项目2-1 网上支付的安全使用.ppt

项目二网上支付的安全使用 项目介绍 了解网上支付的安全风险与需求分析 任务二 任务三 任务四 网上支付的安全管理 了解网上支付的相关安全技术 网上支付的SSL与SET协议机制 网上支付的安全使用 任务一 应知目标了解网上支付面临的安全问题与安全需求了解并掌握网络支付的安全策略及解决方法了解并掌握网上支付的安全技术 防火墙技术 数字机密技术 数字摘要技术 数字签名技术 数字时间戳的工作机理了解数字证书的基本概念与CA中心的功能了解并掌握SSL和SET安全协议的基本原理与工作程序 应会目标能够识别网上支付安全风险掌握网上支付数字证书的申请 安装与使用能够掌握网上支付的安全使用方法 任务一了解网上支付的安全风险与需求分析 知识点 能力点了解网上支付面临的安全风险了解网上支付的安全需求 任务情境2005年2月份发现的一种骗取美邦银行 SmithBarney 用户的账号和密码的 网络钓鱼 电子邮件 该邮件利用了IE的图片映射地址欺骗漏洞 并精心设计脚本程序 用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏 使用户无法看到此网站的真实地址 当用户使用未打补丁的Outlook打开此邮件时 状态栏显示的链接是虚假的 当用户点击链接时 实际连接的是钓鱼网站 国内曾网上传得沸沸扬扬的 光大证券网银木马 newup exe 病毒着实让大家紧张了一把 甚至某些媒体做出 多款证券交易软件捆绑网银木马程序 这样的报道 面对诸多网上偷盗事件 网上支付中的安全威胁有哪些 我们该如何识别与预防网上支付时出现各种安全风险呢 本任务将对网上支付的安全风险的识别与防范方法进行一个全面的认识与学习 任务分析在网上支付与结算中 资金支付结算体系问题是电子商务中主要的安全隐患发生点 基于Internet平台的电子商务必然涉及客户 商家 银行及相关管理认证部门等多方机构 以及它们之间可能的资金划拨 使得客户和商家必须充分考虑支付体系是否安全 因此 保证安全是推广应用网上支付与结算方式的根本基础 本学习任务中 我们将了解网上支付面临的安全风险与网上支付的安全需求 任务实施一 了解网上支付面临的安全风险1 互联网环境的安全隐患2 黑客攻击3 信息安全风险 1 互联网环境的安全隐患短信诈骗 视屏 一条验证短信引发的倾家荡产 2 黑客对网上支付的主要攻击方式 1 钓鱼网站和服务器攻击 2 键盘记录 3 嵌入浏览器执行 4 屏幕 录像 5 窃取数字证书文件 6 伪装窗口 钓鱼网站和服务器攻击 钓鱼 黑客首先建立一个酷似支付方官方网站的假页面 用于诱骗用户输入账号和密码等 或者包含用于种植木马的恶意脚本 然后给假网页申请一个酷似官方网站的域名 等待用户由于拼写错误而链接进来等方式引诱用户访问假页面 网络钓鱼 Phishing 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动 受骗者往往会泄露自己的私人资料 如信用卡号 银行卡账户 身份证号等内容 诈骗者通常会将自己伪装成网络银行 在线零售商和信用卡公司等可信的品牌 骗取用户的私人信息 网络钓鱼流程图 案例一 网银大盗 南方的早春总是伴着绵绵细雨 难得今天是个晴朗天 某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动 张经理放置好钓具后 便打开了随身携带的笔记本电脑并连上网络 他想利用这点时间处理一下最近的一笔生意 秘书见他在这种时候还离不开工作 便劝他 经理 今天是游玩的日子 难得放松一下 今天还是不要处理公司业务了吧 您不怕钓竿被鱼叼走了 张经理对秘书笑了笑 看着身前的钓竿缓缓说道 都说姜太公钓鱼 愿者上钩 但是如果不知道提竿的时机 即将到手的鱼也会溜走的 等这笔生意谈妥 我再休息也不迟 说罢又继续低头敲键盘 生意终于谈妥 客户把货款转入张经理的银行账户 