分类
安全播报

仓促订票易忽视欺诈 安全常识助力端午出行

    端午节选好了旅行地点却买不到票,大热天奔波于吵杂的车站售票点着实让人起急。一位网友表示:“想起车站人山人海就怵头,以前买票还被小偷趁乱掏了手机,为了张票不够闹心的。”相比之下,选择网上订票的朋友就很滋润,免了排队苦等,宅在家里也能安排行程,更谈不上小偷趁火打劫。话虽如此,可网上订票的朋友千万别大意,省时省力自然是好事,但网络钓鱼欺诈比现实中的小偷更加防不胜防。若不仔细区分网站细节或不懂SSL证书服务器证书)等安全常识,钓鱼欺诈的魔手很可能会伸进您的腰包。

    5月底,家住重庆的李女士在网上订了张机票,打算6月4号启程去看望朋友。可李女士通过银行把票款汇出后,对方打电话称提供的身份证号有误,要再打一次钱另外买张机票之后办理退钱,这时李女士感觉事有蹊跷。

    据李女士介绍,她是在一家名为“58同城”的票务网站上购买的机票。谨慎起见,李女士特意查看了网站的一些细节,发现页面醒目位置不仅有客服电话,还可通过查询按钮到看自己的订单信息。李女士觉得这家网站没什么可疑,所以即便在汇款时看到对方是私人账户,也没有引起她的怀疑。“钱汇了,客服电话却打不通。”李小姐说,几个小时后,客服打电话过来,号码比网站上的多了一个0。“对方是个男的,说我的身份证号输错了,出不了票,要再打一次钱,重新买,才能退之前的钱。”

    李女士感觉不对,赶忙让朋友帮忙拨打了“58同城”全国客服热线。经询问发现“58同城”根本没有此前李女士拨打过的客服电话。此时,李女士印证了心中的担心,不禁大呼上当。

    事后,李女士再次打开了自己订票的那个网站,发现网页左上角的LOGO虽然是“58同城”但网址却是www.huajingsh××.tk 。再次拨打“58同城”官方的客服热线,工作人员称,这个域名并不是他们的网址,李女士遇到的很可能是一家冒充“58同城”的钓鱼网站。

像李女士一样遭遇钓鱼欺诈的朋友还有很多,在线订票、团购、网上银行等涉及用户信息和资金账户的网站都是钓鱼欺诈冒充的重点对象。您不仅需要及时更新电脑的安全软件以加强对木马等恶意软件的防护,还要掌握判断可信网站的安全常识。

    目前,识别可信网站最为直观有效的方法之一是查看网站SSL证书服务器证书)相关信息。

    网站部署SSL证书后,可通过SSL技术实现信息加密传输,防止网银密码等敏感信息在传输过程中遭到窃取或篡改,有效保护用户信息安全。此类网站的主要特征是:地址栏以”https”开头;地址栏右侧自动显示金色锁形标记,点击后可查看服务器证书和颁发机构信息。网友可以通过这两个安全特征来判断网站是否可信,有效区分真假难辨的钓鱼网站。此外,像全球最知名的VeriSign扩展验证EV SSL证书还提供绿色地址栏和VeriSign信任签章功能,在防治钓鱼网站和木马等恶意攻击方面更具针对性。

    招商银行、支付宝、卓越网、携程旅行网等上百家知名网站均通过SSL证书维护其网站可信形象,这些网站使用的SSL证书就是上面提到的VeriSign证书产品。

    VeriSign源于美国,是全球数字认证领域最为知名的品牌,已受到世界各地网站的广泛认可。在中国,VeriSign与其中国合作伙伴天威诚信合作超过10年,为国内众多知名企业提供服务,因而国内绝大多数VeriSign SSL证书都来自天威诚信天威诚信(iTrusChina)作为工信部批准的合法第三方电子认证服务机构,专业从事数字认证等技术和产品服务,本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。由于VeriSign与天威诚信(iTrusChina)是判断可信网站过程中时长涉及到的名称,所以有必要了解其意义。

