网络“黑客”花样百出　网络银行安全有待加强

　　满头雾水的曹先生将此事反映到了315投诉网，工作人员给曹先生的解释是，现在许多网络诈骗分子在一些合法正规的电子商务网站上租赁一个网页，在上面发布虚假信息，进行诈骗。而出租网页的公司却只负责收取租金，并没有去审查登载的内容是否属实，这就给不法分子留下诈骗的可乘之机。此外，还有一些犯罪分子用虚假身份去建立网站或网页，这对侦破、取证工作造成很大难度。“心里有阴影了，从那件事以后，在网上购物都只敢选‘货到付款’的方式。”曹先生说。

　　买家被骗，经常进行网上银行转账交易的卖家更是不敢掉以轻心。在淘宝开店的网友“雅室铭”告诉记者，现在出现了针对卖家的网络银行账户骗子，同样通过假链接作案。“他们先是说要买你的物品，要求你提供银行账户，发到他们的邮箱，然后过两天你会收到一封邮件，说款已汇给你(而且上面标明是通过银行留言系统给你留言的)，页面上面有自助银行的假链接，一般如果不注意的话就会直接登录查看银行账户，如果那样的话就上当了。”“雅室铭”称，自己从来都不会在网银账户上存过多的钱。
　　“目前的网络银行欺诈、盗窃手段可以用层出不穷来形容，而且往往是几种手段交错在一起使用，令网络银行用户防不胜防。”一位负责网络银行安全的业内人士指出，目前对网络银行的攻击主要有钓鱼网站、嵌入浏览器执行、键盘记录、甚至窃取数字证书文件等途径。
　　钓鱼网站的攻击是针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页，然后给假网页申请一个酷似官方网址的域名，等待用户由于拼写错误进入欺诈网页，或者通过精心制作的电子邮件，以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗，他们的账号、密码等隐私数据都会立即被发送到不法分子手中。
　　“网银大盗”木马是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银大盗”在监测到用户正在访问某个使用了安全登录控件的地址时，就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面，但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证，而没有对交易过程进行验证的系统，嵌入浏览器的恶意代码甚至能够完全控制一次交易。此外，2004年11月的“网银大盗Ⅱ”木马则是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口，如果用户访问到网银系统登录页面，木马就开始记录用户从键盘上输入的内容，获取网银账号和密码。
　　即便是被看做网银安全“另一把锁”的数字证书，同样不能完全保证网银安全。有些系统允许网银用户把数字证书保存为硬盘文件，但是，“网银木马是具有复制数字证书的能力的，只要数字证书代码是在电脑内存中运行，黑客就完全可以伪造用户进行登录。”一位业内人士指出。而今年3月份发生在上海的建设银行网络银行被盗事件，就是在用户使用了数字证书后依旧被盗的案例。
　　针对用户的网银安全问题层出不穷，针对网银系统服务器端更为老练的攻击也日渐浮出水面。据网络安全专家介绍，过去数个月中，国际上银行信息诈骗手段已经出现了针对网银系统服务器的新方式。诈骗者首先控制一个真正的官方网站，然后诱导客户输入自己的银行信息，但将这些信息存储到诈骗者控制的地点。