病毒触痛网上银行安全神经

今年5月26日，南京警方破获一起利用木马病毒窃取网上银行用户账号密码案。警方查实，到案发时该团伙已利用“网银大盗”病毒成功窃取资金4.8万元。
6月3日，江民反病毒小组再次截获“网银大盗Ⅱ”病毒，其目标是想窃取有着国外金融业务的企事业单位的巨额网上资金。而近日在国际国内安全业界引起轩然大波的微软IE漏洞事件，也是因为木马病毒利用此漏洞窃取服务器上信用卡号引起的。
一起起活生生的事例引发了一场对网上银行安全机制的重新思考，网上银行还安全吗？谁来为用户的网上银行安全负责？

安全没有百分之百

“网盗”事件发生后，记者采访了某银行界人士。他认为，网上银行系统已足够安全了，只要用户按照正常的操作流程，下载数字证书，银行账号是不可能被窃取的。
然而当记者问有人账号已被病毒偷走，并且资金已经被盗的事实时，银行人士则普遍认为，这些事实发生在用户客户端上，与网上银行的系统安全性没有关系。用户如果没有下载数字证书，不可能成功登陆网上银行。

反病毒专家告诉记者，事实上，“网盗”偷取账号密码并不因为用户是否下载数字证书。在登陆正常页面时，病毒会将正常页面在你毫无觉察的情况下跳转到非安全页面，从而发送你的账号密码，而网银大盗2则更加诡密，它自动记录下用户在登陆网上银行时的每一次击键，以提交动态网页的方式发送给病毒作者。

针对“网盗”病毒，安全专家们认为，理论上讲，网上银行安全是可以保证的，网上银行一般从两方面来保证网上交易安全：首先在保护内网上银行服务器系统上设立三重防线，设立防火墙，隔离相关网络；其次是采用高安全级的Web应用服务器；再次是实施24小时实时安全监控，漏洞扫描和入侵检测。对于终端用户，则采用数字证书明确用户身份，采用微软的安全控件保证网上通信的安全，登录并通过身份认证后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。

然而，再严密的防范措施，也有存在漏洞的地方，网银大盗及网银大盗Ⅱ绕开以上重重防范，仍然可以成功窃取账号密码。虽然仅凭账号密码，没有数字证书似乎无法从网上银行转账，然而，并非所有的网上银行支付系统都有数字证书，再者，近年来许多信用卡制假者，利用先进的信息技术，只要获取你的账号和密码，就可以伪造出信用卡，可以在任一联网取款机上提取现金。

保护网上资金安全要靠自己

网上银行发展了数年，安全防范技术也越来越健全。但道高一尺，魔高一丈，网上银行系统纵然是铜墙铁壁，网上资金失窃现象却有增无减。
事实上，任何人做出来的计算机系统，都不可能保证100%的安全，微软数千名工程师研发的操作系统，理论上应该很安全，事实上却漏洞百出，成为病毒的传染源。同理，作为“软件”存在的网上银行系统，也不可能做到万无一失，事实上，国际上认为最先进的64位数字密码认证技术，也被证实可以被攻破。

反病毒专家王江民认为，最主要的还是提高安全意识，自己保护自己。除了不要在公共场合使用网上银行系统外，最好能安装一套带有隐私信息保护的杀毒软件，并经常升级病毒库，随时关注反病毒专业网站最新病毒消息。最好能定期更改密码，打好操作系统的各种补丁程序。为防范“网银大盗”此类程序入侵计算机，千万不要浏览一些不安全网站，随意打开不明链接或邮件附件。
而法律界人士认为，防范网上银行犯罪，应提升到与打击现实银行犯罪同等高度，完善相关法律条文，加大打击和惩罚力度，使计算机病毒制造和传播者望而生畏，从法律上遏制此类犯罪现象的发生。