|
||||
在傳統的銀行賬戶安全觀念中,密碼強度一直佔據著至關重要的地位,以至於很多人下意識地認為『密碼越復雜就越安全』。對此,360安全中心的石曉虹博士指出:『從近來央視等媒體曝光的一系列網銀失竊案例來看,人們長期以來所依賴的密碼強度在木馬程序面前已成為一道虛設的「馬其諾防線」,密碼復雜與否對於當前主流的網絡犯罪而言並無差別。據360安全中心對網友的抽樣調查顯示,近六成網友對於賬戶安全的認識存在巨大誤區。』
據石曉虹介紹,從前不法分子主要是利用『字典攻擊』和『窮舉攻擊』破解密碼,也就是編個軟件自動試探密碼,而目標賬戶的生日和電話等身份信息也極容易成為密碼被猜透的根源。銀行安全體系為此分別在技術上和管理上進行針鋒相對的防護,比如設置網銀和銀行卡密碼輸入錯誤次數的限制。很多人更是在耳濡目染中形成了根深蒂固的觀念,認為設置復雜的密碼就足以保護賬戶安全,而事實上,目前犯罪分子的手段已經從『破解密碼』轉變成了『偷竊密碼』,在各類『肉雞』控制工具和網銀盜號木馬的面前,密碼復雜與否並沒有本質差別。
在石曉虹看來,不法分子用木馬盜竊網銀和用攝像頭偷窺銀行卡密碼的本質其實是一樣的:在銀行卡被盜用案例中,最為常見的是ATM機上被不法分子偷貼針孔攝像頭,一旦有人使用銀行卡取錢,密碼就會被偷錄下來。而在木馬盜取網銀的案例中,那些潛伏在用戶電腦中的木馬程序同樣具備了『攝像頭』的功能,相當於不法分子給自己裝上了『千裡眼』:用戶的鍵盤操作、電腦桌面、瀏覽器的交互數據都被嚴密監控,密碼設置得再復雜也無濟於事。
在360安全中心截獲的『專業』網銀盜號木馬中,『網銀大盜』、『網銀竊賊』以及『網銀隱身劫匪』等木馬及其變種數以千計,它們針對網銀用戶進行特殊的設計:有的能自動判斷網銀操作正在進行,並記錄鍵盤操作;有的是在用戶訪問網銀頁面時劫持瀏覽器數據;有的甚至直接將網友訪問的網銀頁面劫持到偽造的『釣魚』頁面。一旦不法分子『記錄』下了密碼,便可通過大眾版網銀以小額支付或轉賬的方式竊取錢財。
『相對而言,使用U盾數字證書的專業版網銀安全系數還是很高的,但用戶也必須在完成網銀操作後及時將U盾拔下來,否則對於「灰鴿子」等「肉雞」控制工具來說,可以直接遠程操作在受害用戶電腦上進行轉賬交易。』石曉虹提醒專業版網銀用戶也不可放松警惕:『此外,不法分子在盜取網銀時詐騙手段的使用特別活躍。在各類理財論壇中,很多用戶反饋自己被一些特價信息蒙蔽,在「釣魚」頁面上按引導支付1元之後網銀密碼便失竊了,造成的損失通常在上千元人民幣。』
隨著網民對互聯網的應用從單純的娛樂轉向理財、購物等各個方面,網絡安全意識和防護措施成為事關消費民生的關鍵所在。石曉虹表示:『我們的意思並不是說網銀密碼越簡單越好,而是說那種「密碼復雜=安全」的觀念是錯誤的,在盜號木馬面前,再復雜的密碼也不足以保護賬戶安全。用戶一方面要提高安全意識,不輕信非正規渠道的誘惑信息,另一方面也應該積極防御和查殺木馬。』
『由於木馬的變種多、更新快,360安全中心也一直在倡導「全民聯防」的模式,360安全衛士擁有兩億用戶,其中只要有一臺電腦發現和提交了新型木馬變種,其他用戶都能得到及時的防護。我們同時建議網友在360保險箱保護下使用網銀服務,即便電腦系統中存在未知木馬,它的盜號行為也能夠被針對性地攔截,讓不法分子的「千裡眼」患上「白內障」。』石曉虹這樣說。