$ a; O4 a& N& J+ X
为什么是中行:动态E令容易被攻破利用, 密码单一防火墙脆弱,网上银行无须密码即可开通手机银行8 g& m. @+ w5 p0 b% `% d" p
近一个月内众多中行网银客户先后经历"惊魂300秒",账户内资金瞬间被钓鱼网站洗劫一空。中国互联网信息举报中心监测数据显示,近期网银盗窃侵财型案件举报甚多,特别是假冒中国银行网站大幅增加,数量已多达近70个。
{; C& J, S" {' r9 D$ k% ] 一时间,人人自危。中行陷入舆论风暴眼,不得不面对安全性的质疑和考验。
7 @/ S7 }* [- w 假冒中行网银诈骗案件井喷
) ~3 r5 ?8 W; Q 2011年1月13日,南京的王言(化名)先生突然收到一条手机短信:"尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给您带来不便请谅解,详询95566(中国银行)。"! H4 t$ P7 T: L: u, L2 {3 l4 ]
而王先生正是中国银行的网银用户,王先生向记者道:"银行的客户经理平时也常发短信提示用户办理各项业务",因此王先生虽然发现是来自一个陌生手机,但也并没有产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的"中国银行"的网址,并未发现异常,便根据网页提示,输入自己的用户名、密码以及随机产生的中行E令(动态口令)等信息,在页面显示升级成功。王先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的100万元已经被全部转走。
# w6 p1 A& H3 p, Q# ?7 J- P% \ 无独有偶,来自深圳的黄先生也遭遇了同样的经历。其账户内存款被分四次转出,只剩下零头。而绍兴的一位商人则被同样的手段骗取资金接近200万元。
! F2 a4 ^ D0 ^! m 上述几位受害者告诉理财周报记者,近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看,涉案金额应已接近1个亿,保守估计最少也超过4000万元。超过百万元的大案并不鲜见。- k* S% g. h: F$ F& ?: p( c4 a1 d1 c0 ?
究竟在这短短的一个多月里,有多少客户的资产遭到假冒中国银行钓鱼网站的侵蚀,暂难获得准确数据。但是事态的严重性已从公开信息中得到证实,据不完全统计,仅1月10日-20日之间,江苏省此类案件就发生上百起,浙江省也有近50起,涉案总金额巨大。据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中国银行的仿冒网站。
1 \/ R1 d+ z& I: f 据了解,上述案件中犯罪分子的作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中国银行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被"钓鱼"程序窃取,其网银账户内款项在几分钟内被迅速转走。
9 |+ m% e# I; c" l' f. _- b E令设计被疑潜藏安全漏洞
! e y z6 k- V# B 有关钓鱼网站的诈骗相信都早有耳闻,不少银行也都会面对此类的困扰,但是为什么如此集中于中国银行,很多人都在疑问。( e) L- B5 _# }% f0 E0 f- ^+ E& z; `
中国互联网信息举报中心主任助理郝志超曾在接受采访时有所言明:"中行的网银系统还是有问题的,它的动态E令被犯罪分子利用了。中国互联网信息举报中心已经敦请中国银行进一步完善网银业务流程,不给犯罪分子可乘之机。") a4 f' V+ L+ P, r5 {2 O% h, w' T
E令到底存在怎样的问题?! M( X) X: i8 Z" c' }
中国金融认证中心相关负责人告诉记者,目前用户端网银安全工具主要包括:数字证书、动态口令、手机验证三种。得到广泛使用并且安全保障程度较高的是数字证书,通常被存储在USBKey(俗称的"U盾")之中。用户在登录银行网站进行交易时,在电脑上插入Ukey,就相当于向银行亮出"网络身份证"。
& F6 O4 j& f; w# x UKey硬件本身有一个PIN码,相当于我们银行卡的密码,当用户在电脑中插入UKey时,只有在输入PIN码以后才能使用。同时,UKey证书中不仅包含用户的身份信息,还包含另外一段由用户独有的特殊数据信息,在学术上叫做"私钥",只由用户自己所特有,而且每个用户持有的都不相同。用户每次在网银中交易时,交易的关键信息都会送入USBKey,在USBKey中进行电子签名。简单来说,只要USBKey在用户手中,黑客就很难拦截这个密码,即使得逞也难以完成转账。招商银行、工商银行等目前采取的就是以USBKey为主的安全工具。
# w0 B0 j. x4 s7 i- O6 ^6 a! O( Q5 ^ 而中国银行选择的是用动态口令保护用户网银安全。动态口令就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式在用户处产生一个随机变化的密码,同时银行处也能产生一个相同的密码,用户使用这个密码登录网银时,两个密码相比较,若匹配则表示已通过验证,用户可进行下一步的操作。, y$ N; k4 t6 j9 W' ^
中行"E令",实际上就是"电子动态口令生成器",是由中国银行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成,根据专门的计算法则,每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障网银操作安全。然而此轮网银诈骗,绝大部分案例都以"中行E令"为幌子,众多用户质疑号称动态安保的"中行E令"此时已形同虚设。
2 h, y! N6 f6 r$ n# W6 T& a 中行工作人员对此回应称,中行对个人网银账户的安全防范是获得国家有关部门认可安全可靠的。诈骗发生,主要是用户登录假网站,被骗取密码和动态口令所致,跟网银本身的设计没有什么关系。
