网上银行

通过互联网提供银行服务

网上银行在线银行电子银行,或简称网银)是从互联网时代开始出现的银行服务的新渠道,由商业银行等金融机构通过互联网等向其客户提供各种金融服务。根据服务面向的客户不同,网上银行一般分为个人网上银行和企业网上银行。

用于登录网上银行的安全令牌
读卡器
用于网上银行交易的卡式令牌

网上银行的用户只要有一台可以上网的电脑,就可以使用浏览器或专有客户端软件来使用银行提供的各种金融服务,如账户查询转账网上支付等。与传统渠道(如柜台)相比,网上银行最大的特点是方便快捷,不必排队。账户资料查询可以透过一些软件导入,如QuickenMicrosoft Money,还可为电子账单付费、转账股票买卖、贷款申请、账户集成功能。

网上银行有成长的趋势。因为网上银行不但可以让银行省下不少人力成本,因此有些银行对于使用网上银行的客户提供更高的存款年息率,或是减免手续费。

在新冠肺炎疫情后,许多国家宣布纯网银的规划(如台湾三张纯网银执照),让金融业也面临更加严峻的虚实集成挑战[1]

系统构成

网上银行系统可分为客户端、通信网络和伺服器三个层面。

  • 客户端:包括终端和辅助安全装置。其中终端主要为电脑和手机,辅助安全装置包括USB Key、Security Token等。
  • 通信网络:网上银行通过互联网来提供服务,为了保证安全,目前使用HTTPS来保证数据传输过程中不可被窃听。
  • 伺服器:网上银行伺服器需要高效和安全的处理各种网上银行业务。

用户身份认证

中国要求网上银行使用安全控件,以及电子证书(根据存储方式不同分为存储在浏览器中的文件证书和存储在USB Key中的USB证书)、手机动态密码密码卡安全令牌等方式来进行用户身份认证。

网络诈骗

有些人非常的排斥网上银行,因为他们觉得很容易受骗。银行提供的安全机制并非百分之百的安全,但是实际上因为使用网上银行受骗的例子却非常的少。事实上,骗子在传统银行实际上比网上银行的还要多。离线信用卡盗用伪造签名身份盗用的罪犯远超过恶毒的骇客。银行的交易是可以查询的,而且银行诈骗案的惩处非常的高。网上银行可能因为用户的不小心、受骗、和对电脑的不了解而更不安全。网络钓鱼的犯罪有增加的趋势,用户可能因为某些原因而不小心把密码泄漏给诈骗者。

攻击手段

钓鱼式攻击是最常见的攻击手段,即通过仿造一个和网上银行一样的网站,欺骗用户去输入账号及密码。用户需仔细检查网上银行的网址,从银行的门户网址登陆网上银行,即可防范此类攻击。网上银行应允许用户预留资讯来区分钓鱼网站。

跨站脚本攻击一般和钓鱼式攻击混合使用,通过一个看似安全的网址欺骗用户去点击和输入账号及密码。网上银行需要在伺服器防范此类攻击。

键盘监听是在客户电脑上植入木马后,窃取用户在浏览器中输入的账号及密码。用户需要保证所用电脑环境的安全;网上银行通过提供密码输入控件和软键盘可以防范此类攻击。

数据篡改是在客户电脑上植入木马后,修改用户转账时向网上银行提交的内容。例如用户提交的是“向张三转账10元”,木马将其修改为“向李四(骇客)转账10元”,但是仍然在页面上显示“向张三转账10元”,用户提交后才会发现转错了。用户需要保证所用电脑环境的安全;网上银行需要在伺服器防范此类攻击。

参见

参考资料

  1. ^ 小金斧. 後疫情時代金融業面臨的數位轉型挑戰. 小金斧. [2022-03-27]. (原始内容存档于2022-04-14).