1. 采用最新的VeriSign EVSSL证书,并提示消费这绿色地址栏的含义,将EVSSL证书部署在主页和每一个涉及交易的页面
2. 不要提供未部署SSL安全链路通道的页面用于访问登录
3. 当登录帐户时,为客户提供附加安全可选项,如为客户提供双因素认证技术
4. 考虑后台基础风险管控解决方案,检测客户帐户异常交易变动
5. 不要向客户发送带链接的电子邮件,并提醒用户下载安装最新版本的浏览器
1. 下载最新的浏览器版本,例如IE7.0或更高版本,FireFox 3或更高版本,Google Chrome, Safari,Opera.
2. 为敏感帐户配置强身份认证技术,如智能卡、或其他形式的双因素认证技术
3. 尤其小心要对通过邮件发送过来的链接,同时不要通过链接打开网站,最好直接输入网页地址。
4. 注意浏览器上的绿色地址栏。VeriSign EVSSL证书在确认网站真实身份并对网站拥有所属权后方颁发证书。网上犯罪者由于无法为虚假网站伪造EVSSL证书,因而无法将绿色地址栏显示到未经审核的站点。
根据现在计算机的硬件性能,目前56位以下的密钥长度已经非常容易破解,即在几十分钟的时间内就可以试完所有密钥空间。
DES 算法是应用最广泛的对称密钥加密算法之一,它有效密钥长度为56位。在RSA公司举办的系列DES破解挑战赛中,1997年用时96天破 解,1998年1月用了41天,1998年7月,Deep Crack工具耗时56小时完成了破解,在1999年1月,Deep Crack只用22小时15分钟完成了破解。根据摩尔算法,每隔18个月,硬件性能提高一倍。
在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度,即位数。目前常见的密钥长度有40位、56位、128位和256位。在密钥算法不存在漏洞的情况下,通常破解(即猜出密钥)需要用到强力破解,即把字母、数字等合法字符的所有组合一个个去试,所有的组合构成密钥空间。如下表所示。
密钥长度密钥空间
40位 1,099,511,627,776
56位 72,057,594,037,927,900
128位 340,282,366,920,938,000,000,000,000,000,000,000,000
位数越高,加密强度越大,越不容易破解。加密的信息在传输过程中越安全,即SSL(secure sockets layer)安全加密传输。
目前美国政府规定在标记为高敏感的数据必须采用192或256位加密强度的加密算法,如AES。
随着计算机硬件的更新换代,secure ssl协议(secure sockets layer)通过协商会话建立的加密强度(如40位、56位)不能满足很多商业数据的安全传输了,这是Yankee Group经过368次详细的测试后得出的结论。
SGC是一种服务器端使用的SSL证书,它可以影响客户端与服务器端会话时对于加密强度的选择。
由于我国相关政策法规的缺乏,很多网上银行、网上证券、电子商务网站在选择SSL证书时随意性很大,比如某证券在线交易网站用了只鉴证域名的SSL证书,不仅加密得不到保证、用户更无从判断交易网站的真假,给在线交易安全带来了极大隐患。而与此同时,SSL证书家族其证书性能正逐步升级,尤其是反击钓鱼欺诈网站独具特色EVSSl证书。据了解,国际领先的数字认证中心VeriSign已与其国内官方合作伙伴天威诚信在国内发放EVSSL证书,其独有的绿色地址栏技术和强大的加密技术,对适合交易及访问量庞大的商务网站来说确实是一个好消息。预计不久,代表安全绿色的地址栏将很大程度上帮助网民抵御欺诈钓鱼网站威胁。
要回答这个问题,我们需要了解secure ssl协议会话过程和SGC技术。
secure ssl协议会话是由用户端浏览器和服务器进行安全通信时建立的。如下图所示。
客户端发起连接,并提交支持的加密算法请求后,服务器端发出自己的证书、密钥交换方式,并要求提供客户端证书,客户端发出客户端证书(如果没有,就不用)、客户端密钥交换方式、服务器证书的确认,商定加密算法后,完成会话。双方开始使用加密传输信息。
从上述会话过程上看,加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。
但是如果服务器端的SSL证书用到了SGC技术,例如VeriSign Secure Site Pro(128位强制型),客户端在收到并确认是SGC证书后,会调高它所提交的密钥强度,从而使用双方最终建立的密钥长度达到SGC要求的加密强度,从而在最终在安全链接层(secure sockets layer)建立起加密通道。
网民登陆网页,有的时候浏览器会弹出警告显示网站安全证书有问题,提示“证书错误”。这是由于网民访问的页面部署了SSL证书,网页即将进入加密链接页面。但网站服务器部署的网站安全证书(SSL证书)并不是浏览器默认的可信证书,即证书链不受信。浏览器默认的安全机制,自动提示网民要当心网站的安全可靠性。
笔者建议最好访问受信的网页,因为许多安全厂商均可以提供网站安全证书,但只有根预埋在浏览器中的网站安全证书才经受过严格安全技术测试,并已被广泛接受。以前也曾发生过欺诈钓鱼网站可以通过技术手段伪造一张网站安全证书,以骗取网民信任的事件。并且相关机构调查,目前国内绝大多数正规网站均部署的是跟预埋技术的网站安全证书,如VeriSign SSL证书。如果确实需要访问该网页,最好从其他渠道获取网站联系方式,电话确认该页面是否安全。
