在星巴克、麥當(dāng)勞這些提供免費(fèi)WiFi的公共場合,用一臺Win7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個網(wǎng)絡(luò)包分析軟件,15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個人信息和密碼。國內(nèi)某知名安全機(jī)構(gòu)的工程師承認(rèn),這個真可以做到。網(wǎng)銀、支付寶密碼……你懂的。
真相:
這是從昨天開始微博上瘋傳的一個帖子。其實(shí),無論你使用電腦、iPad、還是手機(jī),只要通過WiFi上網(wǎng),數(shù)據(jù)都有可能被控制這部WiFi設(shè)備的黑客電腦截獲到,其實(shí)也未必一定是Win7系統(tǒng),信息是有可能被竊取的,當(dāng)然包括未經(jīng)加密處理的用戶名和密碼信息。但是,無論什么系統(tǒng)的電腦,架設(shè)了多么高級的 WiFi熱點(diǎn),黑客都無法在用戶正確操作下獲取網(wǎng)銀和支付寶密碼,更不要說盜竊其中的錢了。
手機(jī)銀行如何保障安全
用戶可通過手機(jī)上的專門客戶端程序,通過WAP方式與銀行系統(tǒng)建立了連接,并進(jìn)行賬戶查詢、轉(zhuǎn)賬、繳費(fèi)付款、消費(fèi)支付等金融服務(wù),這種方式被稱為 “手機(jī)銀行”。與一般上網(wǎng)方式顯著不同的是,其網(wǎng)址的頭三個字母是WAP。手機(jī)銀行的帳戶信息是經(jīng)過靜態(tài)加密處理的,而且與手機(jī)綁定,,假使他人盜取了你的賬戶信息,但其它手機(jī)上也無法操作。經(jīng)與工行客服核實(shí),他們稱現(xiàn)在為了方便用戶,允許非指定手機(jī)操作手機(jī)銀行賬戶了,但允許操作的資金額度很低。
最重要的是,手機(jī)銀行還有認(rèn)證手段。加密的原理很簡單,其目的是讓非授權(quán)用戶即使獲取了數(shù)據(jù)也無法利用,而認(rèn)證則是對數(shù)據(jù)是否篡改、接收數(shù)據(jù)的人是不是授權(quán)用戶等方面的審查措施,用來保證數(shù)據(jù)是真實(shí)可靠的,接收者是被授權(quán)的。從采用的具體技術(shù)和算法而言,加密與認(rèn)證并沒有明顯的區(qū)別,但從功能角度而言,兩者非常不同,相互不能取代,并可通過有效配合而達(dá)到很高的安全性。
你輸入了正確的帳號和密碼,當(dāng)進(jìn)行涉及到賬戶資金變動的操作時,手機(jī)銀行會提示你輸入特定的電子口令,而電子口令卡就是一種有效的認(rèn)證手段。例如下圖就是張工行的電子口令卡,它發(fā)來信息C5H8,你就要在相應(yīng)的輸入框里輸入138141,而且銀行每次發(fā)來的信息都不會相同。
工行的電子口令卡
不同的銀行可能會采用不同的認(rèn)證方法,比如建行就是通過綁定手機(jī)發(fā)送手機(jī)驗(yàn)證碼,但都起到了類似的作用。
個人網(wǎng)上銀行如何保障安全
個人網(wǎng)上銀行會采用https的加密協(xié)議來保障交易安全,結(jié)尾比你常見的http多了個s。你在電腦上輸入個人網(wǎng)上銀行地址,當(dāng)跳轉(zhuǎn)到賬戶信息輸入頁面時,網(wǎng)址欄就由http變?yōu)閔ttps了,而且在最后面還多了一只小掛鎖,這寓示著通過這個頁面輸入并傳送的數(shù)據(jù),會被128位的加密算法進(jìn)行加密,只有銀行方面才能正確解密,即使這些加密數(shù)據(jù)被黑客全部拿到,也毫無用途。
網(wǎng)銀和支付寶的https頁面和小掛鎖標(biāo)示,點(diǎn)擊黃色小掛鎖,就會彈出“網(wǎng)站標(biāo)識”框,可查看證書情況。
而且,用電腦通過https方式訪問個人網(wǎng)上銀行時,還有認(rèn)證手段的保護(hù),操作帳戶資金限額的大小與認(rèn)證手段的強(qiáng)度相匹配,電子口令卡的認(rèn)證強(qiáng)度低,能操作的資金少,而U盾的認(rèn)證強(qiáng)度大,能操作的資金就多。使用https協(xié)議與個人網(wǎng)上銀行進(jìn)行連接,這是銀行為了保證安全而采取的強(qiáng)制措施,通過非加密協(xié)議傳送的信息是不會被銀行所接納的。
用過個人網(wǎng)上銀行的網(wǎng)友都會知道,使用前必須安裝銀行提供的安全控件,否則帳戶信息欄是灰色的,根本無法輸入任何信息。而手機(jī)的系統(tǒng)無論是蘋果、安卓、還是塞班,統(tǒng)統(tǒng)都不支持這個控件,根本就安裝不了,帳號自然無法輸入,被盜取更是毫無可能。
有些高水平玩家會在手機(jī)上裝虛擬機(jī),這倒是可能安裝上銀行的安全控件并成功操作個人網(wǎng)上銀行,這時手機(jī)就已可看作是個簡版電腦了,自然也要跟使用普通電腦一樣,通過https這種安全協(xié)議與個人網(wǎng)上銀行進(jìn)行數(shù)據(jù)交換。
警惕釣魚網(wǎng)站
不少賬戶被盜的案例其實(shí)是因?yàn)樵L問了釣魚網(wǎng)站。他們偽裝成正規(guī)的銀行頁面或是支付頁面,騙取你輸入的帳戶名和密碼,而這未必一定需要通過WiFi熱點(diǎn)這種方式來實(shí)現(xiàn),任何上網(wǎng)的方式都有可能上當(dāng)。不過,公共的WiFi確實(shí)提供了植入釣魚網(wǎng)站的潛力,利用ARP欺騙,可以在用戶瀏覽網(wǎng)站時植入一段 HTML代碼,使其自動跳轉(zhuǎn)到釣魚網(wǎng)站。從這個角度說,公共WiFi網(wǎng)絡(luò)為用戶提供了一個便利的釣魚環(huán)境。
避免被釣要注意使用安全。一方面,需要對別人發(fā)來的網(wǎng)絡(luò)地址多留心,因?yàn)檫@個地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址,打開的頁面也幾乎和真實(shí)的節(jié)目完全一致,但是實(shí)際你進(jìn)入的是一個偽裝的釣魚網(wǎng)站;另一方面,盡量選擇具有安全認(rèn)證功能的瀏覽器,這些瀏覽器能夠自動提示你打開的頁面是否安全,避免進(jìn)入釣魚網(wǎng)站。對于智能手機(jī)用戶,在下載和交易有關(guān)的客戶端軟件時盡量選擇官方渠道下載,不要安裝來路不明的客戶端。
結(jié)論:
銀行賬戶是否安全與手機(jī)是否是通過免費(fèi)的WiFi上網(wǎng),并沒有必然的聯(lián)系。使用基于WAP客戶端的手機(jī)銀行是安全的,用電腦通過https使用個人網(wǎng)上銀行也是安全的,但不要用手機(jī)上個人網(wǎng)上銀行,現(xiàn)在銀行也還不支持這項(xiàng)業(yè)務(wù)。用電腦上個人網(wǎng)上銀行時,請核實(shí)下https和地址欄后面的小掛鎖標(biāo)志。