开通工行卡网上银行业务,本来图个方便,但深圳的蔡女士遭遇到的却是巨大的损失——在家里电脑上查询账户后,她的密码被人盗取。2006年8月,她去银行取钱,才发现账户里面的1万多元存款已经被全部转走。
灾难影响:四面楚歌
其实,不只是蔡女士,不少开通工行网银业务的用户都遭遇到了密码被盗的事情。一些网银受害者开始建立专门网站组成维权联盟,来声讨工行,事情发展愈演愈烈。
无独有偶,2006年8月,江民科技反病毒中心监测到,光大证券阳光网提供的光大证券新版网上交易系统等多款软件的安装程序捆绑有“网银木马”。“网银木马”运行后,会监视IE浏览器正在访问的网页。如果发现用户正在登录个人银行,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取的信息发送出去。
2006年9月,假银行网站再度现身。北京市民盛先生发现一个网站(www.cmb95555.com),上面的内容和招商银行网站(www.cmbchina.com)一模一样,连个人银行业务都能进入。经过核实,是不法分子试图通过该网址链接到其他网站,从而非法窃取招行网银用户资料。
当时除了包括北京、南京、杭州、合肥等在内的十几个城市70余名用户受害事件外,湖南警方也逮捕了一个专门窃取网银资金的黑客团伙,该团伙控制的银行账户超过1000个,共窃得资金40余万元。
救灾措施:防治结合
网银安全,危机四伏。我们该如何在享受网银便利、快捷的同时,又不让“网银大盗”有机可乘呢?
对于银行来说,给网银再上一把“锁”——USBKEY(俗称U盾)不失为一种好办法。简单来说,U盾就是一把网络钥匙,在外形和用法上类似U盘。一旦用户登录网上银行进行网上转账,除了需要密码外,必须在USB接口上插入U盾,确认后方可实现操作,相对于仅有的密码,随身携带的U盾等于给网络交易上了第二把锁。另外,有专家认为,为网上银行设置专用域名,也有可能很大程度地打击假冒的网银网站。中国银行就在2006年6月1日起更换了域名,以更简捷好记的域名来防止不法分子的伪冒行为。
除了正常的登录交易外,银行是不会以任何理由通过网络向客户索要卡号、密码等重要信息的。因此,对于用户来说,应从正规银行网点取得网络银行网址并牢记,登录网银时尽量避免使用搜索引擎或网络实名,同时要保管好自己的卡号、密码、身份证件号、开卡日期等资料,不要在网吧等公共场合使用网上银行或随手丢弃银行回单。另外,要在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒,不要打开可疑电邮内含的超级链接或附件。
灾后思考:网银安全,谁的责任
从2006年发生的各类网银失窃案件来看,网上银行的盗窃案主要是利用安全漏洞,在窃取客户账号、密码和证书等信息基础上,再利用转账、ATM机等方式盗窃资金。从银行与客户的协议中看,保障用户资金安全的仅仅是6位数字密码。一旦出现问题,银行没有任何责任,所有损失都应该是用户承担。
其实,在客户与银行的对弈中,银行是强势的一方。专家指出,银行必须从技术、流程和人员三个方面,建立网上银行的安全体系。
从技术上看,应研究建立支持多渠道的安全认证体系,例如支持指纹认证、身份证扫描识别、数字证书等渠道安全认证体系,以避免目前单一密码认证的缺陷。从流程上看,应设计一套与多渠道服务相匹配的服务、管理和内控流程。比如,在去年很多的案件都是不法分子使用假身份证开通网上银行,然后盗窃客户资金。如果银行加强了内部管理控制,这类损失完全可以避免。从人员和组织看,要加强自身员工的安全意识,建立严格的授权和保密制度。(责任编辑:黄重来)