    希望以上这些可信网站方面的安全常识,能帮助大家辨认可信网站身份,享受网络便利的同时,将钓鱼欺诈拒之门外。

分类
安全播报

钓鱼善用热点欺诈 SSL击破视觉伪装

   时下互联网的热门内容就像是度假胜地,让人着迷、充满期待,但总有大批钓鱼网站瞄准慕名而来且不明真相的人群,打着“当地特产”“特色风情”等旗号赚个盆满钵溢——就像不法商贩一样,但糟糕的是钓鱼网站不仅卖“山寨货”,更直接威胁用户资金账户等信息安全,手段愈发“高明”。

 日前,国内知名选秀节目《中国达人秀》就被不法分子盯上,网络上出现了仿真度极高的钓鱼网站。由于国内的选秀节目受到大量观众追捧,利用节目名义仿制选秀节目网站成了不法分子捞取不义之财的机会,也对网友形成了严重的安全威胁。

    此类事件并非少数,有数据统计,今年6月已处理钓鱼网站4312个,同比5月份上升16%左右。而且从特征来看,钓鱼网站仿真度越来越高,已从单一的窃取品牌名义,逐渐演化为对真实网站的高度仿冒,其中主要涉及网站页面、功能及域名的仿冒,让普通用户难以区别。

    除了视觉上的伪装,不法分子已经越来越多的利用时下热门节目或者某热门行业中的品牌,窃取名义,进行克隆、仿制出和官网相同的网站,更有甚者通过搜索引擎优化技术将钓鱼网站在搜索结果中的位置提前。进而通过钓鱼网站向用户发布一些“中奖”或“打折”信息,诱惑网友进行支付操作。一旦网友进行支付操作,钓鱼网站将迅速窃取网友的信用卡、网银账号、联系方式等个人信息,侵害网友资金安全。

    因此,喜爱上网尤其是喜爱网上购物等常涉及支付操作的网友,应强化安全意识,除了安装杀毒软件等防护软件外,应掌握一些鉴别钓鱼网站的方法,以加强个人信息安全。

    目前,防范网站假冒最为有效的技术手段是部署SSL证书服务器证书),因此国内各大银行、基金证券、电子商务、第三方支付等涉及用户敏感信息在线提交的网站均已采用这一技术。

    细心的网友也许早已注意,在卓越、凡客、携程等网站用户登录注册页面的地址栏是以“https”开头(比一般的“http”多了一个“s”),且在地址栏右侧出现了金色锁形标记。如果网友点击这一标记,将会看到服务器证书以及颁发机构的详实信息,通过验证网站真实身份确认网站的真实性。而工商银行、招商银行等网站的地址栏不仅出现上述特征,还会变为绿色——这是EV SSL证书独有的绿色地址栏功能,用醒目的颜色变化提示用户当前网站是否可信(绿色代表安全,红色代表可疑),破解钓鱼网站的障眼法。

    不仅如此,这些显著的安全特征还包含了一则信息:当前网站已经通过SSL技术实现了高强度的信息加密通道,在线提交的信息数据在传输过程中将不被窃取或篡改,大大提升了用户个人信息安全。

    当前全球最知名也是应用最广泛的SSL证书品牌是VeriSign,已有超过百万台服务器部署了其SSL证书产品。VeriSign品牌源于美国,但国内权威认证机构天威诚信与其逾11年的合作中,已为中国许多知名网站提供了安全有效的网站可信服务。

分类
安全播报

高校招生频遭欺诈 网站安全管理须从严

   在网站信息安全保卫战中,那些与用户敏感信息无关的网站也遭到了钓鱼欺诈不同程度的光顾——这些网站未涉及用户敏感数据传输,似乎无需采用SSL证书或其他防护措施,但网站中一些热门内容所吸引的大量人群还是为钓鱼网站创造了动机。

