“网银大盗”作案的手法有两种,一种是利用与银网址非常相近的假冒银行网站。比如,假冒中国银行的域名是www.bank-off-china.com,与真中行网站域名www.bank-of-china.com相比只在中间多一个英文字母f;假冒工商银行域名是www.1cbc.com.cn,与真工行网站www.icbc.com.cn,也只是“1”和“i”一字之差;而假冒农业银行域名是www.965555.com,与农行网站www.95599.com也较为相近。用户在仿冒网页上输入账号和密码,就会被记录下来。
另一种作案手法技术含量较高,即编写病毒或木马程序,通过邮件传输、远程控制等手段,在别人电脑里植入病毒。有的木马程序会每隔10毫秒自动扫描用户正在使用的浏览器,并识别出客户登录的网站是否是银行的网站;如是,则记录下客户输入的账号、密码。
工行广东省分行电子银行部总经理文建平说,消费者要提高警惕,什么系统维护、中奖通知都是骗子想出来的花招。密码属于私人秘密,银行在任何时候也不会让用户提供。同时,“密钥”型的安全证书能有效保证交易安全,在登录网上银行时,尽量使用证书进入方式。由于证书的登陆密码与交易密码并不相同,木马病毒即使破译了网页密码,也对账户资金“难有作为”。
据介绍,工行推出的USBKey客户证书受到了消费者的欢迎。该证书类似于U盘形状,带智能芯片,客户有关信息一经下载到证书内,即具有惟一性和不可复制性,网上所有涉及账户资金的对外转移都必须事先通过证书进行惟一认证,从而有效防范包括“假网站”和“木马”病毒在内的各类风险。此外,工行还通过限额控制、增加密码难度、密码输入错误锁定等方式,降低客户使用网上银行的风险。
