(聯(lián)合電訊社/上海)--2011年1月10日至今，江蘇省內(nèi)不少網(wǎng)銀用戶收到這樣一條提示短信。“尊敬的網(wǎng)銀用戶：您的中行E令即將過期，請您盡快登錄www.bocccb.com進行升級，詳詢95566。”蘇州唐先生恰好是中國銀行的網(wǎng)銀用戶，他在家中電腦上登錄升級，可當輸入用戶名、密碼、動態(tài)口令后沒幾分鐘，發(fā)現(xiàn)卡內(nèi)的198萬余元被分兩筆轉(zhuǎn)走。原來，唐先生中了新出現(xiàn)的“中行網(wǎng)銀E令升級”詐騙。

　　最近一個月的時間內(nèi)，江蘇連續(xù)發(fā)生了100多起網(wǎng)銀用戶被騙的案件，中國銀行百名用戶被釣魚，其中一名網(wǎng)銀用戶一次就被詐騙轉(zhuǎn)賬走101萬元。解放網(wǎng)25日亦報道，一名“80后”網(wǎng)絡(luò)公司維修員，利用“釣魚鏈接”向網(wǎng)絡(luò)買家發(fā)送山寨版支付寶網(wǎng)頁，騙取貨款6000余元。另據(jù)RSA反欺詐指揮中心2010年12月報告顯示，中國已成為遭受網(wǎng)絡(luò)釣魚攻擊數(shù)量最多的五個國家之一，并較上月呈現(xiàn)了4%的增長。

　　近日，國內(nèi)專業(yè)的動態(tài)密碼身份認證企業(yè)——上海動聯(lián)信息技術(shù)有限公司技術(shù)總監(jiān)胡永剛做了解答。胡總監(jiān)介紹了黑客犯罪的過程：近期的網(wǎng)絡(luò)安全欺詐實際上主要是利用普通時間型動態(tài)密碼令牌不能防釣魚的漏洞。首先，犯罪分子通過發(fā)送詐騙短信，誘騙登陸欺詐釣魚網(wǎng)站，并誘使用戶輸入帳號、密碼和動態(tài)口令，在獲取用戶真實密碼和動態(tài)口令后，在1分鐘內(nèi)犯罪分子快速登錄中國銀行網(wǎng)上銀行官方頁面完成轉(zhuǎn)賬。在短短的1分鐘內(nèi)，由于動態(tài)口令還沒來得及更新，犯罪分子可以輕易登錄客戶賬戶，將帳戶上的金額全部轉(zhuǎn)走。

　　胡總監(jiān)介紹說，上述案例再次證明，安全問題是一個綜合性的問題。上述案例中的被盜，并不是由于動態(tài)口令自身被破解或偽造造成，而是黑客通過釣魚得到了真實的動態(tài)口令。任何單一的技術(shù)手段，在應(yīng)用上，都可能存在漏洞。就像普通Usbkey不能防止木馬攻擊一樣，普通時間型動態(tài)口令不能防止釣魚。

　　胡總監(jiān)繼續(xù)說，不過，合理應(yīng)用動態(tài)密碼，完全可以達到網(wǎng)絡(luò)安全的要求。動態(tài)密碼有多種種類，在國外是一個應(yīng)用成熟的身份認證技術(shù)形式，因其較高的安全性、簡單易用的模式而被網(wǎng)銀用戶高度認可。

　　針對此情況，業(yè)內(nèi)專家認為，像中國銀行網(wǎng)銀出現(xiàn)的問題，其實可以通過以下幾種方式來避免：1、采用挑戰(zhàn)應(yīng)答動態(tài)令牌，用交易的關(guān)鍵信息作為挑戰(zhàn)輸入令牌，得到動態(tài)口令;這樣交易信息就跟動態(tài)口令捆綁在了一起，黑客如果篡改了交易信息，認證將無法通過。2、建立用于交易確認的第二通道，如短信、電話等，當用戶需要交易時，將交易信息和確認碼通過短信或電話通知用戶，用戶輸入確認碼才能完成交易。3、交易風(fēng)險實時監(jiān)控，對于非常用的IP和不符合交易習(xí)慣的操作，進行動態(tài)密碼二次甚至多次認證。通過上述方式，完全可以保障交易的安全。另外，動聯(lián)現(xiàn)在能夠提供更強功能的K8動態(tài)密碼令牌產(chǎn)品，該產(chǎn)品擁有高于USBKEY的安全性，包含開機密碼保護、主機驗證、挑戰(zhàn)應(yīng)答、交易簽名等方式，真正做到網(wǎng)銀安全的無懈可擊。

　　背景資料：關(guān)于K8增強型動碼令

　　K8增強型動碼令是動聯(lián)繼K5專業(yè)型動碼令、K7超薄型動碼令之后更高型號的產(chǎn)品，定位于高端用戶，集超薄設(shè)計、長壽命、開機PIN碼保護(個人識別碼)等優(yōu)勢于一身，已然成為動態(tài)密碼身份認證業(yè)界的翹楚。其外觀小巧時尚，科技感十足，細節(jié)設(shè)計頗具人性化。K8增強型動碼令堪稱輕盈，尺寸比信用卡還小了一圈，厚度僅3.25毫米，重量只有13克，可單手操作。鍵盤和圖形界面易于使用，通用的操作提示圖標淺顯易懂，用戶甚至不需要看說明書就能輕松上手。大LCD顯示屏，最長8位數(shù)字顯示，更為清晰，雙功能on-off / erase按鈕，獨具智慧。

　　K8增強型動碼令除了在外觀、性能上有較大突破外，安全性更是全面升級。其采用一次性密碼(OTP)技術(shù)，支持時間同步、事件同步、主機驗證、挑戰(zhàn)/應(yīng)答、交易簽名等多種安全方式，有效防止釣魚網(wǎng)站和中間人攻擊。8位數(shù)字LCD，可輸入多達16位挑戰(zhàn)數(shù)字，數(shù)倍提升安全系數(shù)。

　　K8增強型動碼令的上市，可以完美解決黑客和中間人攻擊問題，輕松應(yīng)對虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。K8增強型動碼令在便攜性、易用性、安全性方面均實現(xiàn)了重大突破，實現(xiàn)了三者的完美統(tǒng)一，將給動態(tài)密碼產(chǎn)品高端市場帶來巨大沖擊。