【IT168 专稿】2006年对于银行业的网络安全来说是一个黑色之年,使国内银行的风光上市显得黯淡不少。继年终工行网站所提供的网上银行业务被安徽某技校几个学生轻易猜测密码导致客户资金巨额损失之后,11月17日,中国银联官方网站又被黑客攻陷。人们不禁要问,一向视安全如生命的金融业这是怎么了。
金融网站竟然被黑
据瑞星反病毒专家称:11月17日瑞星接到用户报告,说其登录到银联网站的电脑被病毒感染。后经瑞星工程师确认,黑客攻陷银联网站后,在网站首页植入了一段恶意脚本,在服务器上放置了“黑洞2005”病毒。瑞星发布公告说,网站首页被植入后门程序Backdoor.BlackHole.2005.a,用户浏览之后电脑可能中毒,并被黑客远程控制,从而使隐私权和数据安全受到极大的威胁。对此,中国银联有关负责人只是表示:该病毒只是针对银联官方网站,而银联卡交易网络和网站系统采取的是物理隔离,并没有受到影响,该病毒也只是一个陈旧的病毒,因此用户不必过于担心。由于银联网站是专业型非交易网站,所以平时的浏览量很小,至今他们尚无收到一例用户因此遭受损失的报告。但银联是一个应该具有高度安全性的金融机构,一个正面向全球和Visa国际信用卡组织竞争的大企业,自己的官方网站被黑客攻陷不应只是轻描淡写。
事实上,金融机构的网站被黑客攻击事件屡见不鲜,也不光是国内的金融机构网站,就是美国五角大楼的网站也可能被攻陷,只要被黑客抓住漏洞,就有可能被攻击。
笔者观察发现中国银联的网页是基于ASP技术的,而一般的金融机构的网站是基于JSP=技术。老实说ASP页面被植入恶意代码的例子很多,就是被植入iframe代码,格式如:<iframe src"某网址 " width="0" height="0" frameborder="0"></iframe>,当这个页面被访问者打开时,会同时打开上述某网址的网页,这是指向一个发送木马的网站。ASP页面被植入恶意代码,这是由于网站服务器的ASP漏洞引起的,笔者曾有一个人网站也是这样被攻击。
主要问题在放置网站的服务器,它会使所有来访者遇到可能的威胁。这些服务器往往是被黑了,在服务器上(尤其可能是根目录下)存一个ASP文件,里边的代码非常简单,就几句,构成了一个黑客的客户端,有了这个客户,黑客就可以任意操纵你网站的网页文件,植入上述恶意代码就是小CASE了。
这是个很严重的问题,很多网站上都被放置了木马。这些破坏者主要是利用某些网站的ASP程序的安全性检查不严密,被上传了ASP木马造成。后果非常严重。破坏者可以利用这些木马删除你所有的数据文件。这些破坏者只是在你的主页或conn.asp文件中加入一两句iframe,想利用你的网站,使访问者的浏览器下载他们的恶意代码,然后他们在访问者的电脑上搞破坏,如偷游戏密码、偷盗QQ号码、盗取网上银行密码等等。
金融网站的页面被植入恶意代码也并不是首例。也是在今年8月,江民科技反病毒中心监测到,光大证券阳光网提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”及“光大证券金典2005”等多款软件的安装程序捆绑有“网银木马”,会威胁到工行网银用户的账号密码安全。
据江民反病毒专家介绍,当时访问光大证券阳光网的软件下载页面的多个软件的安装程序都被捆绑了“网银木马”newup.exe.“网银木马”运行后,会监视IE浏览器正在访问的网页。如果发现用户正在登录工行个人银行,就会弹出伪造的登录对话框页面,熟悉工行页面的客户不知是计,输入登录密码和支付密码,木马程序就通过邮件将窃取的信息发送出去给黑客。江民反病毒专家分析认为,木马的出现很有可能是光大证券的服务器遭受黑客入侵所致。
如何自保是金融网站用户重要课题
安全问题,它关乎的是金融机构的信誉及客户的网上金融服务的安全,我们只能呼吁金融机构本身确实重视网站安全、网站服务器的安全,采取确实可行的网站安全技术及服务器安全技术并时刻监控网络病毒发生、发展、发作,以跟上“时代步伐”,打好这场永不会停歇的反病毒、反黑客战争。在如今日益严峻的网络安全形势下,一方面金融机构应该更加积极主动地采取各种措施应对信息安全问题;另一方面,我们用户也要意识到网络安全威胁严重性,只要你上网,则网页中隐藏的各种木马随时可能下载到你本地计算机,我们只有做好安全防护,才能切实维护自己的安全。
如何自保是金融网站用户重要课题,也是我们用户唯一能做的事情。我们不能等到真的发生了损失才后悔当初使用网上金融服务和自身电脑防范轻视。我们总结出一些自保原则:
若你真的对网络木马威胁一无所知,对防病毒软件一无所知,最好慎用网上金融服务。
慎用其它不知名网站跳转你网上银行所在网站的跳转页面,往往这就是一个假的银行登录页面,俗称“网络钓鱼”。
少浏览不良网站。
确实在本地电脑安装了可防范木马病毒的国际防毒软件。本人偏爱KASPERSKY。
对网上银行业务,要求最好取得最安全的身份认证手段,如:USBKEY。普通密码认证也不安全,数字签名也不安全。
总结:
网络金融案件频发,如何应对成了金融网站、第三方防毒厂商、个人用户需严阵以待的事情。对于连菜鸟级的黑客都能轻松攻陷的金融网站,实在是令人遗憾。我们唯一能做的就是加强使用金融网站的防毒手段,并选择确实可靠的金融网站登录身份认证技术。总之一句话:加强防范,以求自保。