今天在别人的电脑上用网银交支付宝充值,在网银支付的时候出现了错误,错误提示很是笼统,只有一个错误代码,其他什么也没说,而且我以前用网银时也没出现过这样的错误,由于不是自己的电脑,无法确保电脑安全,于是就起了怀疑。此前也听说有一些专门盗窃网银的木马就是伪造一个错误以骗取用户的密码。
我用的是工商银行的网上银行,使用口令卡的,没去办U盾。而且我觉得口令卡其实也足够安全了。不过今天的事让我重新思考了一下究竟口令卡是否真的安全,会不会有什么隐患。工行的电子口令卡上面有是10 * 8的矩阵,一共80个格,每个格上面有以一组随机的三位数字,每次使用网银支付必须输入两组数字进行校验。那么一共存在的组合有80 * 80 = 6400种,而口令卡的最多只能使用2000次。对于一张卡可以产生6400个不同的密码,而不同的卡上面的每个矩阵里面的随机数字是不一样的,所以每张开的密码都不一样。
那么假如制作一个木马,去盗取用户网银的口令卡信息,有多困难呢?理论上,假如木马取得了计算机上的最高权限,并且不被发现,它可以伪装任何东西,包括伪装一个IE浏览器,伪造一个假的网银网站,而在网址上完全看不出来,看起来也可以有SSL加密的提示。所以现在的网银才有“预留信息”这个用户自定义的信息,用以识别伪造的网银网站。伪造的网站当然无法知道你预先设定的预留信息,但是它可以先让你登录一次真的网银网站,同时记下你的登录密码及预留信息,这些都是有可能做到的。虽然SSL无法破解,无法直接在网络传输层截取有效的数据,但是可以通过屏幕捕捉,OCR等手段,或者内存监测等等,要拿到这些数据,都不是不可能的。
最后的保障便是口令卡了,因为口令卡上的密码是随机生成的,而且交易的时候系统随机指定两组数据作为密码,就算你自己丢了那张口令卡也无法使用网银了,别说是木马。但是木马有可能在你输入口令卡密码时自动记录对应矩阵单元内的密码,虽然一次只能记录两个格,并不实用,可是如果多次尝试的话,一共也就80个格,只要这80个格所对应的密码被木马知道了,那么它就可以直接任意使用这个网银帐号了。
木马完全可以伪造一个假的网银网站,然后骗你输入对应的口令卡密码,当然即使你并没有输错,它也会提示你口令卡密码错误,或者其他系统错误之类的,总之给你一个借口,说是支付不成功,让你再试,这时你再输入另外一组,再出错,如此重复,你的口令卡便渐渐地变得不再安全了。所以对于在使用网银中出现的各种错误,应该慎重对待,可能这些错误根本就是木马程序伪装的。目的是骗取你的信息。
今天我遇到的那个问题,并不能确定是真的是网银出错还是我遇到了所谓的钓鱼攻击,当时我想打电话给工行的客服去求证,但是工行的客服电话却一直打不通。百度查询了一下那个错误代号,没有网页说那种情况是攻击行为,有几个网页提到也遇到这样的问题,但是并没原因也没解决方法。如果这确实是网银正常的错误反馈信息的话,那我确实要鄙视一下工行的网站,就一个错误代码,什么都没说,这算个鸟提示啊,我们又不是技术人员,给个代号有什么意思,摆明不就是给钓鱼网站提供了机会么。
另外提一下的是另外一个号称更加安全的设备U盾,其实U盾就等于一条钥匙,电脑插上这条钥匙时才能使用网银支付,没有这个钥匙的时候谁都用不了,因为是硬件设备,几乎不可能被伪造,因为是数字证书,都用了甚高位数的非对称加密,至于能否被复制这个我持怀疑态度,假设它不能被复制吧。但是有些人却为了方便,长期把U盾插在电脑上面,这样就好比把保险箱的钥匙留在保险柜上面一样,这把钥匙完全失去意义了。U盾本身是安全的,但是也需要好好保管好。U盾的保障在于,U盾存在的时候能交易,U盾不存在的时候不能交易,实际上U盾插着的时候,电脑上的软件也可以自动完成交易(理论上),这个时候甚至比口令卡还脆弱。
所以实际上没有绝对安全,最脆弱的系统是人自身。