在用户身份假冒攻击中，攻击者与受害者有两种简单的关系：熟知和不知。熟知关系的攻击者可以轻易的盗取受害者的登录凭证(如：卡号、密码、USBKEY等)，从而假冒受害者身份进行网上银行操作;不知关系的攻击者要进行攻击需要一定的攻击场景，如：处于同一个局域网环境，包括办公局域网、公共WIFI网络等，攻击者利用ARP或代理拦截等技术攻击获取用户登录凭证，假冒受害者身份进行网上银行操作。

目前银行针对身份假冒攻击的防护，从登录过程和登录反馈两个方面进行防护。其一是采用HTTPS协议利用数字证书进行身份验证，对“中间人攻击”进行提示并结合安全控件技术对敏感数据进行加密，即便陷入中间人攻击，也无法破译登录凭证;其二是利用登录成功短信提醒和显示上次登录信息(包括：登录时间、登录IP地址、登录失败次数等)方式及时提醒用户可能存在的假冒登录。

通过我们的调研与分析认为：采用HTTPS结合USBKEY数字证书技术，严格遵守SSL过程进行双向身份鉴别的防护效果较好，基本杜绝中间人攻击。此类防护中USBKEY鲁棒性是防御的重中之重。短信提醒和上次登录信息的功能起到缩短发现时间，及时采取应对措施的作用。但还需要银行方面加大安全措施的宣传力度，网上银行用户提高安全防范意识，同时默认启用或开通相关的安全功能。

目前网上银行通常会提供两种版本的登录——大众版和专业版。大众版采用HTTPS通信结合安全控件方式，无法避免中间人攻击，但通过安全控件可保护登录凭证，控件的加密强度和抗逆向分析能力成为攻防焦点;专业版采用HTTPS通信、安全控件以及USBKEY方式。但大多数USBKEY在登录环节并未使用，使得登录防护效果与大众版相同。另外，登录提醒和提示信息量还有待丰富，以便网上银行用户能更清晰地进行危险判断。

安全控件成为攻防焦点，USBKEY充分利用成为趋势，用户安全意识提升仍需继续。

(责任编辑：安博涛)