根据Verisign的签署协议中禁止客户在多台服务器上配置同一张SSL证书。如果做负载均衡是需要在每台物理服务器上都配置SSL证书的.如果因为出现违反VeriSign关于负载均衡说明所引起的问题.我们是不负责任的。
实现网页的自动跳转有两种方式:
1、增加重定向到https
2、在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>
一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型SSL证书和多域型SSL证书才支持多个域名。
通配型SSL证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:
www.mydomain.com
secure.mydomain.com
pay.mydomain.com
login.mydomain.com
申请通配型SSL证书时填写的通用名称(Common Name)为: *.mydomain.com 。
与通配型SSL证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。
请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。
这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。
如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。
解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。
1.保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。
2.原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。
3.私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。
微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。
在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。
客户在填写辨识码时(证书管理密码)使用了特殊字符。
可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。
在Apache 上配置VeriSign EV SSL 证书,但VeriSign EV SSL证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。
VeriSign EV SSL证书对金融机构、支付平台、购物平台、知名企业等网络交易频繁的网站作用更为显著。主流浏览器如IE7.0、Firefox 3等可无缝实现VeriSign EV SSL服务器证书全部功能,当网民登陆配置了VeriSign EV SSL证书的网页时,浏览器地址栏将会自动变为绿色,提示网站经过了高级别身份验证,并且地址栏上还会滚动出现网站身份信息及数字证书颁发机构的名称,帮助网民辨别网站真伪,能有效降低钓鱼欺诈网站对公司的安全威胁,提升公司品牌形象。
总部位于美国加州山景城的VeriSign在多个国家设有分支办事机构,并与当地合作伙伴建立良好的服务合作关系。在中国大陆,天威诚信作为VeriSign官方合作伙伴可提供各类SSL证书产品,承担本地区客户服务工作。长达11年的稳定合作关系,让天威诚信数字认证中心(iTrusChina)可以为客户提供更为专业的帮助。点击了解VeriSign全球代理商情况
低端SSL服务器证书无法与多数浏览器兼容,因此访问时会弹出安全警告或直接禁止客户访问,极大的降低客户登录成功率。同时低端证书一遍无法提供128位的加密强度,因此在安全性上存在重大隐患。对于重要的金融机构、大型购物网站,配置不进行身份验证的低端SSL证书极容易被欺诈仿冒,其品牌价值和信任度将经受严重考验。高端SSl服务器证书可以与浏览器完全兼容,高安全的加密强度及身份验证机制可以确保网站的安全可靠,其最新的EV SSL证书更可以展示绿色地址栏提升网站安全可信度。
40位强度的SSL证书暴力破解耗费4小时,而对于128位SSL证书破解需要一万亿年以上。128位强制型,在消费者登录安全页面时以技术手段强制消费者采用128位加密级别,以提升安全性,能很大程度上减少隐私信息外泄的可能,因此128位强制型SSL证书在市场上倍受青睐。
VeriSign 站点签章标志(VeriSign Secured® Seal),拥有庞大的用户群,支持13种语言,每天的浏览人次数超过1.5亿次,创新的签章实现技术确保该标志不会被假冒或钓鱼网站非法使用。SSL证书客户将该标志放在网站上,可以时刻提醒在线用户,所有在线提交的数据信息正在受到高强度的加密传输保护,能最最大限度上提升网站可信度。
由于443端口的开放,走SSL协议会对服务器带来一定的负载.一般的应用模式是在整个站点的首页开放80端口让用户可以通过 http访问.在主页的页面中做一个连接.跳转到443端口.一般也可以让一台单独的服务器来运行 ssl页面.这样不会对整站的访问造成影响.一般的网银,和在线交易平台基本上都是这种应用.
