首页 >> 计算机科学 >> 文章

h84waw

流言: 【近日有黑客自曝:在星巴克、麦当劳这些提供免费WiFi的公共场合,用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认,这个真可以做到。网银、支付宝密码……你懂的 】

真相: 这是从昨天开始微博上疯传的一个帖子。其实,无论你使用电脑、iPad、还是手机,只要通过WiFi上网,数据都有可能被控制这部WiFi设备的黑客电脑截获到,其实也未必一定是Win7系统,信息是有可能被窃取的,当然包括未经加密处理的用户名和密码信息。但是,无论什么系统的电脑,架设了多么高级的WiFi热点,黑客都无法在用户正确操作下获取网银和支付宝密码,更不要说盗窃其中的钱了。

手机银行如何保障安全

用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立了连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,但其它手机上也无法操作。经与工行客服核实,他们称现在为了方便用户,允许非指定手机操作手机银行账户了,但允许操作的资金额度很低。

最重要的是,手机银行还有认证手段。加密的原理很简单,其目的是让非授权用户即使获取了数据也无法利用,而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施,用来保证数据是真实可靠的,接收者是被授权的。从采用的具体技术和算法而言,加密与认证并没有明显的区别,但从功能角度而言,两者非常不同,相互不能取代,并可通过有效配合而达到很高的安全性。

你输入了正确的帐号和密码,当进行涉及到账户资金变动的操作时,手机银行会提示你输入特定的电子口令,而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡,它发来信息C5H8,你就要在相应的输入框里输入138141,而且银行每次发来的信息都不会相同。

uufzw8

【工行的电子口令卡】

不同的银行可能会采用不同的认证方法,比如建行就是通过绑定手机发送手机验证码,但都起到了类似的作用。

个人网上银行如何保障安全

个人网上银行会采用https的加密协议来保障交易安全,结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址,当跳转到账户信息输入页面时,网址栏就由http变为https了,而且在最后面还多了一只小挂锁,这寓示着通过这个页面输入并传送的数据,会被128位的加密算法进行加密,只有银行方面才能正确解密,即使这些加密数据被黑客全部拿到,也毫无用途。

kcsso9

6v9uvh

【网银和支付宝的https页面和小挂锁标示,点击黄色小挂锁,就会弹出“网站标识”框,可查看证书情况。】

而且,用电脑通过https方式访问个人网上银行时,还有认证手段的保护,操作帐户资金限额的大小与认证手段的强度相匹配,电子口令卡的认证强度低,能操作的资金少,而U盾的认证强度大,能操作的资金就多。使用https协议与个人网上银行进行连接,这是银行为了保证安全而采取的强制措施,通过非加密协议传送的信息是不会被银行所接纳的。

用过个人网上银行的网友都会知道,使用前必须安装银行提供的安全控件,否则帐户信息栏是灰色的,根本无法输入任何信息。而手机的系统无论是苹果、安卓、还是塞班,统统都不支持这个控件,根本就安装不了,帐号自然无法输入,被盗取更是毫无可能。

有些高水平玩家会在手机上装虚拟机,这倒是可能安装上银行的安全控件并成功操作个人网上银行,这时手机就已可看作是个简版电脑了,自然也要跟使用普通电脑一样,通过https这种安全协议与个人网上银行进行数据交换。

警惕钓鱼网站

不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面,骗取你输入的帐户名和密码,而这未必一定需要通过WiFi热点这种方式来实现,任何上网的方式都有可能上当。不过,公共的WiFi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共WiFi网络为用户提供了一个便利的钓鱼环境。

避免被钓要注意使用安全。一方面,需要对别人发来的网络地址多留心,因为这个地址可能非常接近如淘宝、网上银行的域名地址,打开的页面也几乎和真实的页面完全一致,但是实际你进入的是一个伪装的钓鱼网站;另一方面,尽量选择具有安全认证功能的浏览器,这些浏览器能够自动提示你打开的页面是否安全,避免进入钓鱼网站。对于智能手机用户,在下载和交易有关的客户端软件时尽量选择官方渠道下载,不要安装来路不明的客户端。

结论

银行账户是否安全与手机是否是通过免费的WiFi上网,并没有必然的联系。使用基于WAP客户端的手机银行是安全的,用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在银行也还不支持这项业务。用电脑上个人网上银行时,请核实下https和地址栏后面的小挂锁标志。

