手机银行安全性分析

  • 格式:docx
  • 大小:18.19 KB
  • 文档页数:2

手机银行安全性分析

一、手机银行安全手段和存在的不足

针对我行手机银行建设计划,拟采用以下安全手段,并对相应的安全手段进行分析:

手机银行安全手段设计

手段 方案描述 方案优点 方案缺点

绑定手机号码 1、客户只能通过指定手机号码的手机终端访问手机银行;

2、如果客户通过非指定手机号码访问手机银行,权限将受限于查询业务;

3、指定手机号码可通过柜台、网银USBKey认证实现 防止犯罪份子通过其它手机号码尝试访问客户手机银行 如果客户手机被盗或手机号码被克隆,该手段将失效

绑定终端设备信息 1、当客户首次登陆手机银行时,将绑定该终端信息并发短信给客户确认;

2、客户通过其它终端设备登陆手机银行权限将受限 防止犯罪份子通过其它非客户终端设备访问手机银行 如何客户终端设备被盗,该手段将失效

密码键盘 通过密码键盘,对客户登陆密码、交易密码进行加密处理 增加密码被木马截取的难度 并不能百分百保证密码不被木马截取,但犯罪难度增大

客户预留信息 1、当客户首次登陆手机银行时,提示客户设置预留信息;

2、当客户再次登陆时,展示预留信息并要求客户确认 防止钓鱼网站 如果客户粗心,不看预留信息的话,该手段有可能被犯罪份子偷袭

短信密码 对于重要交易,发送短信密码到客户手机并要求输入确认 通过随机密码增加交易安全保证 短信密码有可能被截获

转账验证码 转账确认时,要求输入转入账号图形验证码确认 防止交易被挟持 交易被挟持时,客户没有看直接输入,当导致交易被骗

二、手机银行安全性阐述

手机银行安全设计主要通过各种不同的安全手段叠加,抬高犯罪难度和成本。我行手机银行安全手段计划采用以下几种方式进行叠加:绑定手机号码、绑定终端设备信息、密码键盘、客户预留信息、短信密码、转账验证码。通过叠加之后,犯罪份子要从技术层面攻破手机银行的难度和成本将非常高。

三、可能出现的犯罪场景和应对措施

场景一:犯罪份子窃取了客户手机终端设备、并窃取了客户登陆密码和交易密码。这种情况下,网银也同样会被犯罪。

场景二:犯罪份子通过木马监控客户手机,当客户登陆手机银行转账时,通过木马程序修改转账金额和收款人账号。这种方式的技术难度非常高,且需在客户在转账确认输入“转账验证码”时粗心没看收款人账号时才能犯罪成功。

从目前CFCA收集到的2011年网银、手机银行犯罪案例来看,并没有通过场景二进行犯罪的。通过网银、手机银行进行犯罪的,更多是通过客户对电脑、手机银行、网银不熟悉情况下,进行欺诈犯罪的。因此,确保网银、手机银行安全,除了从系统层面考虑安全手段的完善性,还要针对不同安全工具方式设计对应的限额和功能、增加犯罪风险收益比;同时,做好开户环节审查和客户教育。并建议网银、手机银行仅推荐对互联网和电脑有一定认识的客户开设,防止由于客户对网络缺乏了解被欺骗的可能。