昨日午间,某实名认证微博的一条微博引起了众多网银用户的广泛关注。该微博曝出:安全研究人员发现现有网银的第一代U盾存在安全隐患,在中木马的情况下,攻击程序可以映射USB设备:就好像U盾在黑客手边一样来实现网银的各项功能。当然,实现的前提是计算机被植入木马。建议持第一代网银U盾的客户去银行营业网点升级U盾,新一代U盾需要客户手动按键来确认交易。
由于此前,央视3·15晚会曾曝光黑客盗取网银账户钱财,并由此引发了一系列连锁反应。不少网友不禁发问,网银到底是否安全?
发布者:测试确实发现潜在风险
针对上述微博,专家向信息时报记者证实了信息的真实性。专家告诉记者:该条微博实际上是转发微博认证用户@goodwell-龚蔚(中国黑客教父、元老,知名网络安全专家)对第一代U盾测试的结果。
为此,信息时报记者通过微博联系上龚蔚,其以“并不是高深技术”为由拒绝了记者的电话采访,但通过微博向记者再次确认其对某银行第一代U盾测试后确实发现潜在风险。
“其实业界早前就验证过第一代网银U盾确实存在风险,只不过,业内普遍认为,出现风险的几率不高,因为国内同时懂硬件又懂木马的黑客高手,很多时候攻击的对象都是指向网游账户。”专家表示,第一代网银U盾出现安全问题,必须同时满足该用户电脑已经中了木马,并且在该U盾硬件插入电脑正在使用时受到黑客攻击两个条件。
知多D 多数银行仍在用第一代U盾
U盾是办理网上银行业务的高级别安全工具。它外形酷似U盘,像一面盾牌。
近年来,银行纷纷在酝酿推出保密性更强的新一代网银U盾。据悉,工行、建行广东省分行、华兴银行都推出第二代网银U盾,而其他大多数银行暂未推出。据悉,新一代网银U盾可防“远程控制”。不过,建行人士透露,由于新一代U盾是今年4月底才推出,因此对于第一代网银U盾用户如何升级的问题,还未有最后的方案。
针锋相对专家 已有木马能突破U盾偷钱
实际上,在此之前,业界曾盛传“黑客可绕开网银U盾”,而银行方面却回应称“黑客破解网银U盾须耗数百万年”。针对双方针锋相对的说辞,某公司高管对信息时报记者表示,从公司与黑客木马对抗的经验来看,“目前网银所有安全措施中,U盾的安全系数的确是最高的,但这不是绝对的。”据他透露,目前确实已有木马能突破U盾偷钱,但数量较少。
“从成本的角度考虑,突破U盾盗取网银账户上的钱财,还不是木马盗窃团伙的重点手段。”另一专家对此解释道,“之所以出现个别用户大笔钱财被盗的情况,还是用户自身安全意识不强,有些U盾用户没有养成使用完U盾立刻从电脑上拔下的习惯,一旦不法分子得到受害用户的网银信息,便可以远程控制‘肉鸡电脑’(受别人远程控制的电脑)直接操作网银。用户相当于被自己的坏习惯‘出卖’了。”
银行 用户使用不当导致U盾失效
对于微博上的预警,某股份制银行电子银行部人士告诉记者,自己没有收到其出具的预警,银行并不认同其关于U盾存在安全隐患的说法。此外,一家总部位于广州的银行有关人士也告诉记者,从总体上讲,U盾本身在技术上是安全的,不存在所谓的安全漏洞,截至目前,该银行并没有发生过U盾被木马侵入的案例。
某国有银行电子银行部人士向记者透露,“我们了解的U盾失效的案例是因为用户个人使用不安全导致的。”据他介绍,主要有几种情况:个人用户未妥善保管密码,被熟人窃取后作案;个人用户在网上随意点击网页链接后电脑中毒,导致信息泄露。
