網路銀行
网上银行(線上銀行、電子銀行,或简称网银)是从互联网时代开始出现的银行服务的新渠道,由商业银行等金融机构通过互联网等向其客户提供各种金融服务。根据服务面向的客户不同,网上银行一般分为个人网上银行和企业网上银行。
.JPG.webp)
网上银行的用户只要有一台可以上网的电脑,就可以使用浏览器或专有客户端软件来使用银行提供的各种金融服务,如账户查询、转账、网上支付等。与传统渠道(如柜台)相比,网上银行最大的特点是方便快捷,不必排隊。帳戶資料查詢可以透過一些軟體匯入,如Quicken或Microsoft Money,还可为電子帳單付費、轉帳、股票買賣、貸款申請、帳戶整合功能。
網路銀行有成長的趨勢。因為網路銀行不但可以讓銀行省下不少人力成本,因此有些銀行對於使用網路銀行的客戶提供更高的存款年息率,或是減免手續費。
系统构成
网上银行系统可分为客户端、通信网络和服务器三个层面。 客户端:包括终端和辅助安全设备。其中终端主要为电脑和手机,辅助安全设备包括USB Key、Security Token等。 通信网络:网上银行通过互联网来提供服务,为了保证安全,目前使用HTTPS来保证数据传输过程中不可被窃听。 服务器:网上银行服务器需要高效和安全的处理各种网上银行业务。
 |
| 电子商务 系列條目 |
|---|
| 線上商品和服務 |
| 零售服務 |
|
| 市集服務 |
| 行動商務 |
|
| 顧客服務 |
|
用户身份认证
国内的网上银行主要使用电子证书(根据存储方式不同分为存储在浏览器中的文件证书和存储在USB Key中的USB证书)、手机动态密码、密码卡、安全令牌(Security Token)等方式来进行用户身份认证,其中USB证书的安全级别最高。
網路詐騙
有些人非常的排斥網路銀行,因為他們覺得很容易受騙。銀行提供的安全機制並非百分之百的安全,但是實際上因為使用網路銀行受騙的例子卻非常的少。事實上,騙子在傳統銀行實際上比網路銀行的還要多。離線的信用卡盜用、偽造簽名和身份盜用的罪犯遠超過惡毒的駭客。銀行的交易是可以查詢的,而且銀行詐騙案的懲處非常的高。網路銀行可能因為使用者的不小心、受騙、和對電腦的不了解而更不安全。網路釣魚的犯罪有增加的趨勢,使用者可能因為某些原因而不小心把密碼洩漏給詐騙者。
攻击手段
钓鱼式攻击是最常见的攻击手段,即通过仿造一个和网上银行一样的网站,欺骗用户去输入账号及密码。用户需仔细检查网上银行的网址,从银行的门户网址登陆网上银行,即可防范此类攻击。网上银行应允许用户预留信息来区分钓鱼网站。
跨站脚本攻击一般和钓鱼式攻击混合使用,通过一个看似安全的网址欺骗用户去点击和输入账号及密码。网上银行需要在服务器防范此类攻击。
键盘监听是在客户电脑上植入木马后,窃取用户在浏览器中输入的账号及密码。用户需要保证所用电脑环境的安全;网上银行通过提供密码输入控件和软键盘可以防范此类攻击。
数据篡改是在客户电脑上植入木马后,修改用户转账时向网上银行提交的内容。例如用户提交的是“向张三转账10元”,木马将其修改为“向李四(黑客)转账10元”,但是仍然在页面上显示“向张三转账10元”,用户提交后才会发现转错了。用户需要保证所用电脑环境的安全;网上银行需要在服务器防范此类攻击。
中国大陆各银行网银兼容性争议
与世界上主流的网上银行服务不同,中国大陆大部分网上银行仅能在Windows操作系统和Internet Explorer浏览器中运行,而不适用于其它操作系统和浏览器。
一些使用浏览器为操作环境的的网页版网上银行,只能在Internet Explorer上运行的主要原因是,网上银行的身份认证依赖电子证书,使用电子证书时,需要浏览器和客户端的操作系统进行交互来读取电子证书,而国内各网上银行大量使用了ActiveX开发的客户端控件进行电子证书的操作,但是ActiveX控件只能在以IE为内核的浏览器上运行(更甚者只能在IE6下運作)。
随着身分认证手段的多元化,国内部分网上银行开始支持基于ActiveX以外的认证手段,使用手机动态密码、安全令牌等认证手段的的用户,可以在Internet Explorer以外的浏览器上使用网上银行,但是支付额度会比使用电子证书要低,操作變得更為繁瑣。