2011年02月22日 04:35
來源：新快報

0人參與0條評論

其中一客戶百萬資金瞬間被轉(zhuǎn)；有專家認為中行動態(tài)口令設計有漏洞

新快報訊 近一個月內(nèi)眾多中行網(wǎng)銀客戶先后經(jīng)歷“驚魂300秒”，賬戶內(nèi)資金瞬間被釣魚網(wǎng)站洗劫一空。中國互聯(lián)網(wǎng)信息舉報中心監(jiān)測數(shù)據(jù)顯示，近期網(wǎng)銀盜竊侵財型案件舉報甚多，特別是假冒中國銀行網(wǎng)站大幅增加，數(shù)量已多達近70個。針對中行網(wǎng)銀的高智能詐騙案呈高發(fā)態(tài)勢，并以驚人速度向全國蔓延。

假冒中行網(wǎng)銀詐騙案頻發(fā)

2011年1月13日，南京的王言(化名)先生突然收到一條手機短信稱其中行E令將于次日過期，請盡快進行升級。王先生正是中國銀行的網(wǎng)銀用戶，他隨即利用電腦，根據(jù)短信提示的內(nèi)容登錄短信內(nèi)的“中國銀行的的網(wǎng)址，輸入自己的相關(guān)信息，在頁面顯示升級成功。王先生在退出頁面后猛然發(fā)覺不對，再次登錄時，發(fā)現(xiàn)自己賬戶內(nèi)的100萬元已經(jīng)被全部轉(zhuǎn)走。

究竟有多少客戶的資產(chǎn)遭到假冒中國銀行釣魚網(wǎng)站的侵蝕，暫難獲得準確數(shù)據(jù)。但是事態(tài)的嚴重性已從公開信息中得到證實。據(jù)不完全統(tǒng)計，僅1月10日-20日之間，江蘇省此類案件就發(fā)生上百起，浙江省也有近50起，涉案總金額巨大。據(jù)金山網(wǎng)絡云安全中心統(tǒng)計數(shù)據(jù)顯示，近期已有超過5萬名用戶訪問過中國銀行的仿冒網(wǎng)站。

中行稱其與網(wǎng)銀設計無關(guān)

中國互聯(lián)網(wǎng)信息舉報中心主任助理郝志超曾在接受采訪時表示：“中行的網(wǎng)銀系統(tǒng)還是有問題的，它的動態(tài)‘E令’被犯罪分子利用了。中國互聯(lián)網(wǎng)信息舉報中心已經(jīng)敦請中國銀行進一步完善網(wǎng)銀業(yè)務流程，不給犯罪分子可乘之機。

中國金融認證中心相關(guān)負責人告訴記者，中國銀行選擇的是用動態(tài)口令保護用戶網(wǎng)銀安全。這種動態(tài)密碼的原理在于：它通過特定的計算方式在用戶處產(chǎn)生一個隨機變化的密碼，同時銀行處也能產(chǎn)生一個相同的密碼，用戶使用這個密碼登錄網(wǎng)銀時，兩個密碼相比較，若匹配則表示已通過驗證，用戶可進行下一步的操作。然而此輪網(wǎng)銀詐騙，絕大部分案例都以“中行E令”為幌子。

中行工作人員對此回應稱，中行對個人網(wǎng)銀賬戶的安全防范是獲得國家有關(guān)部門認可安全可靠的。詐騙發(fā)生，主要是用戶登錄假網(wǎng)站，被騙取密碼和動態(tài)口令所致，跟網(wǎng)銀本身的設計沒有什么關(guān)系。

E令設計被疑藏安全漏洞

中國金融認證中心專家認為，動態(tài)口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動態(tài)口令在1分鐘內(nèi)都會有效。而就是這短短的一分鐘，讓不法分子有了可乘之機。但是國內(nèi)主流銀行中唯一與中行同樣使用動態(tài)口令的光大銀行網(wǎng)銀，類似遭遇釣魚網(wǎng)站攻擊的事件卻少有。

業(yè)內(nèi)一位不愿具名的專家透露，問題不在動態(tài)口令，而在于中國銀行動態(tài)口令的設計存在一個明顯漏洞。

他表示，光大銀行的動態(tài)口令生成器命名為陽光令牌，用戶在登錄時需要輸入隨機口令，轉(zhuǎn)賬時還需要再度輸入事先設置的轉(zhuǎn)賬密碼，兩道防護線保護安全。而中國銀行網(wǎng)銀之前只需要輸入口令就可以完成轉(zhuǎn)賬，一旦遭遇釣魚網(wǎng)站攔截或口令牌遺失，客戶賬戶安全就難以保障。

網(wǎng)銀用戶遭欺詐權(quán)責難定

記者了解到，遭到釣魚網(wǎng)站詐騙的部分中行客戶，已經(jīng)開始向中國銀行申請索賠。中行相關(guān)負責人對此回應，網(wǎng)銀用戶遭到犯罪分子欺詐，主要是防范意識不強，和網(wǎng)上操作的不規(guī)范造成，銀行有義務配合警方破案，但是不應當承擔賠償。

北京某律師事務所工作人員表示：雖然從這些案件的作案方法上來看，銀行網(wǎng)銀系統(tǒng)應該是確實存在某種漏洞，因為銀行交易系統(tǒng)存在安全性能問題致使消費者賬號信息被竊取而丟失財產(chǎn)，則銀行未盡到協(xié)議中約定的安全交易保障義務，應當根據(jù)其過錯程度承擔相應民事責任。然而實際操作中，在判定是客戶端原因還是銀行系統(tǒng)原因時，鑒于技術(shù)問題的高壁壘，用戶在舉證上明顯處于不利地位，采取協(xié)商賠償?shù)姆绞娇赡芨谩?(據(jù)《理財周報》)

打印轉(zhuǎn)發(fā)