    进入8月以来,以假冒高校招生的钓鱼诈骗事件时有发生。不法分子恶意仿冒合法高校招生网站、非法链接并篡改合法招生院校网上供查询的新生录取名单等方式来进行违法犯罪活动。虽然教育部已发布预警提醒广大考生和家长,谨防非法中介诈骗活动,避免蒙受不必要的损失。可惜部分考生和家长一直存在侥幸心理,对“交钱就能实现低分高录”的虚假承诺信以为真,最终上当受骗。

    在此希望各位考生家长,不要盲目听信那些“后门”承诺,在访问高校招生网站时最好能够致电核实信息。另外,除了及时提醒访问者外,网站方面还应依靠有效的技术支持实现网站的安全防护。

在这点上,高校招生网站可借鉴金融与电子商务类网站。这两类网站涉及用户银行卡号、交易密码等信息,故一直被梦魇般的假冒网站和恶意软件纠缠不清,应用SSL证书已成为与之有效对抗的主要方式,监管严格的网上基金交易更是将SSL技术的应用作为行业法规。

    SSL证书服务器证书)的信息加密、网站真实身份展示、恶意软件扫描等功能对网站假冒、恶意软件攻击具有针对性,可有效确保用户在线传输的信息安全。因此SSL证书产品尤其是那些知名度很高的专业品牌(比如VeriSign,全球最知名的SSL证书品牌),受到全球金融类及电子商务类网站的青睐——他们为用户在线提交的个人信息找到了可免于被窃取、篡改的防护措施,并为访问者提供无法仿制的安全特征,以协助他们免遭钓鱼欺诈,从而建立自身网站的可信形象与用户信任。

    当然,高校招生网站可能用不到那么高的信息加密强度,但SSL证书在表明网站真实身份、打击假冒网站和监测页面恶意软件方面的表现同样值得借鉴。 目前,国内很多知名网站在建立网站可信形象方面,均采用权威认证机构天威诚信iTrusChina)提供的网站可信服务。天威诚信与全球知名SSL证书品牌VeriSign逾11年的合作中,已经积累了大量运营经验,帮助国内上百家知名网站(凡客、卓越、携程、招行等)进行网站安全建设。

分类
网络新闻

索尼再度遭黑客攻击 1亿帐户遭泄漏

  5月3日消息,索尼在线游戏服务再度遭到黑客攻击,公司周一(2日)宣布, 其集体在线游戏网络─索尼在线娱乐(SOE,Sony Online Entertainment) 遭入侵,多达2460万名客户的个人资料及2.34万名美国以外客户的信用卡相关信息,恐遭窃取。

 

  据国外媒体报道,索尼在线娱乐表示,公司于东京时间周一稍早侦测到这起黑客攻击行动,并已暂时关闭网站。除了2000多万名现有用户的姓名、出生日期及地址等个人资料恐外泄,另个已于2007年起停用的旧数据库也遭黑客入侵。

 

  索尼透露,黑客可能于旧数据库中,窃取了1.27万笔非美国信用卡或签帐卡卡号及卡片有效日期数据,以及1.07万名欧洲客户的付款纪录。不过,由于网络付款所需的信用卡安全密码(pin 码)数据并未遭黑,因此信用卡不致被盗刷。

 

  SOE提供的在线多人游戏,包括知名角色扮演游戏《无尽的任务(EverQuest)》。公司表示,今日发现的黑客攻击,起源于上(4)月16及17日游戏在线服务PlayStation Network(PSN)遭到黑客攻击后,所持续进行的安全侦查行动。

 

  据《华尔街日报》报道,索尼高层称其在线游戏网络6周前开始遭到黑客攻击,他们不确定黑客意图窃取的目标为何。公司正与美国联邦调查局(FBI)合作调查这整起黑客入侵事件。

