网上银行的安全使用方法

本文约需 9 分钟阅读

转账、余额查询、定期存款管理等，无需前往银行柜台即可在家完成各种交易的网上银行，已成为现代生活中不可或缺的服务。然而，正因为它直接关联金融资产，也成为网络犯罪分子最具吸引力的攻击目标。据日本警察厅公布，2024 年上半年与网上银行相关的非法转账损失约达 24.4 亿日元，继 2023 年全年约 87.3 亿日元 (同比约 5.7 倍) 之后持续处于高位。日本金融厅在 2024 年继续发出警告，指出网络钓鱼诈骗的日益精巧是损失扩大的主要原因。本文将梳理网上银行潜在的风险，并讲解安全使用的综合对策。

到底该怎么做才安全 - 分级对策

网上银行的安全对策按以下 3 个层级来思考会更容易梳理。

• 初级 (最低限度): 使用 passtsuku.com 生成 20 个字符以上的密码，启用银行应用的两步验证，仅通过书签访问
• 中级 (推荐): 将认证应用 (Google Authenticator 等) 设为第二因素，将转账限额设为最低必要额度，启用交易通知
• 高级 (理想): 准备银行专用设备，使用 FIDO2 安全密钥进行认证，利用转账目的地预注册功能

网上银行面临的风险

非法转账损失的急剧增加，是攻击手法日益精巧与用户疏忽大意叠加的结果。据日本金融厅报告，仅 2023 年上半年非法转账发生件数就达 2,322 件，刷新历史最高纪录。2024 年同样的趋势仍在持续，攻击手法的精巧化没有停止的迹象。了解攻击者使用的主要手法并采取相应对策至关重要。除了网络钓鱼和恶意软件外，利用从其他服务泄露的认证信息进行的凭证填充攻击，以及劫持已登录会话的会话劫持也是严重威胁。

网络钓鱼诈骗

这种手法将受害者引导至与银行官方网站极为相似的虚假网站，诱骗其输入登录 ID、密码和一次性密码。攻击者会发送伪装成紧急通知的邮件或短信，如"为加强安全需要重新认证"或"您的账户将被冻结"。网络钓鱼的手法逐年变得更加精巧。由于正规银行绝不会通过邮件要求输入密码，请勿点击链接，务必通过书签或官方应用访问。近年来，使用与正规域名极为相似的 URL 的"同形异义字攻击"也在增加，仅凭目视难以辨别。据日本反钓鱼协议会统计，2024 年的钓鱼举报件数约达 171 万件，较前年的约 119 万件进一步增加，其中约 40% 冒充金融机构。

恶意软件感染

当电脑或智能手机感染恶意软件后，可能会记录键盘输入 (键盘记录器)、截取屏幕、篡改通信内容等。即使访问的是正规银行网站，转账目的账户也会被替换为攻击者账户的"MITB (浏览器中间人) 攻击"尤其难以检测。由于 MITB 攻击利用浏览器扩展程序和插件的漏洞，删除不必要的扩展程序并始终保持浏览器为最新版本是有效的对策。同时了解键盘记录器的威胁与防御方法，可以加深对输入信息保护的理解。

SIM 卡交换诈骗

攻击者冒充手机运营商，将受害者的电话号码转移到另一张 SIM 卡上。他们拦截通过短信发送的一次性密码，用于非法转账。近年来日本国内也有被害报告，需要不仅仅依赖短信认证的多层对策。常见的误解是认为"有短信认证就安全了"，但考虑到 SIM 卡交换诈骗的存在，需要认识到短信认证是多因素认证中最脆弱的方式。

推荐使用专用设备的理由

如果条件允许，建议准备一台网上银行专用设备。日常用于网页浏览和安装应用的设备感染恶意软件的风险较高。设置专用设备可以获得以下好处。

• 由于没有不必要的应用和浏览器扩展，恶意软件感染风险较低
• 只需管理银行应用和操作系统的更新，安全维护更加简便
• 误访问钓鱼网站的风险降低
• 家人或他人没有操作机会，可以防止意外操作

