網上銀行

通过互联网提供银行服务

網上銀行線上銀行電子銀行,或簡稱網銀)是從互聯網時代開始出現的銀行服務的新渠道,由商業銀行等金融機構通過互聯網等向其客戶提供各種金融服務。根據服務面向的客戶不同,網上銀行一般分為個人區域網路上銀行和企業網上銀行。

用於登入網上銀行的安全權杖
讀卡器
用於網上銀行交易的卡式權杖

網上銀行的用戶只要有一台可以上網的電腦,就可以使用瀏覽器或專有客戶端軟件來使用銀行提供的各種金融服務,如帳戶查詢轉賬網上支付等。與傳統渠道(如櫃枱)相比,網上銀行最大的特點是方便快捷,不必排隊。帳戶資料查詢可以透過一些軟件匯入,如QuickenMicrosoft Money,還可為電子帳單付費、轉帳股票買賣、貸款申請、帳戶整合功能。

網上銀行有成長的趨勢。因為網上銀行不但可以讓銀行省下不少人力成本,因此有些銀行對於使用網上銀行的客戶提供更高的存款年息率,或是減免手續費。

在新冠肺炎疫情後,許多國家宣佈純網銀的規劃(如台灣三張純網銀執照),讓金融業也面臨更加嚴峻的虛實整合挑戰[1]

系統構成

網上銀行系統可分為客戶端、通訊網絡和伺服器三個層面。

  • 客戶端:包括終端和輔助安全裝置。其中終端主要為電腦和手機,輔助安全裝置包括USB Key、Security Token等。
  • 通訊網絡:網上銀行通過互聯網來提供服務,為了保證安全,目前使用HTTPS來保證數據傳輸過程中不可被竊聽。
  • 伺服器:網上銀行伺服器需要高效和安全的處理各種網上銀行業務。

用戶身份認證

中國要求網上銀行使用安全控制項,以及電子證書(根據儲存方式不同分為儲存在瀏覽器中的檔案證書和儲存在USB Key中的USB證書)、手機動態密碼密碼卡安全權杖等方式來進行用戶身份認證。

網絡詐騙

有些人非常的排斥網上銀行,因為他們覺得很容易受騙。銀行提供的安全機制並非百分之百的安全,但是實際上因為使用網上銀行受騙的例子卻非常的少。事實上,騙子在傳統銀行實際上比網上銀行的還要多。離線信用卡盜用偽造簽名身份盜用的罪犯遠超過惡毒的黑客。銀行的交易是可以查詢的,而且銀行詐騙案的懲處非常的高。網上銀行可能因為用戶的不小心、受騙、和對電腦的不了解而更不安全。網絡釣魚的犯罪有增加的趨勢,用戶可能因為某些原因而不小心把密碼洩漏給詐騙者。

攻擊手段

釣魚式攻擊是最常見的攻擊手段,即通過仿造一個和網上銀行一樣的網站,欺騙用戶去輸入帳號及密碼。用戶需仔細檢查網上銀行的網址,從銀行的門戶網址登陸網上銀行,即可防範此類攻擊。網上銀行應允許用戶預留資訊來區分釣魚網站。

跨站指令碼攻擊一般和釣魚式攻擊混合使用,通過一個看似安全的網址欺騙用戶去點擊和輸入帳號及密碼。網上銀行需要在伺服器防範此類攻擊。

鍵盤監聽是在客戶電腦上植入木馬後,竊取用戶在瀏覽器中輸入的帳號及密碼。用戶需要保證所用電腦環境的安全;網上銀行通過提供密碼輸入控制項和軟鍵盤可以防範此類攻擊。

數據篡改是在客戶電腦上植入木馬後,修改用戶轉賬時向網上銀行提交的內容。例如用戶提交的是「向張三轉賬10元」,木馬將其修改為「向李四(黑客)轉賬10元」,但是仍然在頁面上顯示「向張三轉賬10元」,用戶提交後才會發現轉錯了。用戶需要保證所用電腦環境的安全;網上銀行需要在伺服器防範此類攻擊。

參見

參考資料

  1. ^ 小金斧. 後疫情時代金融業面臨的數位轉型挑戰. 小金斧. [2022-03-27]. (原始內容存檔於2022-04-14).