(一)网上个人银行安全之大众版
本周二,据中国银联总部一位不愿透露姓名的高层人士透露,于6月29日截止意见征集的由央行发布的《电子支付指引(征求意见稿)》的最终定稿目前还没有下发到银联。这表明征求意见稿中网银被盗的大众版用户将自担责任一条还没有最终定论。
因此,大众版用户在面对如此严峻的失衡风险时,是应该不以为然地继续享受着它带来的种种便捷,还是为保障自己的利益草木皆兵似的弃之不用呢?
自今年6月以来,就有连续多起网银被盗的报道见诸于报端及各大网站。就在上周三有报道称,在上海又有数十位客户收到一些不法分子以几大发卡银行、银联或是所谓“银行联合管理局”的名义,发送的诈骗短信。短信称,持卡人的卡号因泄露、被复制、盗用或正在被人冒用消费等,要求持卡人尽快与指定电话联系确认。但这仅仅是众多盗取网银账号中最老套的一种,具体还有如下手段:利用制做的假银行网站、电子邮件、短信,甚至是电话等方式来盗骗取银行密码及帐户。这些不法分子在互联网上建立一个假网站,或发送电子邮件,假借有奖促销活动的名义要求用户通过邮件发送账号和密码,或是到指定的假网站上输入银行账号和密码;他们还以银行的名义暗示现在发生了一个可能威胁用户账户的紧急情况,诱使人们提供账号和密码。而且,即使用户没有依照电子邮件或假网站的要求提供个人资料,但点击了邮件或假网站上的链接,也有可能已在不知情的情况下安装木马程序或计算机病毒,使网上银行账号和密码被他人窃取。
网上银行两大安全隐患
本周二下午,中国信息安全产品测评认证中心系统工程实验室主任江长青在接受记者采访时称,上述网上银行被盗事件的发生,主要是因为目前国内的网上银行存在着如下两大安全隐患。
一是网银自身安全。包括技术设计、业务应用和安全管理三个方面:在技术设计上,银行本身不存在大的技术管理上的缺陷。但是目前的识别都是由银行对客户端的单向识别,这种单向识别就导致了信息的不对等,只有银行可以识别用户的身份而用户无法识别银行的身份,而用户则无法识别真假银行网站;在业务应用上,网上支付认证方式存在的漏洞。目前国内大多银行的网上支付业务只要用户输入银行帐号及密码即可,导致了网银被盗后很便捷地通过网上购物的方式盗走;在安全管理上,银行应该尽可能多地主动注册与自家网站相近似的、差别小的域名,从而预防用户误判。或者可以通过国家立法或与域名管理机构协商,对于与银行注册网站相近的网站严格把关,一律不予注册。而目前国内各家银行还没有这么做。
二是用户缺乏自我保护意识,这也是目前网银被盗的最主要原因。一些制造虚假网站的不法份子,正是利用了公众对网银的信任,去骗取储户账号信息。此外,由于用户所使用的计算机的系统安全及上网应用安全防范措施较差导致口令及密码被盗。其一是自己在使用过程中被人偷看后窃取;其二是在网上登录输入账号信息过程中被 窃听(监控)。因为网上信息的传递必须经过路由器和交换机,黑客可以通过在网络的通道口上安装嗅探器(又叫监控器,一种软件程序),就可以把被监控对象登录网银的记录通过数据包的方式下载下来,就可以窃取用户的储蓄信息。
什么是大众版?
大众版个人网上银行简而言之就是指仅仅拥有网上银行账号id及密码的安全级别较低的银行业务版本。
记者字上周末起采访了本市的中国银行、工商银行、建设银行、招商银行、交通银行、民生银行、华夏银行及北京银行的营业网点,通过调查了解到,除中行和华夏两家需要前往营业厅办理开通外,其他的均可直接在网上开通。这8家银行的大众版(普通)用户均能使用的是网上查询账户余额及明细,其中工行、民生、华夏3家还可以办理网上支付、活期转定期、手机缴费等业务,而中行的网银用户除前所述外还可以进行外汇买卖、账中划转。正是基于大众版办理及使用的便捷,所以尽管大众版用户目前存在着种种安全隐忧,但较之专业版它却拥有不可企及的使用人群。
条例缺失自担责任
本周三上午,记者采访了中国金融认证中心(cfca)总经理李晓峰,采访中他告知,目前国内的种种骗盗网银的手段针对的都是大众版的用户,因而被盗的也都是大众版用户。而尚未出现一例专业版被骗盗的事件,这是因为他们多一重证书的保护,因为光有账号和密码没有认证证书是无法办理网上银行相关业务的。
作为银行储户人们最关心的是银行存款网上被盗,银行应不应该承担相应的责任呢?记者于上周日起对央行及上述本市的8家银行的营业网点进行了调查采访,希望能对广大读者在今后的网银使用中有所帮助。
依据6月30日由央行制定的完成意见征集的《电子支付指引(征求意见稿)》的第四十五、四十六条中规定:“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况,银行将承担责任。同时,如果该数字证书由合法的第三方认证服务机构提供,且第三方认证服务机构不能证明自己无过错的,将由其承担相应责任。而“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”按照银行的解释,这意味着相对专业版用户由或大众版(普通)个人网上银行用户的资金因网银密码被泄露导致的存款通过电子支付的方式被盗取的银行将免责。
认证中心江主任表示,网银对大众版产生的问题,用户自担责任的规定,在国家法律的框架内是合理的,但从最终用户服务方面还要多全方位改进,从技术上改进保护网银系统的安全以及从用户到终端的端到端的安全。而网银的安全有赖于整个互联网及网上交易的安全、国家整治网络经济犯罪法律法规的完善、国家对公众信息服务安全投入的加大。其呼吁建立类似于天气预报般的网络安全预警系统、提供安全的网络环境、银行与个人用户有更恰当的责任分配,而银行应多承担一定的网银风险或由公共的社会保障机制来承担。
上述8家银行的营业网点柜台业务员在记者调查时表示,若大众版(普通版)个人网上银行业务因用户自身的原因导致存款被盗的银行不负赔偿责任,银行只对业务的使用风险做出提示。其中中国银行的营业员更清楚的回答到因为这是银行的一项业务,银行只负责业务的流程,对于使用的安全没法保障(中行、工号:20648)。并表示若不做外汇买卖、帐中划转等业务需求,一般就没必要开通该业务。
大众版用户面临五类威胁
本周一下午,瑞星公司研发部副总经理毛杰在接受记者采访时称,针对网银大众版用户的盗取途径大致有五类,这些都属于钓鱼类网络威胁,也是属于社会工程学的一种。1是通过制作假银行网站进行诱骗;2是通过冒充银行发送电子邮件实行诱骗;3是假借银行之名发送短信诱骗;4是假冒银行客服打电话套取;5是通过网络发起攻击向计算机种植木马及间谍软件以盗取。被装入了木马或间谍程序,并不是说黑客能借此直接看到pc屏幕上的内容(你在相关截面输入的密码信息)。比方说首先,在对计算机注入木马程序后,驻留在中招计算机系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给盗银贼,他们再具此进行反读取以破译,钱便被黑走了。其次,由前者衍生出的截取键盘记录法(键盘钩子)黑客在键盘敲击给系统进行信息处理时,利用原先在系统接口处挂上的程序或驱动实现盗取。它不象远程控制一样直接操控你的pc,而是等待机会,一旦得到银行交易的信息,就自动被发送到他预先指定的信箱。但他同时表示这并不说,计算机一旦被种了木马、间谍软件的就一定会被盗,因为木马和间谍程序有很多种,不全是针对网络银行的,只是被盗的风险会大很多。