公司帐号:866381719710001
公司名称:北京天威诚信电子商务服务有限公司
公司开户行:招商银行股份有限公司北京大运村支行
| 说明 | 产品名称 | 服务标准 |
| 一级服务 | VeriSign所有产品(安全电子邮件证书除外) | 7*24小时电话技术支持 |
| 5*8小时上门服务(限北京、上海、深圳、杭州、成都) | ||
| 全年3次电话回访 | ||
| 30天内无条件退订和退款(EV SSL除外) | ||
| 标准客户关怀服务 | ||
| 更新提醒 | ||
| 有效期内无限次免费重签 |
VeriSign拥有最为先进的证书安全技术和最为完善的产品线;
VeriSign标志是在世界范围内最被认可的安全标记,多达13种语言版本的动态签章,平均每天展示次数超过1.5亿次;
VeriSign为遍及145个国家和地区,超过100万SSL证书提供安全保护;
95%的财富500强企业,世界最大的40家银行选择VeriSign
VeriSign国际最为知名网络基础架构供应商,其在SSL证书市场占据绝对领导地位;
随着网络应用的兴起,个人隐私已经越来越多的在“光天化日”之下频繁传递,大量的木马、钓鱼攻击,让用户的隐私信息一览无遗。大到银行账户操作,小至上网闲聊,都可能遭到黑客窥视,账户被盗、信息被篡改、泄密的现象比比皆是。
为了保障自身账户安全,用户不得不去购买额外的安全产品,且不说效果如何,在防止邮件被篡改等涉及信息传输安全的方面这些产品大多无能为力,更何况也不该让用户独自应对安全问题。不同功能的网站应当肩负起不同的安全责任,并根据使用过程中信息敏感度以及安全隐患的差异,提供与之相匹配的安全措施。
高危网上支付需要严格醒目的安全防护
最新数据显示,目前假冒各家银行官方网站的“钓鱼网页”超过1600个,并且还在以每月400个的速度快速增加,加之前一段动态口令曝出的安全漏洞,网银用户已经面临了极大威胁。不仅是银行网页,在金融类、网购以及第三方支付等直接涉及资金账号操作的网站都是“钓鱼网页”的重点仿造对象。因此在为用户提供服务时,保护用户信息传输安全并协助用户鉴别“钓鱼网页”成为了此类网站安全防护的首要目标。
以招商银行的网站为例,其采用高安全强度的VeriSign扩展验证EV SSL证书来保护用户提交的数据信息。VeriSign是全球最知名的SSL证书品牌, VeriSign扩展验证EV SSL证书不仅可以在用户和服务器之间建立一条加密通道以保证信息安全传输,同时可以提供每日恶意软件扫描以检测网页上木马等恶意软件的攻击情况。此外,VeriSign扩展验证EV SSL证书还具有绿色地址栏功能:当用户登录安全可信的网站时,该网站地址栏会变为绿色;如果当前网站是钓鱼或可疑网站时,地址栏会变为红色。通过醒目的颜色变化对钓鱼网站加以区别。
不仅如此,VeriSign会给予获得VeriSign扩展验证EV SSL证书的网站一个安全标识——VeriSign信任签章。用户点击信任签章后,可以查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,让用户通过大量的验证信息判断网站是否真实可信。
招商银行凭借VeriSign扩展验证EV SSL证书对钓鱼网站进行了有力回击,随着用户安全知识的增加,这项技术的防护效果已经愈加明显,中信银行、中国工商银行、北京银行等知名银行的网站也在使用。
电子邮件与博客等网站安全易被忽视
