理財(cái)周報(bào)記者 冀欣/文
為什么是中行:動(dòng)態(tài)E令容易被攻破利用, 密碼單一防火墻脆弱,網(wǎng)上銀行無(wú)須密碼即可開(kāi)通手機(jī)銀行
近一個(gè)月內(nèi)眾多中行網(wǎng)銀客戶(hù)先后經(jīng)歷“驚魂300秒”,賬戶(hù)內(nèi)資金瞬間被釣魚(yú)網(wǎng)站洗劫一空。中國(guó)互聯(lián)網(wǎng)信息舉報(bào)中心監(jiān)測(cè)數(shù)據(jù)顯示,近期網(wǎng)銀盜竊侵財(cái)型案件舉報(bào)甚多,特別是假冒中國(guó)銀行(3.27,-0.01,-0.30%)網(wǎng)站大幅增加,數(shù)量已多達(dá)近70個(gè)。針對(duì)中行網(wǎng)銀的高智能詐騙案呈高發(fā)態(tài)勢(shì),并以驚人速度向全國(guó)蔓延。
一時(shí)間,人人自危。中行陷入輿論風(fēng)暴眼,不得不面對(duì)安全性的質(zhì)疑和考驗(yàn)。
假冒中行網(wǎng)銀詐騙案件井噴
2011年1月13日,南京的王言(化名)先生突然收到一條手機(jī)短信:“尊敬的網(wǎng)銀用戶(hù),你的中行E令將于次日過(guò)期,請(qǐng)盡快進(jìn)行升級(jí),給您帶來(lái)不便請(qǐng)諒解,詳詢(xún)95566(中國(guó)銀行)!
而王先生正是中國(guó)銀行的網(wǎng)銀用戶(hù),王先生向記者道:”銀行的客戶(hù)經(jīng)理平時(shí)也常發(fā)短信提示用戶(hù)辦理各項(xiàng)業(yè)務(wù)”,所以王先生雖然發(fā)現(xiàn)是來(lái)自一個(gè)陌生手機(jī),但也并沒(méi)有產(chǎn)生懷疑,隨即利用電腦,根據(jù)短信提示的內(nèi)容登錄短信內(nèi)的“中國(guó)銀行”的網(wǎng)址,并未發(fā)現(xiàn)異常,便根據(jù)網(wǎng)頁(yè)提示,輸入自己的用戶(hù)名、密碼以及隨機(jī)產(chǎn)生的中行E令(動(dòng)態(tài)口令)等信息,在頁(yè)面顯示升級(jí)成功。王先生在退出頁(yè)面后猛然發(fā)覺(jué)不對(duì),再次登錄時(shí),發(fā)現(xiàn)自己賬戶(hù)內(nèi)的100萬(wàn)元已經(jīng)被全部轉(zhuǎn)走。
無(wú)獨(dú)有偶,來(lái)自深圳的黃先生也遭遇了同樣的經(jīng)歷。其賬戶(hù)內(nèi)存款被分四次轉(zhuǎn)出,只剩下零頭。而紹興的一位商人則被同樣的手段騙取資金接近200萬(wàn)元。
上述幾位受害者告訴理財(cái)周報(bào)記者,近期江蘇浙江地區(qū)此類(lèi)案件高發(fā)近乎猖獗。全國(guó)范圍來(lái)看,涉案金額應(yīng)已接近1個(gè)億,保守估計(jì)最少也超過(guò)4000萬(wàn)元。超過(guò)百萬(wàn)元的大案并不鮮見(jiàn)。
