网银山寨门风波又起 光大被爆钓鱼网站

本篇文章1448字，读完约4分钟

最近，许多银行因为假冒网上银行的频繁出现而陷入尴尬境地，光大银行(601818)就是另一个例子。

山寨网站，也称钓鱼网站，犯罪分子模仿并制作一个与原银行网站相似的网站，通过简单的网页制作技术申请一个相似的域名。

然后，通过使用这样一个网站，用户被误导，通过群发短信进入，理由是升级网上银行和改变地址。获取用户名、密码、动态密码等机密信息后，将存款转入用户账户。

不久前，这种威胁用户资金安全的网络欺诈已经从中国银行(601988)蔓延到光大银行。这一切的焦点都在动态口令上，动态口令是网上银行的安全认证技术。

光大的真假网站很难区分

许多网民报告称，他们收到了光大银行网上银行升级的信息，促使客户升级。该信息称:“光大阳光令牌用户，请登录www.cebbaek进行升级，由于系统升级和改进，以确保账户安全。”

信息的全文格式是正式的，短信末尾留有中国光大银行客户服务号码95595，英文缩写ceb也是正确的。

由于系统升级的原因是为了保证短信中的账户安全，很多用户在收到短信后会立即登录网站进行所谓的系统升级。

假光大银行在颜色和栏目设置上与真正的光大银行官方网站基本相同。甚至从该网站输入的文章链接也是光大银行官方网站的链接。说实话更难。

这个骗局只有两个漏洞。首先，假冒的光大银行网站的域名是“cebbaek”，而真正的光大银行官方网站的域名是“cebbaek”，只有一个英文字母，即“bank”一词的拼写有误。

其次，发送短消息不是以95595结尾的短消息号码。然而，基于银行发送短信的服务号码主要是一长串号码，大多数用户不会仔细识别。

被杀的银行没有被利用

该骗局之所以能够实施，是因为犯罪分子利用了光大银行动态密码的安全漏洞，用户只需输入用户名(账户信息)、密码和动态密码信息就可以转移账户中的资金。

那么，当犯罪分子被犯罪分子所吸引，并竭尽全力制造这种假银行时，他们很难随机选择假银行吗？金山公司网络工程师李铁军告诉记者，“事实并非如此。”

"现在，骗子们正争先恐后地用动态密码抢劫网上银行用户."李铁军告诉记者。使用动态密码的银行有中国银行、中国光大银行和深圳发展银行等。假网站专注于模仿几家银行。

因此，这些银行被复制是因为存在可以钻的漏洞，而且它们在安全防范方面失败，从而给用户造成损失。这一切都指向“动态口令”的安全认证技术。

“动态口令卡是一种特殊的硬件，内置电源、口令生成芯片和显示屏，可根据特殊算法定期自动更新动态口令。基于这种动态口令技术的系统也称为一次性秘密(otp)系统，即改变用户的认证口令，每60秒随机更新一次，显示为6位数字。密码将在使用一次后过期，下次登录时的密码将是完全不同的新密码。”他引入了这样的动态密码。

银行使用动态密码。该设计考虑了网上银行账户密码被木马窃取和罪犯异地登录的情况。如果密码被特洛伊木马窃取并恢复，如果时间超过60秒，密码将无效。

"要对付山寨银行，动态密码不是很有效."李铁军分析说:“动态口令每60秒随机更新一次。帐户密码和动态密码是在某些情况下由他人获得的。使用此帐户密码和动态密码，您可以在60秒内获得在任何计算机上登录网上银行的所有权限。”

60秒，罪犯能完全得到用户信息吗？李铁军想，“完全有可能，60秒。一般来说，时间很短。只要说几句话，它就会过去。对于蓄意攻击的网络钓鱼网站设计者，他们可以手动登录，或者设计一个自动登录程序，在网民误提交账户密码动态密码后几秒钟内登录网上银行，完成资金转账。”上一页12下一页