分类
网络新闻

央行颁发首批27张第三方支付牌照

5月26日,央行正式向支付宝颁发国内第一张《支付业务许可证》(下称《许可证》),悬而未决十年之久的第三方支付企业身份问题终于得到破解。据记者了解,第三方支付牌照已以邮寄的方式发放给相关企业,获得牌照的企业一共27家。支付宝、财付通、快钱等民营第三方支付都拿到了牌照。业内人士认为,牌照的下发除了有利于行业的规范,对于第三方支付“中国队”参与国际竞争也将带来政策支撑。

 

网上支付真火 一季度已达3650亿

 

2010年6月,央行正式对外公布《非金融机构支付服务管理办法》对国内第三方支付行业实施正式的监管,而2011年9月1日成为第三方支付机构获得许可证的最后期限,逾期未取得的企业将不得继续从事支付业务。

 

自《办法》及实施细则颁布以来,共有32家内地第三方支付商向央行申请业务许可。昨天发放的首批27张牌照发证日期为2011年5月18日,有效期5年。而申请牌照的32家机构中,尚有5家暂未踏入门槛。

 

据了解,在昨天首批获证的27家企业中,支付宝(阿里巴巴公司旗下)及财付通(腾讯公司旗下)的注册资本最大,为5亿元人民币,注册资本最小的企业为3000万。

 

从2003年开始,网上支付服务开始走入亿万用户的生活,并逐步成为中国互联网的最基础应用之一。调查机构艾瑞咨询的最新数据显示,2011年第一季度,中国第三方网上支付的交易规模就达到3650亿元。而第三方支付市场依然保持较高的市场集中率,仅支付宝、财付通两家企业就占据了市场的70%。

 

牌照终于发放

支付公司“身份”明确了

 

据支付宝人士介绍,截至2010年12月,支付宝注册用户数超过5.5亿,日交易额超过25亿元,日交易笔数达到850万笔。按注册用户、交易笔数以及支付总额计,支付宝都已经超越美国的paypal,成为全球最大的在线支付平台。不过,管理办法迟迟未能出台,导致支付宝这样的第三方支付企业一直处在尴尬境地,“身份”成了困扰支付宝们的一大难题。而随着《支付业务许可证》的正式发放,支付宝等民营非金融机构从事支付服务的身份问题终于尘埃落定。从易观国际、艾瑞咨询等分析机构的报告看,国内第三方支付市场排名前5位的企业中,有4家是民营非金融机构出身。

 

网上掏钱更保险

除了网购,还能还款转账

 

“现在还有什么不是在网上付钱的?”昨天,南京市民、网购达人王小姐听说第三方支付牌照发放的消息,终于松了一口气。她告诉记者,今后网上买东西又多了一层保护伞。

 

业内人士告诉记者,今天的消费者,只要经过支付宝,可以在70多家国内银行,乃至境外金融机构之间进行可控可查的支付。而随着应用领域的拓展,第三方支付涉及的行业已经由之前的网络购物、航空机票、公共事业缴费等,逐渐向物流、保险等领域扩展,比如支付宝在手机端的应用也开始启动。我们可以用第三方支付平台,去网购、缴纳日常的水电煤气费用、进行信用卡还款,可以进行不同银行之间的转账。本报记者徐晓风

 

支付宝(中国)网络技术有限公司

银联商务有限公司

北京商服通网络科技有限公司

深圳市财付通科技有限公司

通联支付网络服务股份有限公司

开联通网络技术服务有限公司

北京通融通信息技术有限公司

快钱支付清算信息有限公司

上海汇付数据服务有限公司

上海盛付通电子商务有限公司

钱袋网(北京)信息技术有限公司

上海东方电子支付有限公司

深圳市快付通金融网络科技服务有限公司

广州银联网络支付有限公司

北京数字王府井科技有限公司

北京银联商务有限公司

杉德电子商务服务有限公司

裕福网络科技有限公司

渤海易生商务服务有限公司

深圳银盛电子支付科技有限公司

迅付信息科技有限公司

网银在线(北京)科技有限公司

海南新生信息技术有限公司

上海捷银信息技术有限公司

北京拉卡拉网络技术有限公司

上海付费通信息服务有限公司

深圳市壹卡会科技服务有限公司

获得第三方支付牌照的27家企业名单

分类
网络新闻

SNS网站应用VeriSign SSl证书安全防护

  随着网络应用的兴起,个人隐私已经越来越多的在“光天化日”之下频繁传递,大量的木马、钓鱼攻击,让用户的隐私信息一览无遗。大到银行账户操作,小至上网闲聊,都可能遭到黑客窥视,账户被盗、信息被篡改、泄密的现象比比皆是。