究竟在這短短的一個(gè)多月里,有多少客戶(hù)的資產(chǎn)遭到假冒中國(guó)銀行釣魚(yú)網(wǎng)站的侵蝕,暫難獲得準(zhǔn)確數(shù)據(jù)。但是事態(tài)的嚴(yán)重性已從公開(kāi)信息中得到證實(shí),據(jù)不完全統(tǒng)計(jì),僅1月10日-20日之間,江蘇省此類(lèi)案件就發(fā)生上百起,浙江省也有近50起,涉案總金額巨大。據(jù)金山網(wǎng)絡(luò)云安全中心統(tǒng)計(jì)數(shù)據(jù)顯示,近期已有超過(guò)5萬(wàn)名用戶(hù)訪問(wèn)過(guò)中國(guó)銀行的仿冒網(wǎng)站。
據(jù)了解,上述案件中犯罪分子的作案手法如出一轍。受害人均收到陌生手機(jī)號(hào)碼發(fā)送的短信,提示其銀行網(wǎng)銀動(dòng)態(tài)口令將于次日過(guò)期,讓其盡快登入中國(guó)銀行網(wǎng)站進(jìn)行升級(jí)。一旦事主登錄短信內(nèi)留下的網(wǎng)站,所輸入的網(wǎng)銀用戶(hù)名、密碼、動(dòng)態(tài)口令等就會(huì)被“釣魚(yú)”程序竊取,其網(wǎng)銀賬戶(hù)內(nèi)款項(xiàng)在幾分鐘內(nèi)被迅速轉(zhuǎn)走。
E令設(shè)計(jì)被疑潛藏安全漏洞
有關(guān)釣魚(yú)網(wǎng)站的詐騙相信都早有耳聞,不少銀行也都會(huì)面對(duì)此類(lèi)的困擾,但是為什么如此集中于中國(guó)銀行,很多人都在疑問(wèn)。
中國(guó)互聯(lián)網(wǎng)信息舉報(bào)中心主任助理郝志超曾在接受采訪時(shí)有所言明:“中行的網(wǎng)銀系統(tǒng)還是有問(wèn)題的,它的動(dòng)態(tài)E令被犯罪分子利用了。中國(guó)互聯(lián)網(wǎng)信息舉報(bào)中心已經(jīng)敦請(qǐng)中國(guó)銀行進(jìn)一步完善網(wǎng)銀業(yè)務(wù)流程,不給犯罪分子可乘之機(jī)!
E令到底存在怎樣的問(wèn)題?
中國(guó)金融認(rèn)證中心相關(guān)負(fù)責(zé)人告訴記者,目前用戶(hù)端網(wǎng)銀安全工具主要包括:數(shù)字證書(shū)、動(dòng)態(tài)口令、手機(jī)驗(yàn)證三種。得到廣泛使用并且安全保障程度較高的是數(shù)字證書(shū),通常被存儲(chǔ)在USBKey(俗稱(chēng)的“U盾”)之中。用戶(hù)在登錄銀行網(wǎng)站進(jìn)行交易時(shí),在電腦上插入U(xiǎn)key,就相當(dāng)于向銀行亮出“網(wǎng)絡(luò)身份證”。
UKey硬件本身有一個(gè)PIN碼,相當(dāng)于我們銀行卡的密碼,當(dāng)用戶(hù)在電腦中插入U(xiǎn)Key時(shí),只有在輸入PIN碼以后才能使用。同時(shí),UKey證書(shū)中不僅包含用戶(hù)的身份信息,還包含另外一段由用戶(hù)獨(dú)有的特殊數(shù)據(jù)信息,在學(xué)術(shù)上叫做“私鑰“,只由用戶(hù)自己所特有,而且每個(gè)用戶(hù)持有的都不相同。用戶(hù)每次在網(wǎng)銀中交易時(shí),交易的關(guān)鍵信息都會(huì)送入U(xiǎn)SBKey,在USBKey中進(jìn)行電子簽名。簡(jiǎn)單來(lái)說(shuō),只要USBKey在用戶(hù)手中,黑客就很難攔截這個(gè)密碼,即使得逞也難以完成轉(zhuǎn)賬。招商銀行(13.08,-0.03,-0.23%)、工商銀行(4.30,-0.03,-0.69%)等目前采取的就是以USBKey為主的安全工具。