与银行网站的“真金白银”不同,电子邮件、招聘信息这类信息发送频繁的网站暂未受到钓鱼网站的“重视”,所以网站的安全防范也容易被忽视,但一封重要的邮件遭到篡改或窥视同样是极其危险的。建议此类网站采用VeriSign SSL证书,这种服务器证书与VeriSign扩展验证EV SSL证书的主要区别就在于没有绿色地址栏功能,但在确保信息传输安全上同样可靠,网易邮箱的SSL安全登录服务就是这一技术的应用体现。
另外,博客以及以人人网、开心网为代表的SNS网站涉及了大量用户信息的在线提交,网站仅凭简单的静态密码难以保障用户账户及个人信息安全,加之这类网站一般都支持发送短链接,更加方便了恶意链接的传播。最近不少名人博客、邮箱被盗已经引起了人们的警惕,对于博客以及SNS网站这种用户信息非常集中的网站,应至少采用VeriSign SSl证书进行安全防护。
第三方电子认证服务机构有力支持网站安全建设
国内很多网站已经开始通过VeriSign SSL证书保护用户的信息安全,并抵御钓鱼网站侵害。其中大部分VeriSign SSL证书是由VeriSign中国地区的首要合作伙伴天威诚信提供的。天威诚信(iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,与VeriSign已经稳定合作超过11年。
在此有力支持下,国内网站可以更加方便有效的维护网站安全,为用户提供安全可信的上网环境。无论是与用户利益直接相关的银行网站还是供用户休闲交流的博客网站,都应当担负起自身应尽的责任。
移动互联网需要保护的首先是移动用户的利益,防止移动用户的隐私、财产被侵犯和占有,防止移动终端技术实现环境的损失和破坏。其次,移动互联网需要保障业务提供商的利益,防止业务提供商的内容和应用被非法使用,同时,移动互联网需要保障移动运营商的利益,防止运营商能力被滥用和非法使用。从三者的利益出发,通过分析可以得出的结论是需要打造移动终端的可信交易环境,实现完整的移动终端安全解决方案。
实现三者利益的保障,首先是要能够对用户的身份和设备的身份实现认证,只有避免用户身份和设备身份的盗用,识别到用户和设备的真实身份才能行之有效的保护用户和业务提供商的利益。身份识别和认证是一项说起来简单实现起来复杂的技术实现,用户识别最基本的方式是用户名、密码方式,但这种方式的两个根本问题是,一是安全系数低,单因子认证,一是不同系统统一用户名密码造成的用户信息泄露,缺少单点认证的共享安全机制。设备识别的最基本方式是硬件标识信息的识别,移动终端可以通过标识设备的IMSI或标识移动运营商识别的IMEI号进行识别,当然,单纯的标识识别缺少技术认证机制,存在被假冒的风险。因此,移动终端最佳的用户和设备识别机制是基于PKI技术的数字证书和数字签名,数字证书通过第三方验证方式验证用户身份后颁发基于非对称算法的数字证书,用户和设备的身份具备第三方认可依据,数字签名可以在技术上实现对用户设备的验证和鉴别,从而,符合法律和技术的身份认证服务标准。
[被访人:Elaine Chan,赛门铁克消费产品事业部高级业务发展经理]
移动互联网的时代已经来临,人们使用手机已不再局限于通话和短信交流,手机中的社交功能也在不断的被开发,微博、即时通讯、位置共享、网上娱乐等应用快速增长。然而,在智能手机极其应用在快速增长的背后,却隐藏着极大的安全隐患,你是否也遭受过垃圾短信、钓鱼网站窃取个人信息、手机病毒和欺诈应用程序的威胁?
