目前,安全问题已成为我国网上银行业务继续普及和深入发展的最大瓶颈,想要突破这个瓶颈,需要中国各大银行自身在技术和管理上不断努力和创新,需要网上银行产业链上的各参与机构进一步的重视和合作,尤其需要相关金融监管部门能对网民的网上银行安全和权益问题给予法律保护和支持,网络银行的安全问题已经演变成了一个系统问题。
3月底爆出的上海建设银行卡用户由于进行网络银行业务导致账号被盗,16万现金被转账的案件再次给网络银行的安全问题敲响了警钟。到如今,尽管案件已经告破,但是在此案件中,网银用户在采用了数字证书签名后账号依旧被盗的事实,不得不让人产生对网银安全性的再次怀疑。
安全问题成网银发展掣肘
自2006年起,关于网络银行的安全问题严重性的报道和争执就有愈演愈烈的趋势。在2006年,最受关注的网银安全事件发生在工商银行。多名工商银行持卡客户发生网上资金被盗事件,涉及20多个省份。一些受害者还自发成立了“网银受害者集体维权联盟”,认为网上银行存在交易风险,要求工商银行对受害者的损失进行赔偿,并呼吁银行和公安机关完善网银系统,建立快速反应机制,集中技术和警力对网银犯罪进行打击。
在网络银行业务日渐发展的同时,其安全性问题已经成为制约网银发展的主要因素。中国金融认证中心发布的《2006中国网上银行调查报告》显示,2006年,网上银行使用人数同比增长了1.7倍,但是仍旧有61%的非网银用户由于怀疑网银安全性而不打算使用或不敢使用网上银行。“网民不使用网上支付的最主要原因是担心交易的安全性和可靠性,一是对网上支付的安全性表示怀疑,主要体现在担心泄露个人私密和错误操作导致对自己造成不必要的损失;二是担心个人账号等信息为人利用盗取,从而造成严重损失等。”针对网络银行安全问题,《2006年中国网上支付报告》做出了如此解释。
网络“黑手”层出不穷
安徽的曹先生一直是网上购物的拥趸。今年7月,曹先生在淘宝网购买了一台Sony游戏主机,卖家发给曹先生一个网址,请曹先生注册发货订单号码,待曹先生注册完毕,又要求曹先生点击订单激活网页,并在这个网页上输入网络银行卡号和密码。
“这笔交易是早上八点的时候进行的,下午五点我查了自己的网络银行账户,就发现账号里少了3000多元。”曹先生说。曹先生后来又查了自己的网络银行提款历史记录,发现很多次账号被转账的记录,让曹先生百思不得其解的是,账号历史交易记录中都显示没有转账成功,可是钱确实没了。
满头雾水的曹先生将此事反映到了315投诉网,工作人员给曹先生的解释是,现在许多网络诈骗分子在一些合法正规的电子商务网站上租赁一个网页,在上面发布虚假信息,进行诈骗。而出租网页的公司却只负责收取租金,并没有去审查登载的内容是否属实,这就给不法分子留下诈骗的可乘之机。此外,还有一些犯罪分子用虚假身份去建立网站或网页,这对侦破、取证工作造成很大难度。“心里有阴影了,从那件事以后,在网上购物都只敢选‘货到付款’的方式。”曹先生说。
买家被骗,经常进行网上银行转账交易的卖家更是不敢掉以轻心。在淘宝开店的网友“雅室铭”告诉记者,现在出现了针对卖家的网络银行账户骗子,同样通过假链接作案。“他们先是说要买你的物品,要求你提供银行账户,发到他们的邮箱,然后过两天你会收到一封邮件,说款已汇给你(而且上面标明是通过银行留言系统给你留言的),页面上面有自助银行的假链接,一般如果不注意的话就会直接登录查看银行账户,如果那样的话就上当了。”“雅室铭”称,自己从来都不会在网银账户上存过多的钱。
“目前的网络银行欺诈、盗窃手段可以用层出不穷来形容,而且往往是几种手段交错在一起使用,令网络银行用户防不胜防。”一位负责网络银行安全的业内人士指出,目前对网络银行的攻击主要有钓鱼网站、嵌入浏览器执行、键盘记录、甚至窃取数字证书文件等途径。
钓鱼网站的攻击是针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页,然后给假网页申请一个酷似官方网址的域名,等待用户由于拼写错误进入欺诈网页,或者通过精心制作的电子邮件,以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗,他们的账号、密码等隐私数据都会立即被发送到不法分子手中。
