在传统的银行账户安全观念中,密码强度一直占据着至关重要的地位,以至于很多人下意识地认为“密码越复杂就越安全”。对此,360安全中心的石晓虹博士指出:“从近来央视等媒体曝光的一系列网银失窃案例来看,人们长期以来所依赖的密码强度在木马程序面前已成为一道虚设的‘马其诺防线’,密码复杂与否对于当前主流的网络犯罪而言并无差别。据360安全中心对网友的抽样调查显示,近六成网友对于账户安全的认识存在巨大误区。”
据石晓虹介绍,从前不法分子主要是利用“字典攻击”和“穷举攻击”破解密码,也就是编个软件自动试探密码,而目标账户的生日和电话等身份信息也极容易成为密码被猜透的根源。银行安全体系为此分别在技术上和管理上进行针锋相对的防护,比如设置网银和银行卡密码输入错误次数的限制。很多人更是在耳濡目染中形成了根深蒂固的观念,认为设置复杂的密码就足以保护账户安全,而事实上,目前犯罪分子的手段已经从“破解密码”转变成了“偷窃密码”,在各类“肉鸡”控制工具和网银盗号木马的面前,密码复杂与否并没有本质差别。
在石晓虹看来,不法分子用木马盗窃网银和用摄像头偷窥银行卡密码的本质其实是一样的:在银行卡被盗用案例中,很为常见的是ATM机上被不法分子偷贴针孔摄像头,一旦有人使用银行卡取钱,密码就会被偷录下来。而在木马盗取网银的案例中,那些潜伏在用户电脑中的木马程序同样具备了“摄像头”的功能,相当于不法分子给自己装上了“千里眼”:用户的键盘操作、电脑桌面、浏览器的交互数据都被严密监控,密码设置得再复杂也无济于事。
在360安全中心截获的“专业”网银盗号木马中,“网银大盗”、“网银窃贼”以及“网银隐身劫匪”等木马及其变种数以千计,它们针对网银用户进行特殊的设计:有的能自动判断网银操作正在进行,并记录键盘操作;有的是在用户访问网银页面时劫持浏览器数据;有的甚至直接将网友访问的网银页面劫持到伪造的“钓鱼”页面。一旦不法分子“记录”下了密码,便可通过大众版网银以小额支付或转账的方式窃取钱财。
“相对而言,使用U盾数字证书的专业版网银安全系数还是很高的,但用户也必须在完成网银操作后及时将U盾拔下来,否则对于‘灰鸽子’等‘肉鸡’控制工具来说,可以直接远程操作在受害用户电脑上进行转账交易。”石晓虹提醒专业版网银用户也不可放松警惕:“此外,不法分子在盗取网银时诈骗手段的使用特别活跃。在各类理财论坛中,很多用户反馈自己被一些特价信息蒙蔽,在‘钓鱼’页面上按引导支付1元之后网银密码便失窃了,造成的损失通常在上千元人民币。”
随着网民对互联网的应用从单纯的娱乐转向理财、购物等各个方面,网络安全意识和防护措施成为事关消费民生的关键所在。石晓虹表示:“我们的意思并不是说网银密码越简单越好,而是说那种‘密码复杂=安全’的观念是错误的,在盗号木马面前,再复杂的密码也不足以保护账户安全。用户一方面要提高安全意识,不轻信非正规渠道的诱惑信息,另一方面也应该积极防御和查杀木马。”
“由于木马的变种多、更新快,360安全中心也一直在倡导‘全民联防’的模式,360安全卫士拥有两亿用户,其中只要有一台电脑发现和提交了新型木马变种,其他用户都能得到及时的防护。我们同时建议网友在360保险箱保护下使用网银服务,即便电脑系统中存在未知木马,它的盗号行为也能够被针对性地拦截,让不法分子的‘千里眼’患上‘白内障’。”石晓虹这样说。