 

  为了保障自身账户安全,用户不得不去购买额外的安全产品,且不说效果如何,在防止邮件被篡改等涉及信息传输安全的方面这些产品大多无能为力,更何况也不该让用户独自应对安全问题。不同功能的网站应当肩负起不同的安全责任,并根据使用过程中信息敏感度以及安全隐患的差异,提供与之相匹配的安全措施。

 

  高危网上支付需要严格醒目的安全防护

 

  最新数据显示,目前假冒各家银行官方网站的“钓鱼网页”超过1600个,并且还在以每月400个的速度快速增加,加之前一段动态口令曝出的安全漏洞,网银用户已经面临了极大威胁。不仅是银行网页,在金融类、网购以及第三方支付等直接涉及资金账号操作的网站都是“钓鱼网页”的重点仿造对象。因此在为用户提供服务时,保护用户信息传输安全并协助用户鉴别“钓鱼网页”成为了此类网站安全防护的首要目标。

 

  以招商银行的网站为例,其采用高安全强度的VeriSign扩展验证EV SSL证书来保护用户提交的数据信息。VeriSign是全球最知名的服务器证书品牌, VeriSign扩展验证(EV)SSL证书不仅可以在用户和服务器之间建立一条加密通道以保证信息安全传输,同时可以提供每日恶意软件扫描以检测网页上木马等恶意软件的攻击情况。此外,VeriSign扩展验证(EV)SSL证书还具有绿色地址栏功能:当用户登录安全可信的网站时,该网站地址栏会变为绿色;如果当前网站是钓鱼或可疑网站时,地址栏会变为红色。通过醒目的颜色变化对钓鱼网站加以区别。

 

  不仅如此,VeriSign会给予获得VeriSign扩展验证(EV)SSL证书的网站一个安全标识VeriSign信任签章。用户点击信任签章后,可以查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,让用户通过大量的验证信息判断网站是否真实可信。

 

  招商银行凭借VeriSign扩展验证(EV)SSL证书对钓鱼网站进行了有力回击,随着用户安全知识的增加,这项技术的防护效果已经愈加明显,中信银行、中国工商银行、北京银行等知名银行的网站也在使用。

 

  电子邮件与博客等网站安全易被忽视

 

  与银行网站的“真金白银”不同,电子邮件、招聘信息这类信息发送频繁的网站暂未受到钓鱼网站的“重视”,所以网站的安全防范也容易被忽视,但一封重要的邮件遭到篡改或窥视同样是极其危险的。建议此类网站采用VeriSign SSL证书,这种服务器证书与VeriSign扩展验证(EV)SSL证书的主要区别就在于没有绿色地址栏功能,但在确保信息传输安全上同样可靠,网易邮箱的SSL安全登录服务就是这一技术的应用体现。

 

  另外,博客以及以人人网、开心网为代表的SNS网站涉及了大量用户信息的在线提交,网站仅凭简单的静态密码难以保障用户账户及个人信息安全,加之这类网站一般都支持发送短链接,更加方便了恶意链接的传播。最近不少名人博客、邮箱被盗已经引起了人们的警惕,对于博客以及SNS网站这种用户信息非常集中的网站,应至少采用VeriSign SSl证书进行安全防护。

 

  第三方电子认证服务机构有力支持网站安全建设

 

  国内很多网站已经开始通过VeriSign服务器证书保护用户的信息安全,并抵御钓鱼网站侵害。其中大部分VeriSign服务器证书是由VeriSign中国地区的首要合作伙伴天威诚信提供的。天威诚信iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,与VeriSign已经稳定合作超过11年。

