金融网络安全知识手册
一、常见安全风险
(一)网络钓鱼
网络钓鱼是指不法分子通过大量发送声称来自于银行或其
他知名机构的欺骗性垃圾邮件或短信、即时通讯信息等,引诱收
信人给出敏感信息(如用户名、口令、帐号 ID 或信用卡详细信
息),然后利用这些信息假冒受害者进行欺诈性金融交易,从而
获得经济利益。受害者经常遭受显著的经济损失或全部个人信息
被窃取并用于犯罪的目的。
(二)木马病毒
特洛伊木马是一种基于远程控制的黑客工具,它通常会伪装
成程序包、压缩文件、图片、视频等形式,通过网页、邮件等渠
道引诱用户下载安装,如果用户打开了此类木马程序,用户的电
脑或手机等电子设备便会被编写木马程序的不法分子所控制,从
而造成信息文件被修改或窃取、电子账户资金被盗用等危害。
(三)社交陷阱
社交陷阱是指有些不法分子利用社会工程学手段获取持卡
人个人信息,并通过一些重要信息盗用持卡人账户资金的网络诈
骗方式。
(四)伪基站
“伪基站”一般由主机和笔记本电脑组成,不法分子通过“伪
2
基站”能搜取设备周围一定范围内的手机卡信息,并通过伪装成
运营商的基站,冒充任意的手机号码强行向用户手机发送诈骗、
广告推销等短信息。
(五)信息泄露
目前某些中小网站的安全防护能力较弱,容易遭到黑客攻
击,不少注册用户的用户名和密码便因此泄露。而如果用户的支
付账户设置了相同的用户名和密码,则极易发生盗用。
(六)经典案例
3
二、安全工具
安全工具相当于给你的账户或者资金上了一道道锁。如果能
合理使用网络安全支付工具,能够大大降低网络支付风险,使你
的支付更加安全,更有保障。目前,市场上主流的网络安全支付
4
工具主要有下面几类:
一是数字证书。电脑或手机上安装数字证书后,即使账户支
付密码被盗,也需要在已经安装了数字证书的机器上才能支付,
保障资金安全。
二是短信验证码。短信验证码是用户在支付时,银行或第三
方支付通过客户绑定的手机,下发短信给客户的一次性随机动态
密码。
三是动态口令。无需与电脑连接的安全支付工具,采用定时
变换的一次性随机密码与客户设置的密码相结合。
四是 USBKey。连接在电脑 USB 接口上使用的一种安全支付
工具,支付时需要插入电脑,才能进行支付。
用户可以根据自己的实际情况以及银行或支付机构的建议,
选择适合自己的网络安全支付工具。
三、安全攻略
(一)保管好账号、密码和 USBKey(或称 Ukey、网盾、U
盾等)
1.不要相信任何套取账号、USBKey 和密码的行为,也不要
轻易向他人透露您的证件号码、账号、密码等。
2.密码应尽量设置为数字、英文大小写字母的组合,不要用
生日、姓名等容易被猜测的内容做密码。
3.如果泄露了 USBKey 密码,应尽快办理补发或更换业务。
5
(二)认清网站网址
网上购物时请到正规、知名的网上商户进行网上支付,交易
时请确认地址栏里的网址是否正确。
(三)确保计算机系统安全
1.从银行官方网站下载安装网上银行、手机银行安全控件和
客户端软件。
2.设置 Windows 登录密码,WindowsXP 以上系统请打开系统
自带的防火墙,关闭远程登录功能。
3.定期下载并安装最新的操作系统和浏览器安全补丁。
4.安装防病毒软件和防火墙软件,并及时升级更新。
(四)提升安全意识
1.使用经国家权威机构认证的网银证书,建议同时开通
USBKey 和短信口令功能。
2.开通短信口令时,务必确认接收短信的手机号码为本人手
机号码。
3.不要轻信手机接收到的中奖、贷款等短信、电话和非银行
官方网站上的任何信息。
4.不要轻信假公安、假警官、假法官、假检察官等以“安全
账户”名义要求转账的电话欺诈。
5.避免在公共场所或他人计算机上登录和使用网上银行。退
出网上银行或暂时离开电脑时,一定要将 USBKey 拔出。
6.操作网银时建议不要浏览别的网站,有些网站的恶意代码
6
可能会获取您电脑上的信息。
7.建议对不同的电子支付方式分别设置合理的交易限额,每
次交易都请仔细核对交易内容,确认无误后再进行操作。在交易
未完成时不要中途离开交易终端,交易完成后应点击退出。
8.定期检查核对网上银行交易记录。可以通过定制银行短信
提醒服务和对账邮件,及时获得银行登录、余额变动、账户设置
变更等信息提醒。
(五)网上银行安全工具组合(安全等级根据★的数量由高
到低)建议客户选择安全等级高的工具组合!