如果难以准备专用设备，至少在使用银行服务时请做到以下几点：始终保持操作系统和浏览器为最新版本，不使用不可信的网站和应用，不在公共 Wi-Fi 下进行银行操作。

关于银行专用设备的选择，金融交易专用平板电脑 (Amazon)也可作为参考。

网上银行的安全设置

充分利用银行提供的安全功能。

• 启用一次性密码 (OTP) (推荐硬件令牌或认证应用)
• 将转账限额设为最低必要额度，以控制万一发生的损失
• 设置通过邮件或应用接收登录通知和交易通知
• 如果有限制非使用时段登录的功能，请启用
• 利用转账目的地预注册功能，限制向未注册账户的转账

特别是一次性密码，使用认证应用 (Google Authenticator、Microsoft Authenticator 等) 或硬件令牌比短信更能抵御 SIM 卡交换诈骗。认证应用在设备内生成基于时间的验证码，不存在通信路径被拦截的风险。

要加深对防范非法转账的了解，网络钓鱼防范实践指南 (Amazon)可作为参考。

使用 passtsuku.com 生成 20 个字符以上的金融密码

金融服务的密码比任何其他服务都需要更高的强度。使用 passtsuku.com，您可以轻松生成基于密码学安全随机数的强密码。金融服务的推荐设置如下。

• 字符数: 20 个以上 (建议接近银行允许的最大字符数)
• 开启全部 4 种字符类型：大写字母、小写字母、数字和符号
• 以 passtsuku.com 的强度计达到 100 位以上的熵为目标
• 为每家银行生成不同的密码，绝对不要重复使用

部分银行可能限制可使用的符号种类。在这种情况下，关闭符号并将字符数增加到 24 个以上，即可确保足够的熵。如果 passtsuku.com 的强度计显示"强"以上，则该密码的强度足以用于金融服务。

passtsuku.com 生成的密码完全在浏览器内处理，不会通过网络传输到外部。将生成的密码保存在密码管理器中，无需手动输入，还可以降低肩窥 (从背后偷看) 的风险。

网上银行安全自查

请使用以下检查清单确认您当前的银行环境是否足够安全。

• 银行密码是否为 16 个字符以上的随机字符串？
• 是否没有与其他服务共用密码？
• 是否已启用一次性密码 (认证应用或硬件令牌)？
• 是否已将转账限额设为最低必要额度？
• 是否已启用登录通知和交易通知？
• 用于银行操作的设备的操作系统和浏览器是否为最新版本？
• 是否避免在公共 Wi-Fi 下进行银行操作？

尽早发现非法使用

无论采取多少对策，都无法将风险降为零。养成尽早发现非法使用、将损失降到最低的习惯。

• 每周至少检查一次交易明细，确认是否有不明交易
• 务必确认银行发来的通知邮件和推送通知
• 如果发现可疑交易，请立即联系银行的客服中心
• 定期使用 passtsuku.com 重新生成密码并更新认证信息

根据日本全国银行协会的协议，个人在网上银行遭受非法转账损失时，如果用户没有过失，银行原则上会进行补偿。但是，如果用户存在重大过失，如密码重复使用或主动在钓鱼网站输入凭据，补偿可能会减少或不予赔偿。请认识到日常防范措施也是获得补偿的前提条件。

网上银行的安全通过强密码、多因素认证、设备保护和日常监控的组合来实现。以 passtsuku.com 生成的高强度密码为基础，构建多层安全对策。同时请确认双因素认证的重要性和网络钓鱼的识别与防范，全面提升防御能力。

现在就能做的事

1. 使用 passtsuku.com 生成 20 个字符以上的密码，更改主要银行的网上银行密码
2. 将一次性密码的认证方式从短信切换为认证应用 (Google Authenticator 等)
3. 将转账限额降低到日常所需的最高金额，以减少非法转账时的损失
4. 设置通过邮件和应用两种方式接收登录通知和交易通知
5. 将银行官方网站添加到书签，养成不通过邮件或短信中的链接访问的习惯

常见问题

网上银行仅用短信认证够吗？

是的。SIM 卡交换诈骗可以拦截短信验证码。建议切换到认证应用 (Google Authenticator 等) 或硬件令牌。

网上银行密码应该设多少位？

建议 20 个字符以上。使用银行允许的最大长度，包含大写、小写、数字和符号 4 种字符。在 passtsuku.com 上以 100 位以上的熵为目标。

遭受非法转账时银行会赔偿吗？

根据日本全国银行协会的协议，如果用户没有过失，原则上会获得补偿。但密码重复使用或在钓鱼网站输入凭据等重大过失可能导致补偿减少或不予赔偿。