而中國(guó)銀行選擇的是用動(dòng)態(tài)口令保護(hù)用戶(hù)網(wǎng)銀安全。動(dòng)態(tài)口令就是只能使用一次的密碼,這種動(dòng)態(tài)密碼的原理在于:它通過(guò)特定的計(jì)算方式在用戶(hù)處產(chǎn)生一個(gè)隨機(jī)變化的密碼,同時(shí)銀行處也能產(chǎn)生一個(gè)相同的密碼,用戶(hù)使用這個(gè)密碼登錄網(wǎng)銀時(shí),兩個(gè)密碼相比較,若匹配則表示已通過(guò)驗(yàn)證,用戶(hù)可進(jìn)行下一步的操作。
中行“E令”,實(shí)際上就是“電子動(dòng)態(tài)口令生成器”,是由中國(guó)銀行推出的一種硬件動(dòng)態(tài)口令牌。它由內(nèi)置電源、密碼生成芯片和顯示屏等組成,根據(jù)專(zhuān)門(mén)的計(jì)算法則,每隔60秒會(huì)自動(dòng)更新一個(gè)動(dòng)態(tài)口令,要求用戶(hù)在60秒內(nèi)輸入,以保障網(wǎng)銀操作安全。然而此輪網(wǎng)銀詐騙,絕大部分案例都以“中行E令”為幌子,眾多用戶(hù)質(zhì)疑號(hào)稱(chēng)動(dòng)態(tài)安保的“中行E令”此時(shí)已形同虛設(shè)。
中行工作人員對(duì)此回應(yīng)稱(chēng),中行對(duì)個(gè)人網(wǎng)銀賬戶(hù)的安全防范是獲得國(guó)家有關(guān)部門(mén)認(rèn)可安全可靠的。詐騙發(fā)生,主要是用戶(hù)登錄假網(wǎng)站,被騙取密碼和動(dòng)態(tài)口令所致,跟網(wǎng)銀本身的設(shè)計(jì)沒(méi)有什么關(guān)系。
可能并非如此。
先來(lái)看看中國(guó)銀行網(wǎng)銀的安全保障體系,目前多數(shù)銀行采取多因素、多渠道的認(rèn)證方式,安全級(jí)別設(shè)置也較高。但是中國(guó)銀行網(wǎng)銀在大規(guī)模的“釣魚(yú)案件”發(fā)生時(shí),只可選擇動(dòng)態(tài)口令這一項(xiàng)安全工具,安全防護(hù)措施相對(duì)簡(jiǎn)單,不久前才剛剛進(jìn)行了改進(jìn),增加了短信認(rèn)證這一環(huán)節(jié),遭到了不少客戶(hù)的質(zhì)疑。
再來(lái)看看中行網(wǎng)銀主推的安全工具動(dòng)態(tài)口令。中國(guó)金融認(rèn)證中心專(zhuān)家認(rèn)為,動(dòng)態(tài)口令雖然一次一變,但這種變化仍然存在一定的時(shí)間周期,通常動(dòng)態(tài)口令在1分鐘內(nèi)都會(huì)有效。而就是這短短的一分鐘,讓不法分子有了可乘之機(jī)。上文述幾位受害者也紛紛表示了對(duì)動(dòng)態(tài)口令的不滿(mǎn):“一分鐘時(shí)間足夠操作熟練的人完成整個(gè)犯罪過(guò)程,動(dòng)態(tài)口令這種安全工具本身就有問(wèn)題!