 

  在此有力支持下,国内网站可以更加方便有效的维护网站安全,为用户提供安全可信的上网环境。无论是与用户利益直接相关的银行网站还是供用户休闲交流的博客网站,都应当担负起自身应尽的责任。

分类
知识中心

VeriSign SSL证书确保网站安全技巧

    对于网站经营者来说,提升网站知名度,增加网站访问量意味着更多的商机。但不时出现的欺诈钓鱼网站总给人以防不胜防的感觉。如何更好的发挥SSL证书的作用,提升网站的可信度,降低欺诈钓鱼的风险?网站可以采用以下几种方法。

 

第一:在敏感交易界面,高端SSL证书

    对于网站来说,并不是说所有的页面均需部署VeriSign SSL证书。网站只需在一些需要提交关键数据的交易页面提供SSL证书安全保护。但关键页面的SSL证书,一定要选择经过身份验证、拥有良好品牌信誉的SSL证书,否则客户将无法对网站身份进行有效判断。

第二:网站提供识别欺诈钓鱼网站的方法

    鉴于国内客户网站安全知识匮乏的现状,网站在部署SSL证书后,最佳的方式是在交易页面同时以文字或图片的方式告知客户SSL证书功能及识别欺诈钓鱼网站的简单方法,从而提升网民继续完成交易的信心。

第三:放置VeriSign信任签章(VeriSign Trust Seal)

    为了让更多的客户了解网站采用了SSL证书安全技术,网站安全值得信赖。拥有VeriSign SSL证书的网站可以各页面或交易页面的显著位置放置VeriSign信任签章(VeriSign Trust Seal)。作为世界范围内最被认可的安全标记,其应对欺诈钓鱼方面的作用显著。VeriSign SSL服务器证书客户,不需要支付任何额外费用。

第四:升级绿色地址栏

    绿色地址栏技术是VeriSign扩展验证EV SSL证书特有功能,是目前反击钓鱼网站最为先进的武器,没有客户不会对地址栏颜色的变化无动于衷。对于拥有强烈安全需求、客户群庞大、品牌知名度极高的网站,绿色地址栏一定是最好的选择。

分类
网络新闻

光大银行网银事故频发 银监会亲自问诊评估

客户资金频遭盗刷,信息系统接连出现故障,业务系统出现停滞,正在冲刺H股发行的光大银行(601818,SH)遭遇来自客户和投资者的双重质疑:光大银行的信息系统能否保证客户的资金安全?频频发生事故的信息系统能否支持光大银行下一步的业务发展?

 

针对光大银行信息系统的重大漏洞,银监会前不久专门委托了权威的国家信息安全测评机构对该行网上银行和网站系统进行测试,发现光大银行存在银行内部信息泄露风险、钓鱼网站攻击风险、信息安全防护措施不严密等三方面重大漏洞,并责令其立即整改。

 

危险的光大网银

 

2011年1月28日,星期五,正是春节前刷卡的高峰日,然而,有些光大银行的持卡用户却发现手中的卡无法使用,不仅借记卡无法用,信用卡也无法刷卡,光大银行对此事却秘而不宣。

 

原来,这次是光大银行在北京陶然亭机房的一台光传输设备板卡出现故障,造成线路运行不稳定,导致光大银行部分银联和贷记卡业务一度中断。更令人不可思议的是,光大银行用了近一周的时间才更换了该设备板卡,在这期间,所有业务均在无备用线路的情况下运行,潜在风险极大。

 

其实,这已不是光大银行第一次发生这样的事故。也就在今年年初,光大银行客户遭钓鱼网站恶意盗取密码,客户资金发生损失。去年光大银行南京分行客户也是遭遇网上银行被盗,涉及金额高达20万元。而该行上海分行对外销售的面值1000元的银行储值卡,被犯罪嫌疑人通过网上银行盗转部分资金,此事已由上海银监局进行核查。