张经理笑了 这条大鱼终于被我钓到了 然后他登上网络银行账户查看转账情况 奇怪密码不正确 他记得昨天才修改过密码的 估计没有成功 换旧密码登陆吧 当页面上显示出账户剩余金额时 张经理心里一紧 接着有了晕眩的感觉 账户里原来的存款不翼而飞 页面里惟有客户刚刚转入的货款 仿佛在嘲笑着张经理 张经理做梦也没想到 这一次 他成了别人钓上的鱼 而且是大鱼报 警察正在分析张经理那台笔记本电脑硬盘里的数据 张经理本人在报案时因心脏病发作而住进了医院 由于无法得知张经理最后一次登录网络银行的时间 而且系统里也没有感染任何偷盗账号的后门程序 案件变得有点扑朔迷离起来 一个分析员无意中打开了Foxmail 发现最后一封信件是银行发送的 主题为 XX网络银行关于加强账户安全的通告 分析员预测案件与这封信件有重大关系 马上打开阅读 这是一封HTML网页模板的信件 内容大意为银行为了加强账户安全而升级了系统 请各位客户尽快重新设置账户密码 末尾还给出了设置密码的URL链接 打开该链接 出现的是熟悉的网银页面 如下图 安全人员仔细查看IE地址栏 发现地址栏内容 幕后黑手果然在这里 分析员马上查看信件源代码 很快就找出了其中的猫腻 正如常说的 说的一套 做的一套 这个邮件的作者采用了 看的一套 进的一套 这种简单的欺骗手法 入侵者利用HTML语言里URL标记的特性 把它写成了这样 案例二 网络钓鱼 淘宝网 案例二 支付0 1元被套20581元网民小香想在淘宝网上购买一张价值50元的手机充值卡 拍下之后付款到卖家的支付宝 卖家叫小香登录某网站 用网银汇款0 1元到他的账户里 说是用来提取单号 通过单号来提取充值卡密码 小香心想 既然都付了40多元钱到支付宝上了 也不在乎那0 1元了 于是按提示支付 可多次出现超时问题 当初以为是电脑浏览器问题 于是和淘宝上那位卖充值卡的卖家说了 他说让他的 技术人员 加小香QQ 加了后 一番交谈 进入了 技术人员 所提供的支付网站 登录网站后 在付款的前一刻 支付金额清清楚楚写着 0 10元 按了付款后 一分钟内 手机收到银行的短信 内容说 银行支出20581元 提醒 其实小香联系的两个人提供的网站都是钓鱼网站 第一个应该是网站出现了问题没有成功 于是又让小香联系所谓的 技术人员 以此再次蒙蔽小香的防范意识 发送了新的钓鱼网站进行行骗 支付宝安全专家提醒说 网民不要随意打开聊天工具中发送过来的陌生网址 也可以加强支付宝账户的安全系数 绑定手机 申请数字证书 开通手机动态口令服务 这些服务都是完全免费的 如何防备网络钓鱼 不要在网上留下可以证明自己身份的任何资料 包括手机号码 身份证号 银行卡号码等 不要把自己的隐私资料通过网络传输 包括银行卡号码 身份证号 电子商务网站账户等资料不要通过QQ MSN Email等软件传播 这些途径往往可能被黑客利用来进行诈骗 不要相信网上流传的消息 除非得到权威途径的证明 如网络论坛 新闻组 QQ等往往有人发布谣言 伺机窃取用户的身份资料等 不要在网站注册时透露自己的真实资料 例如住址 住宅电话 手机号码 自己使用的银行账户 自己经常去的消费场所等 骗子们可能利用这些资料去欺骗你的朋友 如果涉及到金钱交易 商业合同 工作安排等重大事项 不要仅仅通过网络完成 有心计的骗子们可能通过这些途径了解用户的资料 伺机进行诈骗 不要轻易相信通过电子邮件 网络论坛等发布的中奖信息 促销信息等 除非得到另外途径的证明 正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息 而骗子们往往喜欢这样进行诈骗 键盘记录 通过木马监视用户正在操作的窗口 如果发现用户正在访问某网银的登入页面 就开始从键盘上记录所有从键盘上记录的输入内容 2004年的 网银大盗2 木马是一个典型的案例 同以前的 网银大盗 病毒不同的是 每一步登录信息都被记录 据反病毒专家介绍 该病毒采用易语言进行编写 伪装成rar图标 