但是國(guó)內(nèi)主流銀行中唯一與中行同樣使用動(dòng)態(tài)口令的光大銀行(3.96,-0.01,-0.25%)網(wǎng)銀,卻一直在用戶(hù)中獲得不錯(cuò)的美譽(yù)度,類(lèi)似遭遇釣魚(yú)網(wǎng)站攻擊的事件也少有。
業(yè)內(nèi)一位不愿具名的專(zhuān)家透露,問(wèn)題不在動(dòng)態(tài)口令,而在于中國(guó)銀行動(dòng)態(tài)口令的設(shè)計(jì)存在一個(gè)明顯漏洞。
他表示,光大銀行的動(dòng)態(tài)口令生成器命名為陽(yáng)光令牌,用戶(hù)在登錄時(shí)需要輸入隨機(jī)口令,轉(zhuǎn)賬時(shí)還需要再度輸入事先設(shè)置的轉(zhuǎn)賬密碼,兩道防護(hù)線保護(hù)安全。而中國(guó)銀行網(wǎng)銀之前只需要輸入口令就可以完成轉(zhuǎn)賬,一旦遭遇釣魚(yú)網(wǎng)站攔截或口令牌遺失,客戶(hù)賬戶(hù)安全就難以保障。
中行緊急行動(dòng)再次暴露隱患
層出不窮的詐騙案件也引起了中國(guó)銀行的重視。如今,他們已在網(wǎng)銀轉(zhuǎn)賬業(yè)務(wù)上增設(shè)防線,1月21日起,大幅降低用戶(hù)單筆轉(zhuǎn)賬金額;自動(dòng)向用戶(hù)發(fā)送交易口令確認(rèn)碼,只有用戶(hù)確認(rèn)后,才能轉(zhuǎn)賬,這種方法確實(shí)在一定程度上遏制了此類(lèi)案件的蔓延,尤其是大額詐騙案件。
但是涉案金額較小的假冒中行網(wǎng)銀案件依然層出不窮。上文所述黃先生表示,如果中行不從根本上改進(jìn)其網(wǎng)銀的設(shè)計(jì),僅僅采取降低單筆轉(zhuǎn)賬金額的方法,依然是治標(biāo)不治本。
不可否認(rèn),增加轉(zhuǎn)賬過(guò)程中的短信認(rèn)證環(huán)節(jié)確實(shí)發(fā)揮了很大的作用?墒蔷o隨其后的是花樣翻新的犯罪手段,中行網(wǎng)銀的另一漏洞浮出水面。
福州的張先生在2月14日親身經(jīng)歷了類(lèi)似的詐騙案件,然而有所不同的是,在中行已經(jīng)降低網(wǎng)銀轉(zhuǎn)賬單筆最高限額至500元并增加了一道防火栓后,他賬戶(hù)內(nèi)的2萬(wàn)余元依然一次性通過(guò)手機(jī)銀行被竊走。
張先生十分不解,自己從未開(kāi)通過(guò)手機(jī)銀行,為何犯罪分子能借助這種渠道完成轉(zhuǎn)賬,中行工作人員回應(yīng)稱(chēng),中行手機(jī)銀行可以直接在網(wǎng)上銀行登錄頁(yè)面上開(kāi)通,犯罪分子盜取網(wǎng)銀后直接開(kāi)通了手機(jī)銀行,在沒(méi)有手機(jī)驗(yàn)證碼的情況下依然成功轉(zhuǎn)賬。
張先生質(zhì)疑為何手機(jī)銀行可以不需要任何證件就隨意開(kāi)通,在近期網(wǎng)銀案件如此猖獗的情況下,銀行為何還是如此考慮不周。中行工作人員對(duì)此回應(yīng)稱(chēng)這確實(shí)是一個(gè)漏洞,目前中行手機(jī)銀行已停止通過(guò)網(wǎng)銀直接開(kāi)通。
然而記者發(fā)稿前致電中行客服熱線,工作人員稱(chēng)這樣的開(kāi)通方式依然可以辦理。
中行陷風(fēng)暴眼權(quán)責(zé)認(rèn)定難
在系列案件集中爆發(fā)后,中行網(wǎng)銀站在了輿論的風(fēng)暴眼。用戶(hù)人人自危,很多人都表示將不敢再使用中行網(wǎng)銀,甚至有人為保障安全已將中行賬戶(hù)中資金悉數(shù)取出。
