|
|
l- h7 J T* r. c, Z! Q2011年03月10日 08:46 来源: 时代周报 【字体:大 中 小】 网友评论
9 {! w$ u% D: X" \6 _5 { 2011年伊始,中国银行网银就被卷入了网银引发的风暴眼,对于曾经荣获“最佳网上银行”的中行来说,格外刺目。短短一个月内,众多中行网银客户先后经历可怕惊魂300秒,账户内资金瞬间被钓鱼网站洗劫一空。据不完全统计,从1月10日至今,仅浙江一省就发生100多起同类诈骗,用户损失少则数万,多达数百万。 . y9 @7 y7 F3 Z$ h/ r3 o \
在中行网银频频集中被盗事件中,用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。因为在木马钓鱼的作用下,犯罪分子能和用户的电脑实现同步,号称动态安保的“中行E令”此时已形同虚设,不少用户也在质疑这项服务的必要性。据了解,目前,国有商业银行中,只有中行大范围使用动态口令牌,工行、建行、农行、邮储银行等商业银行,多以与计算机硬件连接的U盾或K宝为主。 , K, [0 u! y4 ]$ D" j$ R; k t+ l
尽管中行目前亡羊补牢,新加了一道手机交易码防火墙,但一推出就引起颇多争议,日前有南京的用户在**屏蔽**理财网投诉称,为何柜面人员对手机交易码如此不熟悉,相关口径与现实有如此大的差距?中行内部的信息传递如此落后,是否也证实其内部管理的落后?
. ~9 }* F- H9 W$ k# u 中行E令漏洞饱受质疑
6 @, j) g- c6 E; Z, l4 ?9 r* v+ Q 1月18日,杭州的李辉(化名)先生突然收到一条手机短信:尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给你带来不便请谅解,详询95566。而李先生正是中行网银用户,虽发现是来自一个陌生手机,但也并没产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的中行网址,亦未发现异常,便根据网页提示进行操作,在页面显示升级成功。李先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的200多万元已经被全部转走。
# H/ y7 m6 F, q: X% _3 x 无独有偶,就在1月27日,深圳一客户的中行网银1.6万元钱被不明身份的人卷走,只剩下4.5元。而绍兴的一位商人则被同样的手段骗取资金接近200万元。近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看涉案金额应已过亿,保守估计也要超过5000万元。 ) U# O" g$ J8 q4 U2 k V
在这短短的一个多月里,有多少客户的资产遭到假冒中行钓鱼网站的侵蚀,目前难以获得准确数据,但据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中行的仿冒网站。
" {' c: v' ?5 N/ K6 j 据了解,上述案件中犯罪分子作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被钓鱼程序窃取,其网银账户内款项在几分钟内被迅速转走。
) M% Q# t3 n! N* L- z9 B) u f! r 有关钓鱼网站的诈骗并非首次出现,开通网银的银行都会面临此类困扰,但为何大规模地集中在中行?中行所引以为傲的E令设计是否存在安全隐患?中国互联网信息举报中心主任助理郝志超曾在接受媒体采访时表示:“中行的网银系统还是有问题的,它的动态E令被犯罪分子利用了。”
2 Q4 H. C3 F6 }: P! f 中行选择的是用动态口令保护用户网银安全。中行E令,实际上就是电子动态口令生成器,是由中行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成,根据专门的计算法则,每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障网银操作安全。然而此轮网银诈骗,绝大部分案例都以中行E令为幌子,众多用户质疑号称动态安保的中行E令此时已形同虚设。 . T E# q( R" _* D
中行电子银行部总经理蒋昕表示,犯罪分子并不是攻破了中行网银的安全机制,客户在中行门户网站上进行网银交易,安全是有保证的。但少数客户安全防范意识不强,被诱骗登录假冒网站后不加识别即输入网银认证关键信息,最终导致资金被盗。
" z% a5 \2 v, ~, _; P; Z 对于这种解释,大多数人表示难以接受。中行网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中行网银在大规模的钓鱼案件发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。 / |/ q: n. }" m5 A: f# W1 C
而针对中行网银主推的安全工具动态口令,有中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上述几位受害者也纷纷表示了对动态口令的不满:一分钟的时间做什么都足够了,动态口令这种安全工具本身就有问题。 8 K3 i9 O4 j) s8 U: S
而中行的内部员工也认为,将短信提示、权限设置和口令牌分开更安全,即现在将三者集于一身,全部依赖口令牌,有了口令牌,手机号码可以随便改,限额可以改,那短信提示和权限设置不是形同虚设吗?
; {8 ~$ l- x, Z( ?3 Z/ N+ E$ A |
|
|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com
( 冀ICP备11023231号 )
发表于 2012-3-16 20:08:57