5 H3 E6 u& }2 u 可能并非如此。
( n5 Y) Q0 c# ` 先来看看中国银行网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中国银行网银在大规模的"钓鱼案件"发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。, U7 J6 n' w* ^
再来看看中行网银主推的安全工具动态口令。中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满:"一分钟时间足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就有问题。"
1 a: ?$ q- x% u0 x" v7 p0 r 但是国内主流银行中唯一与中行同样使用动态口令的光大银行网银,却一直在用户中获得很好的美誉度,类似遭遇钓鱼网站攻击的事件也少有。 业内一位不愿具名的专家透露,问题不在动态口令,而在于中国银行动态口令的设计存在一个明显漏洞。
& h* s6 ^8 b( P9 g! R8 @& ?. R4 o 他表示,光大银行的动态口令生成器命名为阳光令牌,用户在登录时需要输入随机口令,转账时还需要再度输入事先设置的转账密码,两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账,一旦遭遇钓鱼网站拦截或口令牌遗失,客户账户安全就难以保障。 . F: {1 m6 M, E
中行紧急行动再次暴露隐患
1 J/ r5 ]! w) ]0 `/ M4 u 层出不穷的诈骗案件也引起了中国银行的重视。如今,他们已在网银转账业务上增设防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送交易口令确认码,只有用户确认后,才能转账,这种方法确实在一定程度上遏制了此类案件的蔓延,尤其是大额诈骗案件。! y. I$ c, x5 `+ v y
但是涉案金额较小的假冒中行网银案件依然层出不穷。上文所述黄先生表示,假设中行不从根本上改进其网银的设计,仅仅采取降低单笔转账金额的方法,依然是治标不治本。 不可否认,增加转账过程中的短信认证环节确实发挥了很大的作用。可是紧随其后的是花样翻新的犯罪手段,中行网银的另一漏洞浮出水面。
- P1 z: M( C& f3 X 福州的张先生在2月14日亲身经历了类似的诈骗案件,然而有所不同的是,在中行已经降低网银转账单笔最高限额至500元并增加了一道防火栓后,他账户内的2万余元依然一次性通过手机银行被窃走。 张先生十分不解,自己从未开通过手机银行,为何犯罪分子能借助这种渠道完成转账,中行工作人员回应称,中行手机银行可以直接在网上银行登录页面上开通,犯罪分子盗取网银后直接开通了手机银行,在没有手机验证码的情况下依然成功转账。$ Q Z! X( T) m* [/ F3 _- d9 O
张先生质疑为何手机银行可以不需要任何证件就随意开通,在近期网银案件如此猖獗的情况下,银行为何还是如此考虑不周。中行工作人员对此回应称这确实是一个漏洞,目前中行手机银行已停止通过网银直接开通。
% r& B" X; r( c6 y* l 然而记者发稿前致电中行客服热线,工作人员称这样的开通方式依然可以办理。
$ b- V% g/ w! I$ P
) p2 o& u) }* b r( i/ | w中行陷风暴眼权责认定难
6 P# t) W4 S$ s, R& t3 n4 H$ ] 在系列案件集中爆发后,中行网银站在了舆论的风暴眼。用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。3 q9 i6 W! ^ q; O$ b9 t& u2 b' R) e
其他各大银行也风声鹤唳,纷纷重点开展网银使用的安全风险警示。
# T( l* c% M4 q- X 现在拨打中行的客服电话,等待铃声铺天盖地尽是网银安全宣传,其官方网站也增加了相应版块,但这一切还是没有平息此起彼伏的质疑之声,$ A( t6 s i( F0 e: d
同为钓鱼网站诈骗的受害者,来自北京的李小姐表示,中行网银的问题其实存在了很久,去年315投诉就有很多。2010年12月各地此类案件也已非常普遍,可是并没有引发中行的重视,直到1月20日才进行了系统改进,这样的反应速度实在令人失望。8 S3 K( a; G. J5 ?
深圳的受害者黄先生也提出,事态发展已经比较严重,中行应该及时建立应急反应系统,在配合警方破案方面应该更加及时和积极主动,保护用户的权益。
. |; B) }+ u, F 然而,更加激烈的还在后面。: a1 e$ b% T6 ~4 H, @ w+ u: {1 N
理财周报记者了解到,遭到钓鱼网站诈骗的部分中行客户,已经开始向中国银行申请索赔,理由是中行网银系统存在漏洞以及在保护客户资金安全工作上的失职,但持续无果。他们中的很多人酝酿抱团取暖,继续争取获得赔偿。/ T" J# H7 d; @' P
中行相关负责人对此回应,网银用户遭到犯罪分子欺诈,主要是防范意识不强,和网上操作的不规范造成,银行有义务配合警方破案,但是不应当承担赔偿。
- @1 d$ b$ H+ |8 n" Q2 t( ` 中国金融认证中心的相关负责人也表示,通过手机短信,银行用户上当受骗进入钓鱼网站进行交易,这一欺诈主体不是银行、也不是银行网站,银行应做的是尽到警示、提醒的责任,避免用户上当受骗。# ^0 k. J( A3 U) R
北京某律师事务所工作人员也坦言了自己的看法:虽然从这些案件的作案方法上来看,银行网银系统应该是确实存在某种漏洞,由于银行交易系统存在安全性能问题致使消费者账号信息被窃取而丢失财产,则银行未尽到协议中约定的安全交易保障义务,应当根据其过错程度承担相应民事责任。然而实际操作中,在判定是客户端原因还是银行系统原因时,鉴于技术问题的高壁垒,用户在举证上明显处于不利地位,采取协商赔偿的方式可能更好。+ J7 c% j* U/ H0 }; ~
2011年02月21日 中财网, [* @9 P$ v8 H
|