安全工具组合 安全等级
USBKey+短信口令 ★★★★★
网银证书+短信口令 ★★★★
USBKey ★★★
网银证书 ★★
短信口令 ★★
普通登录 ★
四、发现被骗,怎么办?
网络安全重在防范,一旦发现被骗,要在第一时间联系银行、
支付机构,采取相应应急措施,同时向当地警方报警。
(一)已经在钓鱼网站输入了密码怎么办?
1.如果您还能登录您的账户:请立刻修改您的支付密码和
7
登录密码。同时,进入交易明细查询查看是否有可疑交易。如有,
须立刻致电银行或支付机构的客服电话。
2.如果您还输入了银行卡信息:请立刻致电银行申请临时
冻结账户或电话挂失(此时您的银行账户只能入账不能出账)。
3.如果您已经不能登录:请立刻致电银行或者支付机构的
客服电话,申请对您的账户进行暂时监管。
4.使用最新版的杀毒软件对电脑进行全面扫描,确保钓鱼
网站没有挂木马。如果发现有,请在确认电脑安全后再次修改登
录与支付密码。
(二)发现账户资金被盗怎么办?
1.要在第一时间修改账户密码,同时转出余额资金。
2.进入交易管理,查找可疑交易,保留对非授权的资金交
易。
3.如果被盗的是银行卡账户的话,请立刻致电银行申请临
时冻结账户或电话挂失(此时您的银行账户只能入账不能出账)。
五、金融 IC 卡知识问答
(一)什么是金融 IC 卡?
答:金融 IC 卡是由商业银行(信用社)或支付机构发行的,
采用集成电路技术,遵循国家金融行业标准,具有消费信用、转
账结算、现金存取全部或部分金融功能,可以具有其他商业服务
和社会管理功能的金融工具。
8
它具有数据存储容量大,安全性高等特点,可实现非接触式
(“闪付”)应用,是基于传统金融支付并可无缝延伸至其他行业
小额支付的智能化产品。多应用金融 IC 卡能够实现政府公共服
务管理功能和金融支付功能,可以支持跨行业、跨平台、多功能
的应用。
(二)如何使用金融 IC 卡?
答:金融 IC 卡分为接触式与非接触式(“闪付”)两种。接
触式金融 IC 卡,可通过插入受理终端的读卡槽实现在 POS 和 ATM
上使用。如果是非接触式金融 IC 卡(或称闪付卡),用户可在支
持银联“闪付”的非接触式支付终端上轻松一挥便可快速完成支
付。一般来说,单笔金额不超过 1000 元,无需签名和输入密码。
(三)相比于传统磁条卡,金融 IC 卡的优势具体体现在哪
里?
答:金融 IC 卡的优势主要体现在三个方面。一是安全性高。
金融 IC 卡的信息存储在智能芯片中,卡内信息难以复制,加上
多重的交易认证流程,可以有效保障持卡人银行账户资金安全。
二是快捷便利。金融 IC 卡除具备磁条卡所有功能外,还可以进
行小额快速支付,轻松一挥便可支付,方便快捷。三是一卡多用。
金融 IC 卡可用于社保、交通、医疗、教育等公共领域。
(四)为什么说金融 IC 卡比一般的银行卡安全?
答:传统银行卡磁条技术相对简单,磁条信息易被复制,通
过使用磁条信息盗录装置复制银行卡磁道信息就可以伪造磁条
9
银行卡,通过针孔摄像机在自助机终端上偷录持卡人密码就可以
盗用磁条银行卡,从而给持卡人和发卡机构造成较大损失。
而采用芯片技术能有效防范这类情况的发生。金融 IC 卡的
芯片实现了硬件升级,完善的密钥体系、脱机认证、联机双向认
证等更是保障了卡片的防伪性及交易的安全性。世界各地的实践
经验表明,在推广使用采用芯片技术的金融 IC 卡后,银行卡伪
卡案件大幅减少。
(五)金融 IC 卡产品主要分为哪些类型?
答:各商业银行已陆续推出众多各具特色的金融 IC 卡产品。
按功能分,可分为借记卡、贷记卡、准贷记卡、电子现金等产品;
按信息存贮介质分,可分为仅有芯片的金融 IC 卡和既有芯片又
有磁条的双介质卡(业界又称“复合卡”);按行业应用分,包括
市民卡、社保卡、公交卡、大学城一卡通等类型。
(六)未来金融 IC 卡会给人们的生活带来什么改变?
答:金融 IC 卡具有智能芯片,可集社保、交通、医疗、教
育、通讯、购物、娱乐、水电煤缴费等行业应用于一体,实现“一
卡多用”,让现在被各类卡片充满的钱包“瘦身”。同时,其非接
触式支付功能可广泛应用于超市、便利店、百货、药房、快餐连
锁等零售场所和菜市场、停车场、加油站、旅游景点等公共服务
领域,轻轻一挥便可支付,提高持卡人生活舒适度和幸福感。