销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基2013安全支付白皮书

金融交易已经成为今天互联网环境中不可或缺的一部分,就好像我们每天下载媒体文件或通过社交网络进行通讯一样。根据Harris Interactive调研机构于2012年2月至3月进行的一项调查显示,全球47%的用户会通过互联网购物,另外还有44%的用户经常使用在线银行服务。2012年, IDC预测全球在线购物总量将达到10亿次,其总消费额将超过120万亿美元。这一数额如此巨大,难怪针对电子支付系统的各类诈骗行为层出不穷。这样也造成用户对数据安全越来越担忧。接受Harris Interactive调查的用户中,有40%担心自己的金融信息被盗,21%的用户将金融信息和数据被盗视作最大的威胁。

网络罪犯的猎物是什么?

网络诈骗者的主要目的是窃取所有所需的数据,从而控制用户的电子支付账号。一旦成功,网络罪犯就获取到该账号的所有权限,可以随意使用受害用户的钱财进行金融交易。网络罪犯对于信用卡账号尤其感兴趣。为了获取这些账号,网络罪犯会让用户访问和登录一个假冒的网站。通常情况下,用户如果想要访问自己的电子支付系统账号,需要输入用户名、密码和支付密码。如果这些信息是通过不安全的协议或开放的Wi-Fi网络进行传输,网络罪犯就可以截获这些数据。

钓鱼网站与木马——网络诈骗的常用手段

有时候,网络罪犯所采取的手段非常直接。例如,他们会假冒银行或电子支付系统,向用户发送邮件,以各种借口让用户提供个人数据或访问一个所谓的“官方”网站,这可能是钓鱼网站。根据Harris Interactive的调查,全球23%的用户接收过此类电子邮件。如果您收到一封可疑的邮件,一定要仔细查看发件人地址以及邮件中包含的链接。同时,请牢记银行和其它金融机构从来不会发送此类邮件。如果有任何疑问,最好花几分钟致电银行进行确认,而不能轻率地点击其中的链接。

网络诈骗者经常会使用木马程序,利用浏览器的漏洞执行恶意脚本,感染受害用户计算机。木马一旦安装,会收集用户的账户信息,替换用户访问的金融网站或修改支付内容。有的木马还能够截取用户屏幕或记录用户的键盘击键。这些手段虽然相对简单,但是在窃取用户登录信息和密码方面却非常有效。

所有这些恶意行为都是秘密进行,大多数情况下,用户甚至不会察觉到自己的个人数据已经被窃,直到发现自己的账户钱财被窃。

该图显示了被添加到卡巴斯基实验室数据库的反钓鱼链接数量的增长。他们中的70%是仿冒支付系统的链接。这表明,在2012年第一季度,与上一季度相比,被卡巴斯基安全部队检测到的钓鱼网站数量增长了100%。

银行对用户数据安全的保护

银行和其它金融机构同样需要保护客户信息安全,所以,他们一般都有自己的防入侵保护手段。例如,双重认证系统就给客户两个密码,第一个密码用于登录和查看银行账户,查看账户明细。而第二个密码则是进行支付或其它交易。此外,有的银行使用一次性动态密码系统,将动态密码发送到客户手机。为了额外增强安全性,银行还可以给用户一次性密码列表或动态口令牌,让用户根据需要生成密码。有些金融组织还会专门开发用于执行在线银行操作的客户程序。

此外,负责任的银行和在线销售商通常会使用加密的SSL连接,这样能降低数据被窃的风险。

但是,不管是安全连接还是双重认证手段,都不是避免数据被盗的万能药。有时候,不能完全依赖银行或在线商店提供的安全措施。所以,将安全掌控在自己手中,通过安装专用的软件来降低数据泄漏的风险非常明智。

传统的反病毒软件

传统的反病毒技术能够提供基本的安全保护,可以大大的降低计算机被感染的风险:例如反钓鱼、网页反病毒和文件反病毒等等。然而,如今的恶意软件及其变种程序变得越来越复杂,传统的防护方法已不能满足用户对计算机安全的所有需求。所以,计算机保护应该全面,应该能够保证金融数据在存储和传输各个阶段的安全。除了反病毒保护外,全面的解决方案还应该包括漏洞检测工具、验证链接真实性的工具、拦截恶意网页脚本和弹出窗口的工具、保护数据不被拦截的工具以及能够对抗键盘记录器的安全键盘等。卡巴斯基实验室将这些工具全部整合于安全支付技术,使其成为卡巴斯基安全部队2013的一部分。

关于安全支付技术

卡巴斯基实验室最新的安全支付技术用于保护支付交易过程中涉及的金融信息和其它重要信息。该技术包括三种主要的保护组件。首先,卡巴斯基产品包含一个关于支付和在线银行系统的可信任地址数据库。用户访问这些支付系统网站时,卡巴斯基安全部队2013会将用户访问的地址同数据库比较,并切换到安全浏览模式。这样,安全支付技术就能够保证用户打开的是真实的银行或电子支付系统网站,而不是假冒的网页或钓鱼网站。

同时对于服务器的认证同样重要。网络诈骗者经常会创建假冒的在线购物网站,而真实的购物网站应该有合法的数字证书。这种数字文档确保在线商店数据经过验证,证书拥有人真实存在,而且用户同服务器之间的连接是加密的,无法被拦截。这种数字证书验证服务,即是安全支付技术的第二个关键组件,能够帮助用户验证网站的真实性。

安全浏览模式一旦开启,就会自动检查用户计算机上是否包含漏洞。这是安全支付技术的第三个关键组件。这一过程很快,因为漏洞扫描仅检查系统是否包含影响金融操作安全的漏洞(例如,能够用来提升权限的漏洞)。一旦发现有“安全漏洞”,会提示用户自动修复漏洞。当然,用户可以暂时不进行更新,继续执行支付操作,但是这样会降低系统的安全性。

还值得关注的是卡巴斯基安全部队2013的安全键盘输入功能,这一技术能够利用特殊的驱动和鼠标操纵的安全键盘,保护用户键入的数据安全,避免用户在浏览器或其它程序中键入用户名和密码时,被恶意软件所截获。

安全支付技术支持所有需要身份验证的网站,同时也兼容各类通过HTTPS协议访问的支付系统。此外,用户还可以在受信任资源列表中手动添加银行、支付系统或在线商店。一旦用户访问这些网站,安全保护机制就会自动开启。之后,用户访问同一网站时,安全支付保护措施也会自动激活。当然,用户也可以取消启动安全支付功能,而在普通的浏览器中进行操作。此外,用户还可以对指定网站创建桌面快捷方式来启用安全支付功能,从而在受保护状态下,快速访问指定网站。

总体来说,卡巴斯基安全部队2013整合了安全支付技术以及其它安全保护手段,使得用户可以在安全的环境下进行网上银行操作或在线购物。

热点新闻:

更多>>