赛门铁克消费产品事业部高级业务发展经理Elaine Chan 建议到,”威胁当道,退缩不是办法,选择一款值得信赖的手机安全防护软件,会大大减轻用户的后顾之忧,捍卫隐私安全,充分享受在移动互联世界里的生活乐趣。诺顿无处不在的保护,正是树立消费者信心的关键所在。”
诺顿于近日推出了诺顿手机安全软件2.0版本,提供对手机全方位的保护,包括防钓鱼的网页防护,通话和短信拦截,防恶意软件,支持对未知威胁查杀的全球智能云防护,智能更新,甚至在用户丢失手机的时候,能够远程控制手机以保护个人隐私。
手机安全威胁居高不下,手机失窃面临信息暴露
移动互联的世界让人愉悦,手机数量及其应用快速增长,操作系统的开放性,使得手机威胁也增长迅猛。截止到2011年6月,中国的手机网民高达3.18亿,66%的中国网民使用手机上网。人们通过智能手机上网访问新闻,连接社交网络,下载各种日常应用等。2011年,Android(安卓)在中国智能手机操作系统占有率中排名第一,智能手机已经成为人们获取讯息的重要通道,交际圈拓展的有力工具,增添生活趣味的一等功臣。而随之而来的移动威胁,以致黑客攻击,病毒入侵,网络钓鱼,后门软件层出不穷,增长迅猛。它们侵害用户手机,破坏正常运行,操控程序进行非法敛财,窃取用户信息……
而除了移动平台开放所带来的手机信息安全威胁,频发的手机失窃问题所带来的大量个人信息丢失和泄露也面临严峻形势。在今年1月进行的诺顿手机安全调查中,一个现象引起了大家的注意,74%的中国人曾遭遇手机丢失或失窃,84%的受害者认为,手机丢失或被盗后,最糟糕的是丢失家人朋友的联系信息,超过一半的受害者则对隐私或敏感信息泄露心存顾虑。
诺顿手机安全软件,全方位提供保护
诺顿提醒广大消费者,对于手机信息的保护要未雨绸缪,不能等到自己真正受到金钱损失,个人信息被侵犯,或私密信息已经在网络上广为流传之后才追悔莫及。而选择正确的保护工具是守卫个人信息的一道有力防线。基于Android系统的诺顿手机安全软件2.0的7大主要功能能够提供一套整体的手机安全防护方案。
诺顿手机安全软件2.0版本可保护消费者及其私密信息,免受最新的以及不断演变的安全威胁。在手机日常使用的安全维护上,诺顿手机安全软件2.0能助您一臂之力,为手机穿上”隐形的盔甲”。该软件能够检测并清除手机上的恶意软件和病毒,拦截不受欢迎的通话和短信,为通过智能手机上网的用户提供实时保护;全球智能云防护功能大大提升了对未知威胁的检测能力,可让手机在受到危害前消除威胁;先进而成熟的网络防钓鱼技术能让用户在网上冲浪时放心。通过定期更新检测,该软件能够在不影响手机性能或网页浏览体验的情况下确保用户使用最新、最先进的保护功能。
手机失窃后人们往往心急火燎,既想找回失窃手机,又担心手机内容被他人利用。诺顿手机安全软件2.0提供了一个令人放心的解决方案:通过远程锁定丢失或被盗的手机,防止陌生人或窃贼查看其中的重要信息;为了精确锁定手机的位置,诺顿手机安全软件会向用户发送手机位置的精确 GPS 坐标,从而提高找回手机的几率;即使手机遭遇失窃,用户也可以通过发送一条简单的短信来寻找、锁定手机,或者擦除手机中的敏感个人数据,包括联系人、短信、通话记录、书签以及电话内存卡中的所有数据。
诺顿手机安全软件还能够检测并消除来自文件、SD(Secure Digital)内存卡以及应用更新下载的威胁、病毒和间谍软件。通过定期更新检测,该软件能够在不影响手机性能或网页浏览体验的情况下确保用户使用最新、最先进的保护功能。
诺顿”无处不在”,捍卫你的信心
Elaine Chan还介绍到:”我们一直致力于提升人们对自由享受数字时代便利的信心,让人们的生活更美好。诺顿手机安全软件 2.0版本在安卓市场(Android Market) 上已拥有超过 600,000 次的下载和 4 星级以上(最高 5 星级)评价,能够协助用户保护储存在其手机内的信息以及手机本身。