“网银大盗”木马是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银大盗”在监测到用户正在访问某个使用了安全登录控件的地址时,就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面,但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至能够完全控制一次交易。此外,2004年11月的“网银大盗Ⅱ”木马则是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口,如果用户访问到网银系统登录页面,木马就开始记录用户从键盘上输入的内容,获取网银账号和密码。
即便是被看做网银安全“另一把锁”的数字证书,同样不能完全保证网银安全。有些系统允许网银用户把数字证书保存为硬盘文件,但是,“网银木马是具有复制数字证书的能力的,只要数字证书代码是在电脑内存中运行,黑客就完全可以伪造用户进行登录。”一位业内人士指出。而今年3月份发生在上海的建设银行网络银行被盗事件,就是在用户使用了数字证书后依旧被盗的案例。
针对用户的网银安全问题层出不穷,针对网银系统服务器端更为老练的攻击也日渐浮出水面。据网络安全专家介绍,过去数个月中,国际上银行信息诈骗手段已经出现了针对网银系统服务器的新方式。诈骗者首先控制一个真正的官方网站,然后诱导客户输入自己的银行信息,但将这些信息存储到诈骗者控制的地点。
不仅是在中国,网银安全问题同样困扰着世界上其他国家。在过去一年中,世界最大的几家网络银行,如Barclays、LloydsTSB和NatWest,都受到了此类互联网欺诈的冲击,而作为第三方支付平台的eBay在线支付部门Paypal则是另外一个攻击目标。
网银安全谁之过
“网银的安全性问题是制约电子支付平台发展的首要问题,如果大众对采用网银支付心存疑虑的话,会使电子支付平台业务发展受到很大影响。”网银在线总裁赵国栋指出,网银安全对网络银行发展的影响已经越来越明显。
对于尚处于发展初级阶段的中国网络银行业务而言,安全问题的显现无疑给网络银行强劲发展的势头蒙上了一层阴影。易观国际分析师宋星指出,用户不用网银的原因有两大方面,一是安全问题,二是对于网银的操作体验,用户使用感觉比较麻烦。而同时也正是这种体验问题,导致了用户对网银安全问题的担忧,所以这二者都是有关系的。“我自己也用网银,但是用的时候也要先查杀病毒,自己也很小心。”宋星说。
用户小心翼翼,而已经因网银安全而遭受损失的受害者更是叫苦不迭,并把问题产生的矛头指向了网银系统以及处于系统服务器端的商业银行。“我们都是由于非自身原因,被罪犯利用工行网银漏洞造成牡丹灵通卡存款被盗的。我们向工行维权,工行不是不予接待;就是推说我们登录假网站、密码保管不善和电脑病毒造成的,把我们妖魔化为弱智群体,然后把我们一脚踢到公安机关……既然工行号称其网银系统安全可靠,可以有效对付木马等病毒,那怎么受害者找上门时就推诿成客户中了木马等病毒呢?”在工商银行受害者集体维权联盟网站上,受害者做了如此声明。
“工行有2000万网银用户,如果工行网银系统存在漏洞,那么受害的客户将十分庞大,后果十分严重。目前,发生资金被盗的客户不到工行网银客户的十万分之一,属个别现象……客户资金损失的造成都是在用户端形成的,而非是通过攻击或进入银行的系统造成的。”对于工商银行受害者集体维权联盟的申诉,工商银行负责人做出了如此解释。
同样的争执也发生在第三方支付平台方面。国内从1998年出现第一家第三方支付公司开始,到目前已经有大大小小几十家。由于这些第三方支付公司的规模大小、技术实力参差不齐,鱼目混杂,其中就已经存在着太多的经营风险和技术风险,给消费者的安全购物带来了很大隐患。在一些第三方支付平台上,甚至出现了只要有账号持有方的身份证复印件即可修改支付账号和密码的事件发生。
网友评论