网上支付安全隐患不容回避

互联网 | 编辑: 杨剑锋 2007-07-17 00:30:00转载

22次消费及转账记录、借记卡和白金卡均未幸免、先后两次报案,2006年12月,朱女士银行账户上的近11万元在几天之内化为乌有,几经投诉之后,最终换得的仅仅是银行出具的一纸“网上银行不存在系统安全问题”的回复。

然而,还有比朱女士更窝火的遭遇。2006年8月,一位支付宝用户的密码被盗,她的信用卡在一夜之间被人在网上连刷了4次,损失数千元。这位用户很快便拨打了银行热线,冻结了信用卡。信用卡中心在查卡后,告之钱还在支付宝中,未被取走。但几天之后,她还是眼睁睁地看着资金被人通过支付宝提了现……

实际上,这绝非个案。2006年,单是上海市公安机关接到的关于银行卡的犯罪报案就达925起,涉及金额1365万元。而在北京、广东、江苏等经济发达地区,同类受害者数量达到上万人。

在网上支付带给人们以便利,并逐渐“飞进寻常百姓家”的同时,它的种种隐患同样暴露得十分彻底。

损失谁来买单?

梳理各种各样的“网银账户被盗”案例之后可以发现,此类事件的最终结果往往大同小异———受害用户陷入和银行责任的纠缠之中,没有休止。

说到底,用户的理由不外乎“我的钱放在银行,银行就有责任保证它的安全”,而银行方面则认为:“银行系统不存在问题,问题出在客户

端。”谁都很无辜,但谁又不肯为消失的钱买单。

2006年12月底,名噪一时的“工行网银受害者集体维权联盟”向上海消费者协会投诉工行,将这种“纠缠”推向顶峰。据了解,这一联盟成员目前已经有近500名,累计被窃金额达数百万元之多。除了工行,其实农行、建行等也有类似的“维权联盟”。

而由于法规的缺位、取证的困难,即便走上诉讼之路,这类案子也很少能得到圆满的解决,受害用户与银行之间的折腾还将延续到法庭之外。

有意思的是,一边是纷纷扰扰的安全之困,一边却是网上支付市场的迅速增长。根据iR e sea rch的调查,2007年第一季度中国第三方支付市场交易额规模达到160亿元,与去年同期相比,增长了4倍多,而支撑如此巨大交易额的主要是4000万网银用户。

当然,这4000万网银用户实际自己的内心也在折腾,受到层出不穷的“网银被盗”案的影响,61%的网民不敢用网上银行,而在2005年,这一数字为50%。

木马背后的“洗钱工厂”

随着电子支付市场的壮大,寄生在它身上的灰色产业链也开始逐渐壮大。据知情人士透露,目前已经发展为包括木马制造、木马传播、密码窃取、销赃等环节在内完整产业链形态。

第一个环节就是木马制作。“就跟硬件产业的代工厂一样,他们只负责制造木马,以每款数百元到数千元的不等价格卖给下游。”该人士透露。

其次便是木马传播。安全专家透露,木马并不主动去感染其他软件,但它可以通过“网站挂马”、文件传输等隐蔽形式,大面积传播感染用户电脑,“这往往比病毒还凶猛。”从G oog le调研全球数以十亿计的网站中抽取的450个网页的分析测试中发现,至少有45万个页面中含有恶意脚本。

接下来是最为关键的是窃取密码,已经中招的用户只要输入银行卡、密码以及身份证等信息,便会发到指定邮箱中。由于分工明确,配合默契,深圳警方破获的一起案件中,犯罪组织一天非法窃取QQ号资料可达到30万个。

最后一个环节是销赃,这一环节一般在第三方交易平台上完成,由于此类平台缺乏监管,操作起来非常自由。“当然,为了安全起见,都需要多做其次转手买卖,比如在网上购买虚拟货币,再卖掉。”上述人士透露。

参与各个环节的人之间只通过互联网联络,记者通过搜索引擎也找到了一些用于联络的封闭论坛,上面充斥着有关网银木马、资料、销赃等销售与合作的信息。

据了解,由于网银盗窃触及刑法,风险极大,因此参与的人数并不多。相比之下,利用木马盗窃QQ、网游装备等虚拟财产的“灰色产业链”,要热闹得多,当然,它涉及的金额实际上并不小。

有人估算,制造“灰鸽子”木马的工作室一天收入可达6万元,一年的收入累计将超过2000万元,而且不用缴税。而作为“灰鸽子”产业链的上游批发商,每年更是可以获利1亿元。

传统杀毒手段失效

绝大多数网银和虚拟财产盗窃案的幕后黑手,是一只只躺在用户电脑里的木马———在W ind ow s下,你的键盘输入任何字母数字,都可能被木马记录下来。

据江民公布的数据显示,从2004年8月到2006年10月期间,全国感染各类网银木马及其变种的用户数量增长了600倍之多,而通过木马窃取QQ密码、网游账户、电子支付口令、电子邮件账号等的案例更是不胜枚举。

与普通病毒一样,目前网民对付木马的主要途径是安装各类杀毒软件和防火墙,这些软件集成了木马查杀功能。除此之外,对于中招者比较多的流行木马,厂商会发布一些专杀工具。

对此,安全专家表示担忧,认为“一刀切”的方法不可取。专家分析,传统杀毒厂商的思路是“置后防护”,即查杀病毒后,电脑进行恢复,而对于木马,如果采用这样的操作方式,等问题解决了,往往用户的经济损失也早已经造成,于事无补。

“国内安全领域需要洗洗脑了,在这个木马当道、以利益为终极诉求的后病毒时代,以往的思路必须改革。”奇虎360安全专家认为,这一领域需要更专注、专业的木马查杀工具。

免费木马查杀护航

2006年中国电子支付的市场规模已突破300亿元大关,到2010年将达2800亿元。从某种角度来看,电子支付产业就是安全产业。要让其走上健康可持续发展的轨道,是一个治理综合工程。

针对查杀思路的滞后,因查杀“流氓软件”而成为国内最大安全辅助软件的360安全卫士推出了集免疫、查杀、防御于一体的三重防护理念。

奇虎的木马查杀功能是集免疫、查杀、防御为一体的三重防护解决方案。“电脑就跟人体一样,要勤打预防针来增强免疫力。”360安全专家形象的比喻,免疫系统可以通过系统漏洞自动修复、拦截钓鱼网站、IE防漏墙技术、U盘病毒免疫等功能让你的电脑增强抵抗力,木马难以入侵;而拥有近10万木马样本库,让360安全卫士基本能保证对已知木马的“斩草除根”;防御系统则可以保护系统关键位置,有效防御未知木马的偷窃行为。

此外,专家认为,网上交易的服务商也该为安全隐患承担自己的责任。各大银行也针对此提供了一些改进方案,比如工商银行提供了U盾、电子银行口令卡;农行推出限额的电子支付卡、K宝;中行推出验证码、交行推出数字证书等。 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