,违法分子会利用各种黑客技术来篡改银行卡号、收款方账号以及支付金额等,从而达到获取不法利益之目的。

为账户资金增添安全屏障的网络支付工具

各类网络支付安全工具的普及,无疑可以为用户资金账户的安全性增添一道坚实的屏障。用户利用安全工具来实现在线交易,不仅可以降低网络支付的风险,亦可令支付活动更具保障性。当前,市场上较为主流的网络支付安全工具有以下几种:

短信验证码

短信验证码服务,是网上银行为了强化安全技术手段,保障用户账户安全而推出的一项安全支付工具。所谓短信验证码,即是银行等企业给予用户某一具有唯一性的凭证,并通过短信内容来验证用户身份。作为一项安全验证活动,短信验证码整合了网上银行、电话银行以及手机短信等相互协调互动的优势,从而为网银用户的网络支付提供安全屏障。

网络支付中所使用的短信验证码服务大多涉及活期转账汇款、跨行转账、批量转账、向企业转账等多种交易类型。网银用户开通短信验证码服务后,其在使用网络支付时,系统即会向用户此前绑定的手机号码发送短信验证码,用户需要在规定的时间,如五分钟以内准确输入接收到的验证码,并启用校验认证。当前,网络支付中还可对短信验证码的最低交易限额予以设定。如果某次在线交易的资金额度大于用户设定的短信验证码限额,系统就会要求用户进行短信验证。反之,如在线交易的金额小于用户设定的短信验证码限额,系统则不会要求用户予以短信验证。

数字证书

数字证书类似于现实生活中的身份证件,但其并非严格意义上的纸质证照,而是一个经过证书授权中心数字签名,且包含公开密钥与公开密钥拥有者信息的电子文件。除了前述内容外,数字证据的另一大特点,是其仅在特定时间段内有效。数字证书可应用于网上银行、网上证券交易、安全站点访问、网上签约、网上采购等电子商务、电子交易安全处理活动。其得以在电子商务中的广泛运用,关键在于作为数字证书核心内容的加密技术,可以对通过网络传输的信息予以数字签名、数字验证与加密、解密,从而保证网络传输信息的完整性、秘密性与不可抵赖性。

数字证书内存储有大量字母与数字,当需要应用其进行身份认证时,数字证书即会随机生成128位各不相同的身份码。这如同密码般极为复杂,且各不相同的身份码,可以有效保障网上数据传输的安全性。用户如果使用了数字证书这一网络支付安全工具,即使其发送的信息在网络上被违法分子所截获,甚至造成个人银行账户、密码等信息丢失,数字证书仍可以保证用户的个人账户与资金安全。简单来说,用户在其电脑或手机上安装数字证书后,即使其网络支付密码被盗,违法分子也只能在用户先前安装有数字证书的设备上才能支付,从而有效保障用户的账户资金安全。

动态口令

动态口令是根据特定算法而生成的随机数字组合,该口令仅可使用一次,且具有不可预测性。根据这一特点,动态口令也已成为网络支付中的一项重要身份认证技术。当前,网络支付中使用较多的动态口令,主要有动态口令卡与动态口令牌。

动态口令卡是类似于银行卡片大小的网银安全工具。卡片背面有横向、纵向坐标,以矩阵形式印有80个字符串。用户申领的新卡,在动态口令卡背面均有保护覆膜覆盖。当用户使用动态口令卡进行网上交易支付时,网上银行系统会随机跳出一组坐标,用户必须从卡片中找到对应坐标,并准确输入坐标内的字符组合,才可完成网络支付。这一动态密码组合只能使用一次,一旦交易结束后即失效,能够防止交易密码被违法分子所盗取。

动态口令牌从技术角度划分存在多种形式,而当前最为主流的则是基于时间同步的动态口令硬件令牌。该安全工具与服务器的时间同步,通过特定算法来生成相互一致的六位或八位数字的动态口令。其一般每60秒钟更换一次新口令,且口令仅为一次有效。该同步技术的关键在于国际标准时间,这要求服务器与令牌必须保持严格同步,以确保动态口令牌的正常使用。因而,在实际使用过程中,用户对于基于时间同步的动态口令牌的保护也就显得尤为重要。一方面,用户在使用时,应当避免在高温、高压、震动、磁场、水浸等环境下使用动态口令牌,以防其时钟脉冲受损。另一方面,用户应保护好动态口令牌的系统时钟,不随意更改,以防止时间同步出现问题。

优盾

优盾,又称U盾、USB Key、USB Token,适用于安全级别较高的用户在网上交易支付时使用。优盾外形接近于普通优盘,其安全性能则如同盾牌一般防护,因而得名。在网络支付中,优盾可以保护用户网银资金的安全,并避免虚假网站、黑客以及木马病毒所带来的各类风险。

