xFelix
xFelix

电话银行的安全性有待加强

电话银行的安全性有待加强
当人们更多的关注网上银行的安全性问题,热衷于谈及如何预防网银失窃、网络诈骗等事件的时候,我们却忽视了电话银行存在的各种更严重的安全性问题。
使用网银的人都知道,开通网上银行需要下载电子证书或者个人USB棒等移动个人证书,访问网银站点时也是使用SSL加密的页面进行访问,有些银行甚至做了瘦客户端来加强客户访问的安全性。这些通讯加密、双向认证的措施,都保证了在线银行业务操作时的数据保密性和完整性。在这种模式下,要进行man-in-middle的攻击是很难的。常见的网银被盗都是由木马后门或者更有效的钓鱼网站以及社会工程学来实现的。而直接的对客户访问网银进行窃听、抓包、记录等手段是几乎没有成功的可能。
然而,电话银行却存在着被搭线窃听的严重安全隐患。虽然现在的公共电话网都采用了音频方式,但搭线窃听还原拨号数字却仍然是非常简单的一件事情,而且很难被察觉。先说电话网的布线方式,在小区以及楼宇的走道内都可以接触到电话配线架,只需要打开铁箱子门,使用简单的设备就可以听到别人的语音通话,同时也可以盗用别人的电话号码进行拨打,要得到某条电话线路上的拨号数据需要的也仅仅是时间。普通电话无论语音还是拨号数据从来都不加密,要窃听就是这样简单。再说说电话局端,那里记录了用户的所有电话拨打使用数据,包括所有的电话按键信息,我们也不能排除这些数据被电话局内别有用心的人得到或者泄漏。还要说说企业的PBX程控交换,为了防止员工肆意拨打长途或声讯电话,企业一般都会有程控电话记录和管理设备,内部电话的拨号数据在程控设备的监视软件上是一幕了然,而谁又能保证可以看到这些数据的人不会起邪念呢?
为什么说这些拨号数据如此重要呢?这就得了解一下电话银行的运作模式。先拨入银行电话,然后按照提示输入卡号,然后是密码或者查询密码,授权通过后就可以进行电话银行可提供的业务操作。而这些操作中最要命的往往就是那些直接的资金操作,比如转帐、缴费等。有些考虑稍微周到些的银行在进行这些关键操作时会让用户再次输入交易密码,这个往往就是银行卡在ATM上的取款密码。这些用户键入的数字,一旦被记录,就很容易通过#号,一般银行卡号长度等信息分析出具体卡号和密码,有了这些偷盗者的任务也完成大半了。
为了避免这些显而易见的安全隐患,有些银行把电话银行和网上银行的密码以及ATM取款密码相互独立开来,同时降低电话银行可操作的业务种类和级别,在电话银行中仅使用查询密码等手段减小风险。这些都是积极的尝试和进步,但是有些银行却很不注重这些,有些国内银行做的很差。这些银行在不告知用户的情况下,就默认开通了电话银行业务,而且默认密码就是取款密码。更有甚者要求开通网上银行必须开通电话银行,初时密码是一样的,要修改则是以后的事情。但是对于用户而言,不是每个人都那么注重个人隐私的保护和这些敏感信息的安全性,他们不会懂得为什么要查询密码和交易密码两个密码?用一个不是更好记忆吗?这就需要银行方面更多的提供解释和为用户多考虑,而不是贪图自己的系统设计方便却把用户的安全性丢在一边。
可喜的是,我们看到种种努力和改进都在进行。一些银行的信用卡电话银行已取消了简单的密码输入作为身份审核的一贯方式,二是采用了人工提问的方式来确定电话者的身份。这样一对一的电话银行业务受理方式也是用户喜欢的方式,而不是对着答录机按数字。但是这样的模式,需要更多的电话服务人员,业务的效率不高。最近一种新的电话银行身份鉴别方式在美国进行着试用,就是采用语音识别手段来判断用户身份。这需要对电话线路进行改造和专用的电话设备,用户只需对着答录机的提示说出卡号或者一段句子就可以进入电话银行。这可以说是一个不错的想法和创意,但是也有许多人持怀疑态度。首先是因为语音识别系统的错误率太高,再者很难保证打电话进来的人是不是也用录音来进行欺骗。
不管用什么方法,我们都希望自己存在银行内的钱的安全,自己使用网银或者电话银行业务的安全。虽然目前我们的电话银行系统因为种种原因存在这样那样的安全隐患,但是随着中国电子银行安全管理办法的出台,更多的银行高层开始关注电子银行的安全,因此,电话银行、网上银行的安全性是可以有所期待的。
Written by Felix. Licensed under CC BY-NC-SA 3.0 Unported.

Leave a Reply

textsms
account_circle
email

xFelix

电话银行的安全性有待加强
当人们更多的关注网上银行的安全性问题,热衷于谈及如何预防网银失窃、网络诈骗等事件的时候,我们却忽视了电话银行存在的各种更严重的安全性问题。 使用网银的人都知道,开通网上银行需…
Scan QR code to continue reading
2006-07-22