• 快捷搜索
  • 全站搜索
位置:首页 > 专栏 > IT专栏 > 郝东林专栏

四象限分析网上银行系统安全状况

2014-11-12 15:43:31作者:绿盟科技金融销售管理部总监 郝东林编辑:金融咨询网
网上银行、 信息安全、 网银安全
国内网上银行安全的水平,各家银行相差较大,可以从开办网银时间和自身安全管理水平来衡量。而从网上银行整个业务过程来看,可以分为客户端、传输线路和服务器端三个环节,它们都面临着不同的安全威胁。

        客户端面临的威胁是多方面的,攻击者的目的一般都是获取用户的账号、口令和个人证书等信息,冒充用户身份非法转移资金。恶意代码包括蠕虫、病毒、恶意脚本等,通常作为侵入客户端的第一个手段;钓鱼攻击是伪造网上银行交易系统,诱使投资者使用虚假系统登录,造成账号和口令的泄密;输入截取是获得用户的击键或鼠标点击记录,通常包括网上银行的账号与口令;证书获取是取得用户计算机中个人证书,以冒充用户的身份;交易篡改是较少出现但很有威胁的一种攻击,可以将用户的网上银行操作指令内容进行非法改变以实现其攻击目的。

        传输线路中主要面临信息监听、篡改和重放攻击。信息监听会将交易请求在传输过程中泄露给非授权人员;信息篡改会使交易信息在传输过程中遭非授权人员篡改;重放攻击是未授权人员复制合法用户的交易请求,并多次提交。

        服务器端是网上银行系统运行的中心,通常会受到拒绝服务攻击。拒绝服务是利用海量的数据包或长连接占用服务器端的线路资源,导致正常用户不能访问;“侵入”是一类攻击的总称,攻击者利用如SQL注入、远程溢出等手段入侵并控制服务器端,并进行页面篡改和替换客户端下载程序等后续操作。

客户端成当前攻击的主要目标

        理论上,三个环节都存在威胁,而从国内网上银行的现实来看,大多数攻击行为集中在对客户端的攻击上。这是由攻击成本、攻击风险和攻击收益几个因素决定的,请见下表:

客户端遭受攻击.jpg

        首先看服务器端,这里属于“高风险、高回报”的区域,服务器端是网上银行系统运行的平台,保存着网上银行用户的资料,并向内联接银行的核心业务系统。现在的网上银行系统都十分注重安全防御,通常部署了完备的安全设备,包括防火墙、入侵检测系统、抗拒绝服务攻击系统、漏洞管理系统等等,同时还有专门的人员进行监控,一旦发现异常能够马上进行处理——可谓重兵把守,层层设防。在这种情况下,攻击服务器端需要有更高的黑客技能、更隐蔽的手段和足够的耐心,而且这种案件被重视的程度高,一旦失手被擒,后果就非常严重,完全可能被以破坏金融管理秩序的罪名来判刑,量刑极重(参考广州许霆ATM一案)。因此,虽然攻破网上银行服务器端的获利是巨大的,但需要更多的技术与经验,而且面临着严厉的追查和沉重的刑罚,这让大多数攻击者望而生畏。

        其次是传输线路,这里可以利用的攻击方法少,也缺乏有价值的获取物,因此很少被关注。Internet是开放的区域,攻击者可以进行监听和信息篡改,但网上银行的数据包都是加密的,真实的信息截取不到;即使被破解,数据包里最多只有账号和口令,而网上银行交易必不可少的证书信息是不会在网络上进行传输的;重放攻击也涉及到很复杂的技术与流程而不易实现。

        最后是用户所在的客户端,这是最容易攻击也最容易获益的一个环节。攻击者可以利用Internet将木马很方便地传播到成千上万的用户计算机上,通过击键记录、截屏等方式获得网上银行账号口令,同时获得软证书,这样就完全控制了用户的网上银行账户;如果用户使用的是硬件的U-Key来保存证书,攻击者还可以想办法篡改网上银行操作的指令,直接将钱转到自己的账户中去……攻击进行的时候,大多数网上银行用户可能毫无知觉,直到某天查看自己账户的时候才大吃一惊。

        用手握住一根铁链的两端用力去扯,力量足够大时,链条会在最薄弱的一环断开。在网上银行的业务链条中,客户端就是这个最薄弱的环节。即使在安全知识已经普及的情况下,还是有很多网上银行用户的计算机存在各种漏洞,再加上用户的安全意识差,攻击者会轻而易举地找到很多目标。风险小而获利可观,因此大部分网上银行攻击就自然地聚集于客户端。
网上银行客户端是如何被攻击的?

        攻击起来很方便,成功了就能得到钱,而且被抓住的可能性很小,这使得现在受到利益驱动的攻击行为越来越普遍。

        在一台用户计算机上,主要的攻击操作是由木马自动实现的。木马可以在受害的计算机后台悄悄地完成许多任务:截取用户的击键记录、截屏以记录用户的鼠标点击动作(可以截取到软键盘上的网上银行口令)、窃取网上银行的软证书等等。攻击者的首要任务就是编写这样一个木马程序,在木马成功植入受害计算机时,能正确地完成这些操作。

        木马程序写好之后,怎么传播到别人的计算机上呢?这里有多种方式,例如侵入一个比较热门的网站,篡改其网页,在其中插入木马下载的动态语句,当有某种漏洞的计算机来打开这个网页时就会中招,把木马下载到本地并安装;再例如,通过即时通讯软件或邮件传播木马,发送这样的消息:“知道最近著名的XX门吗?我的附件里有照片!”……“想在春节时买到平价的火车票吗?打开这个附件看看”……安全意识差的人往往会点击打开,木马就进入系统了。

        在现实环境中,攻击者散播木马时不会拘泥于网上银行账号的钱,有什么值钱的东西都会盗走。用户计算机里可能有网游的高级武器、Q币、网上银行账号、网上证券账号、网上支付账号等,这些都可以转变为实际的钱。比较完善的木马会扫描受害计算机,找出、记录这些有价值的信息,打个包发送到攻击者指定的邮箱去;也可以只是告诉攻击者这台计算机有什么东西值得注意,攻击者再从远程偷偷地人工获得这些信息。

        攻击硬件U-Key的网上银行客户端,相对来说比较麻烦,因为理论上硬件U-Key中保存的用户证书是无法被攻击者取得的,但还是可以想办法去攻击。例如篡改用户的交易指令,将用户想转到账号A的钱转到账号B上去。

 

首页 上一页 1 2

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章