从优盾的原理而言,其是一种带有USB接口的硬件设备。优盾内部置有智能芯片或者单片机,且有一定的储存空间,可以存放用户的数字证书以及私钥,并可利用优盾内置的公钥算法来对用户的身份进行安全认证。从设计原理而言,用户的私钥并存放于密码锁之中。这使得该私钥无法被其他方式所读取,进而有效保证了用户身份认证的安全系数。

在使用优盾时,用户首先需要到相应银行网点申请并办理优盾业务。当优盾第一次在电脑上使用时,用户需要下载相应网银控件,并安装优盾驱动程序。随后,用户需根据计算机系统的安全提示,下载个人客户证书至优盾内。完成这些操作步骤后,用户即可利用这一安全工具来保障转账、缴费、汇款等网络支付的安全性。

网络支付中的安全防范措施

网站信息甄别与核对

用户在登录网站进行网上购物时,应当选择运营时间长久,且信誉良好的大型电商网站进行购物。切勿在某些不明网站或虚假网站上进行购物,在访问这些网站时,应当仔细核对网站的网址,以防进入钓鱼网站后造成自身的账号、密码以及其他重要信息被违法分子所盗取。

当用户选择购买购物网站上的商品后,电商网站会转入网银支付界面。用户在输入用户名与密码,进入网上银行支付页面后,应当仔细核对先前由用户自行设置的“预留信息”是否准确。

谨慎设置网络支付交易密码

支付密码,是网络支付的一项重要凭证。违法分子在实施其不法行为时,往往会采用各种黑客攻击手段来获取这一密码。现实生活中,不少用户设置的网络支付交易密码过于简单或特征性过于明显,也给违法分子提供了可趁之机。因此,为了保障网络支付的安全性,应当谨慎设置网络支付密码。较为有效且安全的方法则是将密码设置为数字、符号与字母相互混合的组合,且避免使用手机号码、证件号码、出生日期等容易被破解的数字作为自己的网络支付密码。此外,当前不少网络支付工具,均设置有登录密码与支付密码两项密码。这一设计的初衷即是为了给网络支付提供“双重保险”。因而,用户在设置这些密码时,不应为了贪图方便而将登录密码与支付密码设置为相同的密码组合,而应当分别设置两个独立的密码,以增强网络支付的安全性。

保证计算机与手机安全

用户对经常用于网络支付的计算机或手机,应当及时安装、更新防病毒软件和防火墙,并下载安装最新的浏览器、操作系统安全程序和补丁,定期对计算机和手机进行杀毒,以保证网络支付环境的安全性。当前,手机的便捷性,令越来越多人倾向于使用手机进行网络支付。但在享受这一便捷的同时,违法分子也利用伪基站来冒充正规的电信运营商,向用户发送各类短信链接并要求用户予以下载。但实际上这些链接的背后均是“钓鱼网站”,用户一旦上当,即会造成财产损失。因而,对于当前计算机与手机安全的保障与维护,也是网络支付中的一项重要安全防范措施。

切勿在公共上网场所、公用WiFi环境下进行网络支付

完全开放的公共上网场所以及公用WiFi,极有可能成为违法分子的犯罪工具。用户在公用网络环境下进行网络支付所输入的账户、密码等信息,易被违法分子利用黑客技术所盗取。此外,公共网络如被违法分子利用后,即使用户输入的是正确网址,也会跳转至违法分子事先设定好的高仿真虚假网站。用户如在这一“钓鱼网站”上输入账号和密码,即会导致自身信息的泄露。因此,用户在使用网络支付之前,应当确保网络环境的安全性。无论是使用公用电脑,抑或家用电脑,均应在网络支付之前,开启防火墙功能,以保障自身的交易安全。

妥善保存自己的网络支付安全工具

当前,诸如动态口令卡、动态口令牌、优盾、电子密码器等网络支付安全工具的引入,无疑有效提升了用户网络支付的安全系数。因而,用户在使用这些网络支付安全工具时,应当妥善保存,切勿将各类网络支付安全工具交给其他人员。如果用户不慎遗失了网络支付安全工具,应当尽快至银行网点办理挂失与补办,以防网络支付安全工具被他人所利用,对用户自身的账户资金安全带来危害。

栏目主持人:黄灵 yeshzhwu@foxmail.com

猜你喜欢

数字证书口令密码
密码里的爱
高矮胖瘦
口 令
密码抗倭立奇功
好玩的“反口令”游戏
当心黑客利用数字证书的漏洞
SNMP服务弱口令安全漏洞防范
密码藏在何处
基于数字证书的军事信息系统安全防护方案
夺命密码