尽管动态口令提高了网上银行系统的安全性，但从网上银行的交易过程来看，动态口令仅对用户身份进行认证，而没有对交易过程进行验证，还不足以保证网上银行的安全。

■ 国家信息安全工程技术研究中心 袁峰

自从十年前招商银行首次推出网上银行（以下简称网银）服务以来，网银已经迅速普及成为各银行必备的服务之一。然而，网银在给我们带来极大便利的同时，也带来很高的交易风险。随着网银普及率越来越高，与网银有关的安全问题开始引起人们关注，甚至有部分银行用户因为担心网银系统的安全而拒绝使用网银。为了进一步推广网上银行的使用，银行一直致力于寻找更安全的技术来保障用户的账户安全。近几年，动态口令 (One Time Password，OTP)技术被越来越多的银行用来提高网银系统的安全性。但是，动态口令能保护我们的账户安全吗？到底应该如何保证网银的安全？

打开的潘多拉魔盒

网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情，既方便了普通用户也大大提高了金融机构的运作效率，削减了其运作成本。但是，凡事有利就有弊，网银同样逃脱不了网络普遍面临的安全威胁。从网银业务开通伊始，网银大盗就如影随形，如苍蝇般紧紧盯上了这颗有缝的“鸡蛋”，麻烦有如打开了潘多拉魔盒一样纷至沓来。

1. “钓鱼”网站。所谓“钓鱼”，即通过邮件或其他方式，诱骗用户登录到酷似银行官方网站的虚假网站，并诱使用户输入认证信息，从而间接获取用户的登录认证信息。瑞典Nordea银行就曾经成为这种方法的攻击目标之一，短短15个月就损失上百万美元。

2. 键盘记录。键盘记录，即通过木马监视用户正在操作的窗口，如果发现用户正在访问某网银系统的登录页面，就开始记录所有从键盘输入的内容。例如，“网银大盗Ⅱ”木马就是典型例子，它把几乎所有的国内网银系统都列为盗窃的目标。

3. 嵌入浏览器。这种技术主要通过嵌入浏览器进程中的恶意代码来获取用户当前访问的页面地址和页面内容，并且在用户数据（包括账号密码）以SSL安全加密方式发送出去之前获取它们。例如，“网银大盗”木马监测到用户正在访问某个引用了安全登录控件的地址时，就会让浏览器自动跳转到另外一个网页。用户输入认证信息并通过验证后，木马就等在那里，盗取用户资金。

4. 窃取文件数字证书。数字证书是网银交易的一项重要安全保护措施。有些银行使用文件证书，允许用户保存至硬盘，这是一个安全隐患。“网银大盗”及其变种“灰鸽子”，就窃取用户计算机内的所有文件，包括安装在计算机上的网银文件数字证书，并且能够准确识别网银流程的每个步骤，自动记录必要的数据，最终再复制一份证书文件，从而利用盗取的证书和其他必要信息达到非法使用证书的最终目的。

以上只是列举了网银大盗攻击的常用手段。实际上，随着网银业务的不断普及、深入和扩展，越来越多的新业务形式（如手机银行）涌现，网银大盗们总是步步紧追，各种新的、复杂的攻击技术就如同被打开的潘多拉魔盒，层出不穷，让人防不胜防。