 

而去年光大银行发生的核心业务系统故障更是惊动了国务院,银监会专门就此事向国务院做了汇报。

 

2010年8月30日中午12时02分起,光大银行核心系统及总行前置系统交易出现拥堵,造成全国网点交易缓慢,柜面业务、网上银行、电话银行、电子支付等业务均受到影响。该事故引起业务交易拥堵,系统完全中断时间达12分34秒,对外正常服务受到影响时间约5小时左右。事后查证,该事故造成核心业务系统未成功记账及重复记账共计5万多笔。

 光大银行网银事故频发 银监会亲自问诊评估-1

银监会评估光大网银

 

光大银行信息科技系统接连出现故障,引起了银监会的高度关注。

 

前不久,银监会委托国家信息安全专业测评机构对光大银行网上银行和网站系统进行测试,发现了该网站存在内部信息泄露风险、钓鱼网站攻击风险以及信息安全防护措施不严密等问题。

 

银监会认定,光大银行网站存在内部敏感信息泄露风险,可能为外部攻击者利用以了解网站机制、内部网络结构,甚至获取管理权限,进一步攻击网站。例如:网站主页和网上银行等页面没对网页出错信息进行有效保护,出错信息包含内部地址及网站配置信息,信用卡中心页面网站和基金咨询页面网站源代码包含内部地址信息,外部攻击者可进一步了解当前网站所属网络的结构情况、收集有关应用程序的敏感信息。

 

银监会同时认定光大银行信息安全防护措施不严密。该行网站养老金管理中心页面登录请求信息在发送至服务器的过程中使用明文传输,易造成用户登录信息被截获。

 

银监会的检测还发现,光大网银有被钓鱼网站攻击的风险。光大银行养老金管理中心页面和基金咨询页面存在钓鱼漏洞风险,由于网站应用程序未对用户的输入参数进行有效检验,恶意攻击者可能诱骗用户访问含有恶意脚本代码的链接地址,窃取用户敏感信息。

 

银监会根据这个评估结果,要求光大银行进一步深入分析上述各类风险,认真研究其深层次的技术根源和管理漏洞,针对有关问题制定切实可行的解决方案和整改计划,并尽快实施,及时堵塞漏洞,化解上述各类风险。

 

(每经 金荣)

分类
选购指南

第三方支付平台选购指南

第三方支付平台选购指南

第三方支付的安全隐患

    随着网络购物等的兴起,人们在浏览形形色色的网站过程中,误入钓鱼网站的陷阱、感染木马的概率大大增加。有如“惊弓之鸟”的顾客已不敢轻易相信自己陌生的网站,尤其是涉及在线支付的网页,想获得顾客信任变得愈发困难。

    第三方支付平台作为网购重要支付方式之一,有效地降低了顾客和商家的交易风险,深受交易双方的青睐。但在不法分子的恶意伪造下,通过建立信任进行诚信担保的第三方支付平台形象大打折扣,无数以假乱真的钓鱼网站迷惑用户的同时也动摇了第三方支付生存的根本——诚信。

    在事情变得更糟之前,务必要提升第三方支付平台的安全防护,建设网站可信形象。

 

第三方支付安全防线

    VeriSign SSL证书可以满足第三方支付平台在安全防护和建设可信形象方面的双重需求。一张包含网站身份信息的VeriSign SSL证书–128位强制型,可以为网站解决如下问题:

· 网站真实身份验证

· 客户交易隐私数据保护

· 客户用户帐号安全

 

第三方支付信任建设意见

1. 在首页、登陆页面等关键页面部署VeriSign证书

    信息传输加密技术,能够保护用户支付账号和个人信息。自动激活浏览器显示“锁”型安全标志并且地址栏以“https”开头的页面意味着在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道(secure sockets layer),此时用户在线输入的支付账号、交易密码、个人资料等机密信息在网络传输过程中将不会被查看、窃取和修改。

 

2. 支付账号登录界面使用VeriSign信任签章与每日恶意软件扫描功能:

