前不久,一家银行网上银行(简称“网银”)用户蔡某16万余元被盗,引起广大网银用户的关注。警方侦破案件后发现,不法分子通过侵入被害人的电脑并安装木马程序,盗取其银行账号、密码和数字证书,从而转出账户内存款。
中国金融认证中心(CFCA)总经理李晓峰日前表示,在网上银行快速发展的同时,不安全事件时有发生,不法分子的作案手段也不断翻新。这种通过木马病毒盗用网银用户的“软证书”(放在浏览器中的网银数字证书)的方式,成为网上银行面临的新的安全问题,必须引起重视。
李晓峰说,目前我国网上银行发展面临的主要问题有两类,一类是没有数字证书的情况下,网银密码被盗取。用户的网银密码很容易通过网络钓鱼、假冒网站、诈骗短信等方式被骗取。但如果用户使用数字证书,不法分子仅有网银密码是不能窃取账户资金的。
“另一类问题是利用木马病毒盗取数字证书。目前新出现的这类案件,并不表明数字证书机制本身不安全,主要问题是如何正确保管和使用数字证书。”李晓峰说,木马病毒只能盗用放在计算机浏览器中的数字证书,对于存放在硬件介质Usbkey里的数字证书,由于证书的私钥被牢牢封装在Usbkey内,木马病毒无法盗取。所以只要保管好Usbkey,木马病毒就会束手无策。
据统计,截至2006年底,我国主要商业银行网银用户数量已达到7494.5万户,2006年网上银行的交易额超过90万亿元。数字证书是由独立于用户和银行以外的权威第三方安全认证机构(简称CA)来发放。目前中国金融认证中心是我国金融行业唯一合法的第三方安全认证机构。
【责任编辑 张帅】