引诱用户进行点击 系统每次启动的时候 病毒都会被再次运行 同时 病毒运行时寻找指定银行和商户名称的窗口标题 如果发现这些窗口标题 病毒就开始启动对用户登录信息进行记录 包括用户名和密码 病毒还对用户的每一步的登录信息进行拍照 即便是软键盘输入也会被记录 从而盗取多家网上银行及支付宝等系统的交易账户和密码 嵌入浏览器执行 多数网银交易都是通过网页浏览器完成的 嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容 此外还能够在用户数据以SSL安全加密方式发送出去之前获取它们 利用这种技术的木马通常会动态改变用户正在浏览的页面内容 比如增加一段用以获得帐号密码然后发送出去的javascript脚本或者让浏览器自动打开另外一个恶意的网页 使用网页脚本制作的虚拟键盘在对付这类木马时会完全失效 网银大盗 木马 Trojan PSW HidWebMon 就利用了这种技术 它监测到用户正在访问某个引用了安全登录控件的地址时就会让浏览器自动跳转到另外一个网页 后者看上去和正常登录页面没什么两样 只是没有任何安全登录控件的保护 对于那些只对交易对话进行验证 而没有对交易过程进行验证的系统 嵌入浏览器的恶意代码甚至可以完全控制一次交易 这样的交易系统只对用户身份进行验证 而在用户身份确定之后无条件的执行任何来自用户的指令 木马可以等到用户验证通过后再开始工作 拦截用户的转账操作 篡改数据后发送给服务器 服务器没有办法区分给它发出转账指令的是用户还是木马 直接执行了转账 木马再把服务器返回的信息篡改后显示给用户 目前 这种技术只在国外的一些网银木马上看到 国内尚未发现这样的例子 屏幕 录像 有些网银木马的确会进行 录像 它们并不会生成体积庞大的视频文件 而只是在键盘记录的基础上 额外记录了用户点击鼠标时的鼠标坐标 以及当时的屏幕截图 黑客根据这些数据 可以完全回放出用户在进行交易时敲击了哪些键 点击了哪些按钮 看到了什么结果 证券大盗 Trojan PSW Soufan 就是这样的木马 它抓取的屏幕截图是黑白色的 数据量很小 但对于病毒作者来说 这些黑白图片加上键盘鼠标数据已经足够了 证券大盗 窃取数字证书文件 数字证书是网银交易的一项重要安全保护措施 它是互联网通讯中标志通讯各方身份信息的一系列数据 提供了一种在Internet上验证身份的方式 其作用类似于司机的驾驶执照或日常生活中的身份证 2004年9月 美国网络专家仔细观察了某个人银行系统保存证书的整个流程后 编写了木马 他的程序能够准确识别这个流程的每个步骤 自动记录必要的数据 最终再复制一份证书文件 木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的 虚拟网络中 我如何才能相信你 伪装窗口 2006年 国内出现了一系列新的网银木马 它们都是TrojanSpy Banker yy的变种 感染了很多用户 这类木马首先向IE浏览器注入一个DLL 用以监视当前网页的网址 同时记录键盘 当发现用户输入了卡号 密码并进行提交以后 迅速隐藏浏览器 弹出自己的窗口 木马弹出的窗口看上去和在线理财的页面非常相似 并且包含一些 钓鱼 文字 称由于系统维护需要 用户必须重新输入密码 只有当用户再次输入的密码和最初登录时的密码吻合时 木马才会把密码发送给木马作者 伪装成浏览器界面的木马实现简单 虽然技术上听起来比较幼稚 但效果却很好 极易窃取用户的资料 3 主要信息安全风险 指令终端的安全性指令传送渠道的安全性指令支付网关的安全性 二 网上支付的安全需求1 保证网络上资金流数据的保密性2 保证相关网络支付信息的完整性3 保证网络上资金结算双方身份的真实性4 保证网络上有关资金的支付结算行为发生的事实及发生内容的不可抵赖性5 保证网上支付系统运行的稳定可靠 快捷 任务完成结论通过本任务的学习 使大家了解网上支付面临的安全风险 并结合目前电子商务的开