除了诺顿手机安全软件,诺顿的创新技术还体现在PC端的安全保护。诺顿360全能特警5.0版是目前这是目前业界最快速、最有效的一体化安全套件。具备了诺顿网页安全提供的”Norton Secured”标识,该标识可以帮助识别运用 VeriSign SSL 证书或网站上采用 VeriSign 信任图章的企业。
当前电子银行面临的安全风险
国际金融危机正深刻改变着全球经济金融的发展格局,全球化、信息化、网络化,已经成为经济复苏时期,金融行业保持旺盛活力的关键。电子银行已经成为中国银行业发展的要支点和增长引擎,据不完全统计,电子银行的交易金额已经占到银行交易总金额超过50%。
电子银行业的迅速发展,得益于完善的互联网和电子商务体系。经过了十年的发展,目前我国商业银行的业务的竞争也日趋激烈。网银交易安全性与良好的用户体验,成为吸引用户的关键。
由于网银业务的特殊性,用户和银行都通过一个开放的互联网进行金融交易,并不实际接触,这给网银的安全性带来了新挑战。针对网银攻击也越来越普遍,从初期针对网银服务器直接的攻击已经转向针对防御比较薄弱网银用户的攻击。攻击手段也从简单的设置钓鱼网站窃取客户资料,转换到通过组合各种攻击手段,获取用户的身份与认证信息,再通过网银登录用户帐号,以窃取用户资金账户。
针对网银攻击已经形成一种有组织的网络攻击形式,黑客集团通常会使用多种攻击手段,进行组合使用,来攻击网银系统。主要攻击手段如下:
· 木马攻击:通过特别定制针对网银客户端的木马发起攻击
· 网络钓鱼攻击:注册大量仿冒银行网站,骗取网银客户认证信息
· 黑客攻击:通过某个应用或者操作系统漏洞,达到控制网银客户端的目的
· 中间人攻击:通过某种欺诈方式,在网银用户和网银系统之间形成一个交易中间人系统,任何网银系统交易,都通过中间人完成,并且对中间人透明,用户交易可以被中间人劫持或者修改。
· 行为欺诈攻击:通过网银快速转账功能,实现跨行洗钱/非法转账
近期出现电子银行反欺诈案件主要以网络钓鱼+中间人组合攻击为主,通过社会工程学手段,通过手机短信,仿冒某网银系统发出大量网银令牌升级信息,将用户吸引假冒网银系统钓鱼网站,欺骗用户输入用户名与口令信息,当用户输入正确信息后,利用中间人攻击的方法,冒充用户登录网银,并且实现非法资金划转。
虽然事后该银行力图通过关闭钓鱼网站的方式来避免网银客户继续上当,但是由于钓鱼网站数量多达数百个,无法短时间一一关闭,因此还是造成巨大损失。
赛门铁克电子银行反欺诈方案,希望各个层面监控针对网银的威胁,希望解决电子银行面临的诸多风险。
网上银行反欺诈过程中需要关注不同层面
赛门铁克通过对大量网银攻击案例的调查发现,通常攻击者的攻击过程分成3个阶段
1、 准备阶段:准备和收集网银信息与弱点,准备攻击工具
2、 攻击阶段:发动攻击,并且获取客户信息进行资金窃取
3、 清除痕迹:清除攻击痕迹,并且消灭罪证
针对如上三个网银攻击阶段,赛门铁克提出了有针对性的防御手段,分成如下3个不同的阶段:
事前预防阶段
攻击者行为:收集网银信息、设置欺诈网站、刺探网银弱点
攻击现象:发送垃圾邮件/信息、钓鱼网站出现、客户端异常访问
防御重点:钓鱼网站的早期发现、阻止钓鱼网站蔓延
防御位置:网银用户端
事中防御阶段
攻击者行为:通过事前阶段得到获取到用户信息,实施资金窃取
攻击现象:大量钓鱼网站/木马出现,用户信息大量失窃
防御重点:分辨并且阻止非法交易进行
防御位置:网银认证/交易系统
事后审计追踪阶段
攻击者行为:清除攻击痕迹、销毁攻击记录
攻击现象:钓鱼网站快速关闭、注册信息记录被销毁
防御重点:保持完整交易记录、追查攻击者来源
防御位置:网银交易系统/审计系统
赛门铁克的端对端网银防护方案
