日前再度爆發數千名網路銀行用戶資料遭竊取、存款被盜領數千萬的事件,資安廠商認為,網路銀行提供的帳號密碼機制是最簡單、最便利,但相對也是最不安全的認證方式,風險幾乎集中在用戶端。廠商建議,用戶端應加裝更嚴密的防護機制,業者也應尋求更進階的身分認證方案,讓網路銀行交易更安全。

駭客利用彈出式廣告技術,網頁呈現誘人的訊息,吸引用戶點選,此時木馬程式可能已經不知不覺地藏在用戶電腦的某個角落,其檔名也不易被察覺,賽門鐵克資訊安全事業部技術顧問林育民稱這類的程式網頁木馬。駐留在系統中的木馬程式監視用戶使用行為和資料,在最近的盜領事件中,駭客將竊取到的資料傳到大陸的伺服器,再登入網路銀行進行轉帳動作。

廣告式網頁是駭客偽裝的手段之一,也屬於社交工程一環。資安廠商說,很多用戶會好奇地去點這些網頁,防毒軟體無法掃描到透過網頁下載的木馬程式,但防火牆能阻斷非法進出,而入侵偵測(IDS)能被動地掃描系統或軟體的漏洞,並且監視後門或木馬程式等入侵和攻擊行為。

屢次的網路銀行盜領事件,顯示帳號和密碼認證機制不堪一擊。鈺松國際表示,如果可以整合自然人憑證,或後端加上存取控制和身分認證伺服器,但憑證的讀卡機使用和普及,仍是很大的問題。「最好的安全機制還是來自管理,也就是除了產品之外,良好的流程或作業管理才是根本的解決之道。」

目前擁有個人端防火牆或入侵偵測機制的軟體僅賽門鐵克的Norton Internet Security 2004(NIS 2004),鈺松國際擁有桌面端的入侵偵測軟體。這幾年數起大型的病蟲攻擊,多是來自第三層網路層的侵入,防毒軟體只能做到第七層應用層的過濾和防禦。

PKI憑證或IC卡是否能解決帳號密碼被盜取的風險?林育民認為,網路銀行後端系統若要更安全,勢必要花一番工程;如果遺失儲存憑證的磁片或IC卡被偷,用戶端也要付出相當的代價和成本。「什麼解決方案有好也有壞。」

日前財政部已經下令網路銀行取消非約定交易服務,無法進行跨行間的轉帳,但用戶登入的帳號密碼太容易破解或被盜取,才是金融機構應該擔心的主要問題,甚至有人說網路銀行服務應該取消。已經有銀行(如玉山銀行)推出動態式密碼解決方案,用戶必須配戴一把「鑰匙」,每次輸入的密碼依據鑰匙跑出來的數字,輸入機器或網路銀行,就不怕密碼被偷。不過,那支鑰匙的成本似乎也不低。

熱門新聞

Advertisement