银行发送的“安全邮件”真的安全?2021.05.27
笔者查阅了全球二十多家知名银行网站上关于安全邮件的介绍,各大银行官网都介绍了该银行是如何保证发给用户的电子邮件安全的,如何发送加密邮件给用户,或者告知用户应该注意什么。
笔者认为:这些专门页面告诉银行用户如何防范欺诈银行邮件,如何使用银行采用的各种加密邮件方案,这非常好,也非常有必要,因为银行邮件中含有大量用户金融机密信息,所以目前最多的欺诈邮件是金融欺诈邮件,各种欺诈邮件诱导用户点击其中的链接到假冒银行网站而要求用户输入银行卡和登录口令,从而达到盗取用户银行账户的目的。所以,银行不仅需要有专门的页面普及邮件安全知识,而且必须采用可靠的技术手段如加密邮件来防范邮件欺诈。
笔者认为:目前所有银行采取的各种银行邮件安全措施都有一些不足之处,特撰写本文,以期能帮助银行认识到其方案的不足,并积极改进相关技术方案,不断提升银行邮件安全,以真正切实保护银行用户银行卡和银行账户安全。
目前各大银行除了告知用户注意邮件安全外,也采取了一些技术措施才保证邮件安全,主要有以下3种解决方案:
- 采用S/MIME数字签名和加密技术
这是最安全的解决方案,邮件数字签名能证明邮件的确是来自银行,防止假冒银行邮件欺诈;而邮件加密则能保证银行邮件中的机密信息安全,防止银行账单信息被非法窃取和非法篡改。德国德意志银行和德国邮政银行就是采用这个解决方案。
这个方案的最大问题是实施难度非常大,需要用户使用支持S/MIME加密的邮件客户端软件,需要用户向可信CA购买和申请邮件证书,并费力配置使用邮件证书,只有这样,用户才能解密银行发过来的加密邮件,才能发加密邮件给银行。这个方案对用户的IT水平要求非常高,可能会影响普及应用。 - 采用数字信封和PGP加密技术
这是比第一个最安全的解决方案的妥协方案,降低一定的安全性,同时也降低了使用门槛。采用网页方式实现,只需用户注册一个账户和设置密码,登录一个专门的网页查看来自银行的加密邮件和回复银行加密邮件。 可以看出,这个方案明显比第一个方案要方便简单很多,用户无需向CA申请证书,也无需使用指定的邮件客户端,登录网页就可以实现加密邮件的解密阅读和发送加密邮件给银行。有些是是给一个用口令加密的PDF文件、有些是登录第三方的加密邮件系统阅读和发送加密邮件给银行。
但是,这些方案仍然是发送明文邮件给用户,通知用户登录安全邮件系统查看加密邮件。用户第一次必须先使用自己的邮箱作为用户名注册银行提供的安全邮件服务。明文通知邮件、注册过程和需要输入密码的过程都是不安全的,都有可能遭遇攻击而使得后面的操作都是不安全的。 - 不采取任何技术措施
直接给用户发送明文邮件,如信用卡对账单,每一笔消费记录一清二楚!这是最不安全的一种方式,可以说,这是银行的失职!笔者使用的某个银行就是这样的,笔者只好要求银行取消发账单邮件的功能,实在不能取消的,只好修改为一个不存在的邮箱了。
有些银行稍微改进了一点点,只写一个大致的消费统计信息,如本月消费总额,需要最低还款额和要求还款日期等,而详细信息需要用户点击链接登录网银系统查看。有些银行采取了另外一种方式是放弃不安全的明文邮件,改用网银App。这个当然比明文邮件安全些,但是网银App仍然存在不采用https加密、不验证SSL证书等其他安全问题。采用电子邮件实现银行同用户之间的通信是最好的方案,不能因为明文邮件有安全问题就因噎废食而弃用,而是应该解决邮件通信安全问题。
读者一定会问,说了这么多银行邮件的安全问题,到底应该怎么做才是最安全的银行邮件?很简单,还是第一个最安全的方案,因为S/MIME加密和数字签名是最好的邮件安全技术,我们只需解决易用性难题即可。密信技术经过多年的努力,研发了全自动的采用S/MIME技术的邮件客户端软件—密信App和建设了云密码基础设施,“云“”地“一体,彻底解决了S/MIME邮件加密和数字签名的难题,银行用户只需在密信App中设置好自己的邮箱,即可发送加密邮件给银行和解密银行发过来的已加密邮件。而银行业务系统也只需免费调用密信公钥API,自动获取银行用户的公钥,即可自动发送加密邮件给用户。
更重要的是,密信App提供免费版,让用户能免费体验邮件全自动加密服务,欢迎银行用户免费体验使用,也欢迎有兴趣的银行如果有任何不清楚的地方,随时联系我们。密信技术已经为盘谷银行提供邮件加密解决方案,实现银行同银行用户之间的邮件通信都是加密和数字签名的,并且密信技术全球独家提供的邮件时间戳服务能满足银行与用户之间的邮件通信的可信时间应用需求。