您当前的位置:网站首页 > 信息安全 > 密码保障服务

密码保障服务

关注网银动态口令类安全措施的安全性

[来源:浙江密码管理局][发布日期:2011-03-14]

    年初,公众对银行关注最多的除了加息提高存款准备金之外就是网银诈骗了。根据所掌握的情况,浙江省在今年2月发生了两起网银诈骗案,媒体对具体案情都进行了详细报道。在此,我们分析一下诈骗实施的手段和过程,检讨一下动态口令类安全措施的缺陷,并探讨用户、银行机构和管理部门应对防范此类网银诈骗行为的一些措施。

    一、网银诈骗手段和过程

    这两起骗取动态口令的网银诈骗,从技术角度看说不上多少高深,诈骗分子通过诱导用户进行“不慎”操作,借助“钓鱼网站”骗取用户账户的敏感信息(包括动态口令),然后利用网银安全措施的漏洞和流程缺陷来实施非法支付、转帐等犯罪行为。这类诈骗行为实施过程一般有三步:

    第一步,群发手机短信或邮件。谎称发生一些涉及客户的安全敏感事件,引诱客户进行“不慎”操作。如本次案件中受害人收到了“中行E令即将过期,需要升级”的假短信,并且短信中还提供一个仿冒官方网站、实为钓鱼网站的链接。此类假信息的内容、形式、表述口吻和落款等都会盗用银行的名义,具有极大的欺骗性。它的目的只有一个,就是欺骗客户信任,并诱导客户做出“不慎”操作——点击访问诈骗分子事先设置的虚假网站,即“钓鱼网站”。

    第二步,诱导客户点击访问“钓鱼网站”。所谓“钓鱼网站”就是犯罪分子事先建立的“山寨”正规官方网站的虚假网站,它的域名往往与官方网站域名非常相似,页面与官方网站的页面极其相似,而且,页面中的内容往往均能连接到官方网站上。“钓鱼网站”同样具有很大的欺骗性,并且诈骗分子在这些非法网站中加入了引诱用户点击的栏目或交互链接,栏目和链接加入一些后台代码,作用就是在用户“不慎”操作时,收集账号、登录名、密码以及动态口令等用户私有敏感信息,或释放一些木马程序、病毒到用户电脑用以控制用户计算机。如犯罪分子仿制的中国银行网站,在页面上加入一个“登录中行网银E令升级”的栏目,银行客户如对收到的“提示升级”的短信信以为真,一旦用户根据短信提示,访问指定的网页并进行相关操作,犯罪分子将通过“钓鱼网站”盗取用户的账号、登录名、密码以及动态口令等信息。

    第三步,实施非法支付、转账等交易。犯罪分子盗取了用户银行账户相关的敏感信息(账号、登录名、密码等)以及动态口令后,会在极短时间内,用这些信息访问官方网站,并进行支付、转账等非法交易,受害者账户内的资金瞬间消失。

    此类案件涉及的诈骗手法新,犯罪分子采用多重伪装处理,对银行客户有很强的诱骗性。再者,诈骗分子是通过互联网快速实施犯罪行为,无需与银行客户进行任何形式的接触,只要银行客户出现“不慎”,就可能在极短时间内转走银行客户账内的所有资金。因此,危害性较大。

    二、网银中动态口令类安全措施的缺陷

    由于这两起网银诈骗案件涉及“e”、“动态口令”等字眼,使得网银中动态口令类安全措施的安全性也成为我们关注的话题。尽管这两起案件虽不是动态口令类安全措施被技术性破译攻击,但网银中动态口令类安全措施的应用构架和安全策略值得我们探讨。

    1、国内网银所采用的动态口令类安全措施情况

    动态口令,又叫一次性口令”,是根据某种加密算法,基于不断变化的因素(例如时间,事件,或通过查问/应答方式指定因素)运算产生的没有重复变化一种口令是为了解决传统静态的、固定的口令和密码存在无法解决的缺陷(如每次登录时传输的信息不变而设计的一种密码体制,以保护网银用户的关键数据资源。

    目前,国内网银所采用的动态口令类有动态口令牌(电子令牌)、动态口令卡、手机(短信)动态口令等形式。

    动态口令牌(电子令牌)是客户持有的一种电子终端设备,一般内置电源、密码生成芯片和显示屏根据特定算法生成不可预测的随机数字组合供客户使用,并且一次一密不重复。但由于考虑客户的操作习惯、时间基准偏差等因素,动态口令有一定有效期,一般是60秒,在此有效期内,动态口令牌生成的口令可以被口令认证服务端接受。此外,有些手机安装动态口令生成手机专用终端软件,也可实现动态口令牌功能,一般称之为手机令牌,也属电子令牌类。

    动态口令卡是预先根据某种算法或规律生成一定数量的数字组合,并印制封装成口令卡后提供给客户,实际上是一种密码底本。使用过程中,认证系统查问口令,客户根据约定规则从口令卡查找口令并提交,查找口令方式一般分顺序查找和坐标查找。

    手机短信动态口令是由服务端生成随机数字组合,并通过手机短信发送客户,手机短信密码也是一个一次性的密码,每次使用的密码均不相同。它在工作原理、使用方式上不同于前面提及的手机令牌。