赛门铁克认为针对网银的防欺诈过程,需要根据上文提到网银的攻击特点,进行全方位的防御,单独的位置和单独技术手段针对现有的组合欺诈手段都无法奏效。例如试图通过关闭钓鱼网站的服务来解决网银欺诈的问题,就无法解决问题,由于攻击者通过免费的域名服务设置TK域名的网站,开通成本几乎为零,但是关闭该网站的成本为它十倍。而且钓鱼网站通常一段时间后就自行消失,无从关闭。
赛门铁克电子银行交易监控平台能够对网上银行的交易进行全面监控,动态识别欺诈攻击的不同阶段,依据一定的反欺诈监控规则,识别交易的风险级别,动态实施安全措施。对于风险级别较高、可疑欺诈交易,实时给予提示、预警或中止。监控平台可快速部署安全策略,及时更新可疑IP地址、可疑账户等数据,得到全面提升网银安全性的目的。
赛门铁克提供网银反欺诈解决方案,将在以下四个不同的位置进行欺诈防御:
· 网银用户客户端:
· 通过赛门铁克端点工具,阻隔已知或者未知钓鱼网站链接/与木马
· 即使发布可疑钓鱼网站信息到客户端
· 互联网网站互信
· 网银客户端访问该网站会有明确提示。
· 网银用户认证系统
· 通过多因素认证系统,确认用户身份
· 通过和用户历史登录规律比对,发现用户登录异常
· 网银交易转账系统
a. 通过对网银交易和登录记录进行自动学习,了解用户行为特征
b. 对于与用户历史操作不符合的操作进行提示,通过人工或者短信方式介入用户确认,达到阻止欺诈交易的目的
此外赛门铁克拥有全球最大的智能监控网络,能实时捕获网络的异常情况,包括垃圾邮件,木马和欺诈的情况,将这些有害的攻击者信息进行统一,并且发布给赛门铁克各个防御组件,实现有效的统一防御的目的。
赛们铁克公司真正实现了借助互联网的优势构建安全防护体系,帮助银行等金融机构建立互联网上的安全防御,为电子银行类的基于互联网的业务保驾护航。
“400****我付了钱后电话都打不通了,我的机票呢???第一次自己上网买机票。”有网友在微博中这样哭诉。安全专家指出,此类情况都是被假机票预订网站给骗了。每逢假期临近,外出旅行的人增加,假机票预订钓鱼网站数量就会激增。
专家建议网友在线预订机票安排出行时,使用专业的安全软件协助鉴定钓鱼网站,避免上当。
假机票网站存在已久,职业骗子精通互联网营销,擅长通过贴吧、知道、论坛、QQ群等工具推广自己的假网站,有的骗子甚至直接购买搜索引擎广告。安全专家指出,在中秋、国庆长假即将到来之际,金山毒霸云安全系统每天拦截的新增假机票网站有上千个之多,让许多网友防不胜防。
购买搜索关键字广告的钓鱼网站
为什么假机票网站这样多呢?原因在于,制作假机票网站的成本很低,骗子们利用批量制作钓鱼网站的工具,有网站编辑经验的人,只需要几分钟即可制作一批看起来大同小异的所谓**航空公司机票销售网站。
假南方航空公司网站
钓鱼网址还有一个特点是生存周期很短,每个网站的访问人数都不多。因为受骗者上当后会报案,骗的人太多,容易被打击。这就是消费者常说的,被骗之后再去访问骗子网站,会发现网站打不开,电话打不通。也给公安机关调查取证制造了较大难度。
那网民是不是就没办法预防类似事件发生吗?当然不是这样。“事实上,这类假机票预订的钓鱼网站相当容易分辨,网民只需要掌握一些基本技巧,即可避免诈骗事件发生。”安全专家指出,假机票预订网站往往具有以下几个明显的特征:
第一步:查看网站是否部署了安全可信的SSL证书
用户应学会从外观上辨别正规网站和钓鱼网站,尽量远离钓鱼攻击。目前,许多正规网站都部署了SSL证书(服务器证书),通过SSL技术实现信息的加密传输,确保信息在传输过程中不被窃取、篡改,有效保护用户网银账号等敏感信息。由于部署SSL证书的网站具有地址栏以“https”开头、地址栏右侧显示金色锁形标记等无法仿冒的安全特征,因此用户可凭借安全特征对正规网站进行识别,让善于模仿的钓鱼网站无所遁形。