其他各大銀行也風(fēng)聲鶴唳,紛紛重點(diǎn)開(kāi)展網(wǎng)銀使用的安全風(fēng)險(xiǎn)警示。
現(xiàn)在撥打中行的客服電話,等待鈴聲鋪天蓋地盡是網(wǎng)銀安全宣傳,其官方網(wǎng)站也增加了相應(yīng)版塊,但這一切還是沒(méi)有平息此起彼伏的質(zhì)疑之聲,
同為釣魚(yú)網(wǎng)站詐騙的受害者,來(lái)自北京的李小姐表示,中行網(wǎng)銀的問(wèn)題其實(shí)存在了很久,去年315投訴就有很多。2010年12月各地此類(lèi)案件也已非常普遍,可是并沒(méi)有引發(fā)中行的重視,直到1月20日才進(jìn)行了系統(tǒng)改進(jìn),這樣的反應(yīng)速度實(shí)在令人失望。
深圳的受害者黃先生也提出,事態(tài)發(fā)展已經(jīng)比較嚴(yán)重,中行應(yīng)該及時(shí)建立應(yīng)急反應(yīng)系統(tǒng),在配合警方破案方面應(yīng)該更加及時(shí)和積極主動(dòng),保護(hù)用戶(hù)的權(quán)益。
然而,更加激烈的還在后面。
理財(cái)周報(bào)記者了解到,遭到釣魚(yú)網(wǎng)站詐騙的部分中行客戶(hù),已經(jīng)開(kāi)始向中國(guó)銀行申請(qǐng)索賠,理由是中行網(wǎng)銀系統(tǒng)存在漏洞以及在保護(hù)客戶(hù)資金安全工作上的失職,但持續(xù)無(wú)果。他們中的很多人醞釀抱團(tuán)取暖,繼續(xù)爭(zhēng)取獲得賠償。
中行相關(guān)負(fù)責(zé)人對(duì)此回應(yīng),網(wǎng)銀用戶(hù)遭到犯罪分子欺詐,主要是防范意識(shí)不強(qiáng),和網(wǎng)上操作的不規(guī)范造成,銀行有義務(wù)配合警方破案,但是不應(yīng)當(dāng)承擔(dān)賠償。
中國(guó)金融認(rèn)證中心的相關(guān)負(fù)責(zé)人也表示,通過(guò)手機(jī)短信,銀行用戶(hù)上當(dāng)受騙進(jìn)入釣魚(yú)網(wǎng)站進(jìn)行交易,這一欺詐主體不是銀行、也不是銀行網(wǎng)站,銀行應(yīng)做的是盡到警示、提醒的責(zé)任,避免用戶(hù)上當(dāng)受騙。
北京某律師事務(wù)所工作人員也坦言了自己的看法:“雖然從這些案件的作案方法上來(lái)看,銀行網(wǎng)銀系統(tǒng)應(yīng)該是確實(shí)存在某種漏洞,因?yàn)殂y行交易系統(tǒng)存在安全性能問(wèn)題致使消費(fèi)者賬號(hào)信息被竊取而丟失財(cái)產(chǎn),則銀行未盡到協(xié)議中約定的安全交易保障義務(wù),應(yīng)當(dāng)根據(jù)其過(guò)錯(cuò)程度承擔(dān)相應(yīng)民事責(zé)任。然而實(shí)際操作中,在判定是客戶(hù)端原因還是銀行系統(tǒng)原因時(shí),鑒于技術(shù)問(wèn)題的高壁壘,用戶(hù)在舉證上明顯處于不利地位,采取協(xié)商賠償?shù)姆绞娇赡芨谩?BR>
還可以看看
其他文章,謝謝您的閱讀。
網(wǎng)站申明:系本文編輯轉(zhuǎn)載,來(lái)自網(wǎng)友自行發(fā)布或來(lái)源于網(wǎng)絡(luò),目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),所有權(quán)歸屬原作者。如內(nèi)容、圖片有任何版權(quán)問(wèn)題,請(qǐng)
聯(lián)系我們刪除。