|
|
. z0 P! h$ ]' n6 r+ n% N
2011年03月10日 08:46 来源: 时代周报 【字体:大 中 小】 网友评论
9 H$ [+ q& U( z1 J6 K7 P 2011年伊始,中国银行网银就被卷入了网银引发的风暴眼,对于曾经荣获“最佳网上银行”的中行来说,格外刺目。短短一个月内,众多中行网银客户先后经历可怕惊魂300秒,账户内资金瞬间被钓鱼网站洗劫一空。据不完全统计,从1月10日至今,仅浙江一省就发生100多起同类诈骗,用户损失少则数万,多达数百万。 . r8 U" F. s( o
在中行网银频频集中被盗事件中,用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。因为在木马钓鱼的作用下,犯罪分子能和用户的电脑实现同步,号称动态安保的“中行E令”此时已形同虚设,不少用户也在质疑这项服务的必要性。据了解,目前,国有商业银行中,只有中行大范围使用动态口令牌,工行、建行、农行、邮储银行等商业银行,多以与计算机硬件连接的U盾或K宝为主。 ' Q; m6 S- [% @1 l& p s ~
尽管中行目前亡羊补牢,新加了一道手机交易码防火墙,但一推出就引起颇多争议,日前有南京的用户在**屏蔽**理财网投诉称,为何柜面人员对手机交易码如此不熟悉,相关口径与现实有如此大的差距?中行内部的信息传递如此落后,是否也证实其内部管理的落后? & O; N$ v1 x) F. j+ a# _0 _% K6 r
中行E令漏洞饱受质疑 9 b1 ~3 k9 B+ E8 F8 O9 P: X
1月18日,杭州的李辉(化名)先生突然收到一条手机短信:尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给你带来不便请谅解,详询95566。而李先生正是中行网银用户,虽发现是来自一个陌生手机,但也并没产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的中行网址,亦未发现异常,便根据网页提示进行操作,在页面显示升级成功。李先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的200多万元已经被全部转走。 ! L9 `/ H' Z% f6 u: X0 X! m
无独有偶,就在1月27日,深圳一客户的中行网银1.6万元钱被不明身份的人卷走,只剩下4.5元。而绍兴的一位商人则被同样的手段骗取资金接近200万元。近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看涉案金额应已过亿,保守估计也要超过5000万元。
) P* y! `4 f7 z9 w 在这短短的一个多月里,有多少客户的资产遭到假冒中行钓鱼网站的侵蚀,目前难以获得准确数据,但据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中行的仿冒网站。 8 \1 n4 b3 L, s9 O
据了解,上述案件中犯罪分子作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被钓鱼程序窃取,其网银账户内款项在几分钟内被迅速转走。
' I: g+ ?# t, B2 L7 X! ^: S 有关钓鱼网站的诈骗并非首次出现,开通网银的银行都会面临此类困扰,但为何大规模地集中在中行?中行所引以为傲的E令设计是否存在安全隐患?中国互联网信息举报中心主任助理郝志超曾在接受媒体采访时表示:“中行的网银系统还是有问题的,它的动态E令被犯罪分子利用了。” 4 i4 d4 r5 Y9 I) G' U |4 q% ^
中行选择的是用动态口令保护用户网银安全。中行E令,实际上就是电子动态口令生成器,是由中行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成,根据专门的计算法则,每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障网银操作安全。然而此轮网银诈骗,绝大部分案例都以中行E令为幌子,众多用户质疑号称动态安保的中行E令此时已形同虚设。
+ k- M% P9 v1 R u 中行电子银行部总经理蒋昕表示,犯罪分子并不是攻破了中行网银的安全机制,客户在中行门户网站上进行网银交易,安全是有保证的。但少数客户安全防范意识不强,被诱骗登录假冒网站后不加识别即输入网银认证关键信息,最终导致资金被盗。
5 P: y8 ^) k8 ? 对于这种解释,大多数人表示难以接受。中行网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中行网银在大规模的钓鱼案件发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。
4 C, \0 L9 F) Z8 { 而针对中行网银主推的安全工具动态口令,有中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上述几位受害者也纷纷表示了对动态口令的不满:一分钟的时间做什么都足够了,动态口令这种安全工具本身就有问题。
" c9 u+ Y9 }' h/ z" z, @- e 而中行的内部员工也认为,将短信提示、权限设置和口令牌分开更安全,即现在将三者集于一身,全部依赖口令牌,有了口令牌,手机号码可以随便改,限额可以改,那短信提示和权限设置不是形同虚设吗?
7 R8 o$ j3 A2 ?$ v |
|
|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com
( 冀ICP备11023231号 )
发表于 2012-3-16 20:08:57