    我们通过访问国内部分银行官网,对部分网银使用动态口令类安全措施作了初步统计(见表一),

银行机构

/无动态口令

形式/名称

使用环节

中国银行

“中银e令”、手机动态口令

登录、交易

工商银行

电子银行口令卡

交易

建设银行

动态口令卡

交易

农业银行

动态口令卡

交易

招商银行

中信银行

手机动态口令

登录、交易

交通银行

兴业银行

广发银行

浦东发展银行

手机动态口令

登录

深圳发展银行

口令牌、刮刮口令卡、手机动态口令

交易

浙商银行

台州银行

动态口令牌

登录、交易

南京银行

宁波银行

动态密码令牌、短信动态口令

交易

     上表所列的动态口令类安全措施虽然在名称、使用环节、口令长度等方面各银行机构有所不同,但基本分属上述三类形式。“中银e令”、口令牌、动态口令牌、动态密码令牌等属于电子令牌类;电子银行口令卡、动态口令卡、刮刮口令卡等属于动态口令卡类;手机动态口令和短信动态口令等属于手机短信动态口令类。

    2、动态口令类安全措施的缺陷

    现在,动态口令类安全措施在网银、电子商务、网络游戏、VPN网络等方面应用非常普遍,但接触到这两起网银诈骗案件后,我们不得不重新评估动态口令类安全措施的安全性。虽然这两起案件的犯罪分子并没有使用破译、攻击认证系统等技术手段,也没有通过社交手段窃取用户的动态口令牌、动态口令卡或手机,但他们利用了动态口令类安全措施的弱点和业务处理流程的漏洞实施了犯罪。

    我们分析一下案件中“动态口令”使用这一环节,撇开用户“不慎”不说,动态口令牌也确实存在着缺陷,因为动态口令牌产生的动态口令有分钟级的生命期(这两起诈骗案涉及的动态口令生命期为60秒),当用户在动态口令生命期内泄漏了它,那么威胁随之而来。并且,由于用户在支配自己所拥护的动态口令时,不需要得到系统服务端的授权和控制,也使得犯罪分子骗取和盗用用户动态口令的方法少了许多过程性、技术性的障碍,比较直接容易。这也是这两起案件都是针对动态口令牌类的网银实施诈骗的原因。

    那么,动态口令卡类和手机短信动态口令类安全措施情况又如何呢?这两类安全措施,要求用户在获得动态口令时必须访问官网,然后由官网直接生成、发送口令字或口令字相关参数给用户。此时,用户才能掌握支配口令,并且用户拥有的动态口令一般仅限当前这次与官网的会话过程,动态口令的生命期受到更严格的约束。相比动态口令牌类安全措施,这两类在动态口令产生、获取、使用等方面多了一些处理流程和技术措施,犯罪分子骗取和盗用的过程会多一些障碍。但是,使用动态口令卡类和手机短信动态口令类安全措施的网银用户也不能高枕无忧、掉以轻心,它们同样有弱点。我们可以用一个简单的模型说明一下手机短信动态口令被骗取和盗用的可能(避免有教唆嫌疑,模型不谈)。

    因此,只有在动态口令生命期内,用户掌握它的正确去向和系统确保它的合法来源时,才能发挥其作为安全措施的效用。

    三、防范网银诈骗的措施

    通过上述分析,此类网银诈骗是可以有效地防范的,可以针对诈骗过程的三个环节作出一些防范。

    首先,及时辨别诈骗短信或邮件客户要认真核对接收短信号码是否为银行专用的客服号码,发件人是否为银行客服地址,银行向客户发送短信一定会使用统一的客服号码,而不是一般的手机号。客户收到不能确定的网银相关事宜,也一定要到相关银行当面进行咨询或拨打银行客户服务专用号码,避免上当受骗。客户发现诈骗短信时要及时报告相关银行、公安等机构。银行机构、通信运营商和政府信息安全管理部门应考虑建立一个预警平台,一旦发现有此类信息传播,可以及时通过短信、网络、广播电视发布预警信息,让公众在第一时间做好防范,压缩犯罪分子作案时间,削弱诈骗短信危害程度。
  其次,妥善保护网银用户名和密码等敏感信息。在任何情况下,客户都不要将账号、密码、动态口令等敏感信息知第三方。接到任何要求转账和索要密码的电话和短信,要保持高度警惕,不要轻信任何套取网银用户名和密码的行为。因为在信息安全标准规范中,密码、口令等敏感信息只有客户和认证系统才会掌握,任何第三方获悉,即为安全事件发生同样,对客户所持有的动态口令卡、手机、电子令牌等敏感信息载体,必须确保安全,一旦失密、失窃、失控,应及时通知银行机构。
  再,充分利用其他安全认证手段。网银用户最好能开通网银登录、资金变动及重要信息短信提示服务,充分利用银行提供的安全认证手段,保证自身资金安全。个别银行的“手机交易码服务,用户通过网银向他人转账或进行网上支付交易时,银行会向客户发送一条包含手机交易码以及收款人姓名、收款账号、交易金额的短信,客户确认短信交易信息并输入正确的手机交易码后,方可完成交易。当然,还可以采用其他一些安全技术手段,如有些计算机安全软件提供网银、网游、网聊等官网地址保护工具,确保客户安全使用官方网址。此外,作为这些重要的网络服务提供者,可以采用一些认证技术手段,在客户使用此类网络应用时,可以强制认证网银来源的合法性。
  另外,最好能固定经常访问网银等服务的电脑,不要使用公共场所(如网吧、公共图书馆等)的电脑访问网银,以防这些电脑可能装有恶意的监测程序,或被他人窥视。如确需在公共场所使用网银,在完成网银业务或中途离开时,一定要及时退出网银页面并清除相关信息