P.s. 互联网没有绝对的安全,这话确实不假……

文章主要针对大家最担心的网上银行的安全性来讨论,关于公共WiFi安全性的更多讨论,请看果壳问答 在公众场所蹭网会被黑客暗算吗? 里的回答和讨论。

特别鸣谢: snowmark-zhang 晓风残月 HelloPlanet HX 对本文的帮助。

本文首发于果壳网(guokr.com谣言粉碎机主题站《用公共WiFi上网会危害银行账户安全吗?
0
为您推荐

50 Responses to “用公共WiFi上网会危害银行账户安全吗?”

  1. hehe说道:

    中国的ISP都是国企,在路由端截取数据包易如反掌,在DNS端直接解析到钓鱼网站也易如反掌
    银行里几个大头都是国有,直接拿到安全证书进行反向也易如反掌
    总之,比起公共WIFI,我们应该更担心中国大陆,VPN和SSH拯救你们

  2. 星云说道:

    确实,目前看来拿到用户的网银账号和密码暂时不会对用户造成什么损失,不过任凭谁都不会把自己的账号和密码告诉给他人的,这是很重要的个人隐私的。

  3. WorkTimer说道:

    UI浏览器 某一版本在使用 https 上网,也可以被监听到用户名和密码的明码,在是极其低级的bug

  4. z说道:

    防止密码被窃造成损失的简易办法就是让密码无效。比如我可以公开我银行卡密码,但你拿这个密码还有我的卡,取不到很多钱。因为大部分钱都花掉了,或者在折子里存着。我可以告诉你邮箱密码,但我的邮箱里没有私密信息,我尽可能简洁地生活。我的所有私密消息即使公开了,对别人也没有什么吸引力。你可能会担心别人登录你的邮箱乱发东西。那没关系,因为你的手机信息早就大范围公开了,任何质疑都可以快速解决掉。

  5. 赖巍说道:

    明显可能,懒得喷了

  6. macx4899说道:

    如果用我的账号去换GFW的倒下.我会欣然接受.一直说是人民当家做主.可目前的趋势却是一直"仆人"帮"主人"做主.我该看什么,我该想什么,我该做什么,我该吃什么,我的房子该住多少年."仆人"不帮"主人"处理好家务事.还要"主人"亲力亲为."仆人"却在一边谈笑风生."仆人"们自已勾心斗角却要"主人"们来买单.这到底谁是主谁是仆?

  7. 苟雄说道:

    上面这些评论都在扯什么蛋放什么P,连技术文章也躲不过网络流氓的侵袭了?这些你们看不懂的东西不是你们希望的那回事,回去别的网站乱骂一通去行不行

    • macx4899说道:

      可笑,这是技术文章.这是事实阐述而已.文中的无线网分工具.04年都满大街了.别说之前爆出那WEP破解.WPA加密早有0day漏洞.只是不发出来.看着安全的东西只不过是看那些骇客有无有良心,GFW那么给力.连人民搜个关键字都能监管.为什么不能把钓鱼这类网站也拉黑.有人用多级跳板的时候也追下?反而要个人提心吊胆上网.找些文章都要用VPN.SSH.TOR.世界真那么恐怖吗?到底是谁看不懂.明明有能力做这些,却要个人提醒个人.

      • none说道:

        1 gfw存在于网络出口端,钓鱼网站大部分是国内网站,管不了
        2 国内网站主要是人为监管,你可以去举报哪些钓鱼网站
        3 安全本来就不是绝对的,诚然gov可以知晓你上了什么网,用qq和人说了什么,但是你要不做什么“出众”的事,gov怎么可能从几亿网民中找到你?

  8. x3说道:

    还好吧,买的黑色基本不褪色,钻也没掉,穿着也合适,就是看样子穿不了几次就会起球。

  9. spam说道:

    楼上的,这个文章真算不上技术啊

  10. 碳纤维加固说道:

    真的很难说啊。

  11. Tony说道:

    截获数据包很正常啊,有相关知识的人都能截。但是截了解不了码有啥用嘛,那么些个牛逼的加密技术又不是开发出来炫耀的,现在还有谁会用明文传输啊。不过对于山东大学的王小云教授来说那些可能都是浮云了……作者可以介绍下她。

    • dikcen说道:

      解不了强大的加密不是问题。明文传输密码的论坛多了去了(MD5作为校验的也算),到手后各种试邮箱,简单粗暴有效;到手之后爱干嘛干嘛。

  12. dikcen说道:

    作者是高校教师,通讯安全比较在行。文章没有错的,但也不能说对;个人觉得忽略了一些细节,而且这些细节恰恰是攻击的关键。 文章结尾链接的《在公众场所蹭网会被黑客暗算吗?》的讨论中,列举了不少此类的细节。例如公共wifi,可以被伪造,可以被监听,并且这些都利于社会工程学方式的攻击。在这种情况下,原文“黑客都无法在用户正确操作下获取网银和支付宝密码”,其中的“正确操作”,是需要很多前提知识和判断的,不是那么容易就做到“正确操作”的。

    by dikcen

  13. grubxy说道:

    即使是有专业知识的人,也无法完全做到“正确操作”,网络安全远不止于能不能行,而在于敢不敢想。

  14. WorkTimer说道:

    你用UC访问 https协议,就能看到密码。UC破坏了https的安全性这是最不能容忍的。
    见 月光博客的 http://www.williamlong.info/archives/3006.html

  15. Bruce说道:

    作者忽略了SSL是可以被劫持的。

  16. 华夏电影网说道:

    这个真的不安全

  17. 嗖嗖嗖说道:

    伪科普真可怕

  18. 用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立了连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,但其它手机上也无法操作汕头网站建设www.webwto.com为您提供安全网站。

  19. www.xxshiye.com说道:

    喜欢这样的文章,哈哈哈……功底深厚呀,赞一个。www.xxshiye.com

  20. NuclearWinter说道:

    本文可拿来作为一篇很好的argument攻击对象

  21. 123说道:

    SSL的加密还是很靠谱的.别人就算是抓了包也解密的代价也不是一般人付的起的.不是身家上亿的就不用担心了.到是要小心被公共wifi里局域网中的电脑直接攻击.

  22. lee说道:

    网银盾是用来吃饭的吗?银行给你发一个challenge,网银盾驱动要求输入密码,密码在硬件里头对比,如正确的话,硬件给这个challenge签证并且产生一个response给银行,银行收到这个response用你的预留公钥验证,里头根本就没有任何的密码传输,怎么盗?

    • pngssa说道:

      问题就在于架设wifi的人可以做一个假网站,你以为你是用工行卡往支付宝里充值了100,实际上你是往骗子指定的账户转了5000

      原来魔兽世界就有过,做假的登录界面,骗取你输入将军令动态密码

  23. lee说道:

    要是真的那么容易盗取的话,经济的基石很容易就溃塌了……倒是一些不用ssl的网站值得忧虑。

  24. ttt说道:

    其实只要小心背后别站人

  25. zzzEVAzzz说道:

    问题是出在UC浏览器使用了不安全的https实现!

  26. ghost说道:

    直接危害没有,银行不是白痴。但很可能造成间接危害或被通过其他途径攻击。

    密码学是建立在信道不安全的基础上的。专业的网站应该可以做到无视信道攻击;但csdn之类未必。

    通过窃取隐私信息诈骗或谋划其他犯罪,显然是可行的。

    具体点说,“传统”的上网方式,可认为信息是通过可信网络(自己家的电话线-电信线路)传输的,想截获信息并不容易,也很难不被发现,更不可能长期监听(除非网络提供商/网站服务提供商自己干),故很多实现都不太重视安全性;而通过这个仿造接入点上网,信息必然落入有恶意的人手里;而你输入的任何信息,都可能成就某种攻击。

  27. Sonichicken说道:

    唉,看到那些个人抬扛就生气,什么是抬扛知道不?就是说人有十个指头时跳出来说有人六指啊也有怪胎啊也有黑社会切掉的啊也有人只有一只胳膊一只手所以只有5个指头的啊猴子也有十个指头难道也是人吗..... 为什么有人这么爱抬扛知道不?因为他的真无知和真浅薄。作者明显谈的是一些一般性具有普遍意义的东西,这些东西对于99.9%的人是有用的且是在99.9%的情况下是有效的,何必非要跳出来谈那用这篇短文远远不能说清的0.1%的东西?我知道,爱抬扛的又要说了:你怎么知道99.9%和0.1%这个比例,这不瞎掰嘛... 我只好声明一下:这是个比方,比方知道吧,b-i:bi,f-ang:fang。

  28. 2b青年说道:

    反正。。比提款机安全多了,至少知识分子不会拿砖拍倒我,把我的钱取走。

  29. 呢我 L说道:

    而手机的系统无论是苹果、安卓、还是塞班,统统都不支持这个控件,根本就安装不了,帐号自然无法输入

    我用苹果试过 虽然不能安装控件 但是能登录网银 只是不能支付

  30. 墨麟说道:

    网络安全是很久前具体出来的吧?一直到现在还是热议话题,不过那些复杂的算法搞出来的密码和认证,没有那么容易破解吧,就像计算机的算法加密一样,足够混乱的情况破译密码的话难度是很大的吧?

  31. greensea说道:

    但是我可以构造一幅画,让这幅画的一角和你撕下来的一角完全相同,而电脑那边只会检查两个角是否相同,于是我就可以在不知道原画的情况下成功骗过电脑了

Leave a Reply