专为用户提供出行便利的携程旅行网曾饱受钓鱼网站和“携程机票网”“携程商旅网”等山寨网站的袭扰,为此采用了由天威诚信提供的VeriSign SSL证书,快速建立起携程旅行网的网站可信形象。
携程旅行网VeriSign SSL证书部署页面
网站在部署SSL证书后,可通过SSL技术实现信息加密传输,防止网银密码等敏感信息在传输过程中遭到窃取或篡改,有效保护用户信息安全。此类网站的主要特征是:地址栏以”https”开头;地址栏右侧自动显示金色锁形标记,点击后可查看服务器证书和颁发机构信息。网友可以通过这两个安全特征来判断网站是否可信,有效区分真假难辨的钓鱼网站。此外,像全球最知名的VeriSign扩展验证EV SSL证书还提供绿色地址栏和VeriSign信任签章功能,在防治钓鱼网站和木马等恶意攻击方面更具针对性。
相信关注信息安全的网友对VeriSign并不陌生,VeriSign SSL证书是全球最知名的服务器证书品牌VeriSign的产品之一。进入中国后,VeriSign与其中国合作伙伴天威诚信在超过11年的合作中,为上百家知名网站提供了安全服务。天威诚信(iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,为VeriSign证书可靠的品质赋予了周到且专业的本土化服务支持。 端午佳节将至,希望大家在关注出行时也注意在线订票安全,为自己规划一个美好的假期。
招商银行、支付宝、卓越网、携程旅行网等上百家知名网站均通过SSL证书维护其网站可信形象,这些网站使用的SSL证书就是上面提到的VeriSign证书产品。
第二步:电话号码识别
骗子的网站往往会留一个特别显眼的电话,多是400开头或95013开头。而正规的航空公司电话往往是955开头的5-6位数,电话号码不会很长,以方便记忆。只有机票代理点才会使用普通电话,其他特征继续往下看。
假订票网站会突出显示联系电话
第三步:航班线路非常少
假机票预订网站的航班信息不全,只有几条线路,不能实时检索具体的航班信息。当在查询框中任意输入需要检索的航班,点击查询时,出现的往往不是查询结果,而是网络忙、系统维护。同时,骗子还会在网页显示一个电话让你和他联系。
根本原因在于,正规的机票预订网站后台数据库连接到航空公司的票务系统,而假网站根本不可能连接到航空公司数据库。不可能查询到丰富的航班信息。
假机票预订网站不能查询真实的航班信息
第四步:付费信息不正规
当网民在假机票预订网站准备付费时,往往显示个人帐号信息,而不是正规的公司帐号信息。
假机票预订网站支付页面没有正规的公司信息,帐户名多为个人,而非公司
第五步:无需提供详细信息
当准备在假机票预订网站选择航班预订时,这些网站根本不要求你提供身份证或手机号。而订过机票的人都清楚,身份证和手机号是必填项。因为机票会打印你的真实身份信息,登机安检必须持本人身份证件,出错就不可能登机。
第六步:被杀毒软件判定为钓鱼
随便在这个网站搜索一下骗子网站显示的航班号,你也许会在许多网站发现一模一样的航班信息。这些搜索结果后面都被标识为红叉,这是金山毒霸判断这些搜索结果全部是不安全的钓鱼网站。
尝试搜索一下网页提供的航班信息,红叉表示不安全
其他技巧:当你对正在访问的机票预订网站不放心时,不妨试试用搜索引擎查找这个网站的电话、银行帐号,或者具体的航班号。如果找到其他网民曾经上当受骗的信息,就应该中断交易,绝不汇款给骗子。
安全专家介绍说,网上的骗子并不比常人聪明,骗子的网站还往往漏洞百出,只要我们稍加留意,用前面介绍的一些方法稍加鉴别。我们就可以避开骗子网站,通过正规的航空公司或旅行社安全地愉快地安排好中秋或国庆假期出行。
希望以上这些可信网站方面的安全常识,能帮助大家辨认可信网站身份,享受网络便利的同时,将钓鱼欺诈拒之门外。
在线咨询
您好,请问有什么可以帮助您?
SSL证书/代码(数字)签名证书/https证书