    放置“VeriSign信任签章”可以更进一步帮助网站提升安全等级,客户点击签章可查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,凭借大量信息辨别当前网站真伪。另外,VeriSign信任签章在 160 个国家或地区中超过 90,000 个网站上,一天显示次数多达 2亿5千万次,VeriSign作为数字认证领域全球最知名的品牌,其产品具有极高的权威性,有效提升网站可信形象。

网站恶意软件扫描会每日检查网站,防止网站被植入恶意软件,主动降低用户电脑感染风险,有效保护用户网银账号安全。

 

3. 普及安全知识,让用户了解VeriSign安全标识的意义:

    VeriSign信任签章、地址栏“https”开头、金色锁形标志,是VeriSign SSL证书的三大醒目安全标识。虽然无需用户参与繁复操作,但国内部分用户安全防护意识薄弱,很可能对VeriSign SSL证书的功能并不了解。因而需要网站方面进行宣传,帮助用户正确识别安全标识,体验简单有效的安全服务。

 

业内使用实例

    支付宝是中国最大的第三方支付平台,其注册用户已达5.5亿。在为用户服务过程中,其网站采用VeriSign SSL证书建立了可靠的诚信形象。

第三方支付平台选购指南-1

分类
选购指南

基金网站选购指南

基金网站选购指南

基金网站安全隐患

    许多人认为,由于股票、基金交易方式的特殊性,账户盗窃者不能直接获利,因此基金类网站受到的安全威胁相对较小,需要的安全防护并不像网上银行那么严格。但用户的股票、基金存在被攻击者擅自抛出或转让的可能,未经用户决策的投资行为,同样会给用户带来损失。何况在基金网站上进行开通网上交易或其他操作时,会涉及到证件号码、交易密码等敏感信息的在线提交,此类信息一旦泄露将会给用户带来麻烦。

    受频发的盗号等事件影响,用户对涉及在线登录、交易的网站十分敏感。加之金融走势对人们精力的牵扯,让用户难以对账户安全投入更多关注。如何为用户提供简单有效的安全保障,是每一个希望成为可信基金网站必须考虑的问题。

 

可靠安全防线

    基金类网站应至少采用VeriSign SSL证书–128位强制型确保用户信息的安全传输。使用VeriSign证书的网站将具备以下优势:

· 网站身份可信

· 交易隐私数据保护

· 客户帐号安全

 

基金网站信用提升建议

1. 在登陆页面等涉及用户个人信息提交的页面部署VeriSign SSL证书,保护用户隐私:

    SSL技术能自动激活浏览器显示“锁”型安全标志,地址栏“https”开头的页面意味着在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道(secure sockets layer),此时用户在线输入的交易密码、个人信息等机密信息在网络传输过程中将不会被查看、窃取和修改。

 

2. 在首页及登陆页面使用VeriSign信任签章和恶意软件扫描功能,提升网站可信形象

a) 真实身份验证,世界权威保证

    用户点击网页上的VeriSign信任签章可查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况。这些信息都已经过VeriSign验证,作为全球最知名的数字认证品牌,VeriSign信任签章在 160 个国家或地区中超过 90,000 个网站上,一天显示次数多达 2亿5千万次。通过放置VeriSign信任签章有效提升基金网站的可信形象。

 

b) 每日恶意软件扫描,给用户干净的交易环境

    恶意软件扫描功能每天都会检测网页上的恶意攻击行为,防止网站被植入木马而导致用户电脑遭到感染。通过该功能为用户提供安全的交易环境,提升用户体验。

 

业内使用实例

    华夏基金网站部署了VeriSign SSL证书,以其网上交易开通页面为例,以“锁”型安全标志,地址栏“https”开头,VeriSign信任签章三种安全标识大幅提升了网站安全防护和可信形象。

 基金网站选购指南-1

   除华夏基金外,嘉实基金、易方达基金、泰达宏利等众多基金公司均选用VeriSign产品。