本页位置: 首页财经中心金融频道

惊魂300秒事件:假冒中行网银血洗客户千万资金(2)

2011年02月21日 14:54 来源:东方网 参与互动(0)  【字体:↑大 ↓小

  先来看看中国银行网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中国银行网银在大规模的“钓鱼案件”发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。

  再来看看中行网银主推的安全工具动态口令。中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满:“一分钟时间足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就有问题。”

  但是国内主流银行中唯一与中行同样使用动态口令的光大银行网银,却一直在用户中获得不错的美誉度,类似遭遇钓鱼网站攻击的事件也少有。

  业内一位不愿具名的专家透露,问题不在动态口令,而在于中国银行动态口令的设计存在一个明显漏洞。

  他表示,光大银行的动态口令生成器命名为阳光令牌,用户在登录时需要输入随机口令,转账时还需要再度输入事先设置的转账密码,两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账,一旦遭遇钓鱼网站拦截或口令牌遗失,客户账户安全就难以保障。 

  中行紧急行动再次暴露隐患

  层出不穷的诈骗案件也引起了中国银行的重视。如今,他们已在网银转账业务上增设防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送交易口令确认码,只有用户确认后,才能转账,这种方法确实在一定程度上遏制了此类案件的蔓延,尤其是大额诈骗案件。

  但是涉案金额较小的假冒中行网银案件依然层出不穷。上文所述黄先生表示,如果中行不从根本上改进其网银的设计,仅仅采取降低单笔转账金额的方法,依然是治标不治本。

  不可否认,增加转账过程中的短信认证环节确实发挥了很大的作用。可是紧随其后的是花样翻新的犯罪手段,中行网银的另一漏洞浮出水面。

  福州的张先生在2月14日亲身经历了类似的诈骗案件,然而有所不同的是,在中行已经降低网银转账单笔最高限额至500元并增加了一道防火栓后,他账户内的2万余元依然一次性通过手机银行被窃走。

  张先生十分不解,自己从未开通过手机银行,为何犯罪分子能借助这种渠道完成转账,中行工作人员回应称,中行手机银行可以直接在网上银行登录页面上开通,犯罪分子盗取网银后直接开通了手机银行,在没有手机验证码的情况下依然成功转账。

  张先生质疑为何手机银行可以不需要任何证件就随意开通,在近期网银案件如此猖獗的情况下,银行为何还是如此考虑不周。中行工作人员对此回应称这确实是一个漏洞,目前中行手机银行已停止通过网银直接开通。

  然而记者发稿前致电中行客服热线,工作人员称这样的开通方式依然可以办理。

  中行陷风暴眼权责认定难

  在系列案件集中爆发后,中行网银站在了舆论的风暴眼。用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。

  其他各大银行也风声鹤唳,纷纷重点开展网银使用的安全风险警示。

  现在拨打中行的客服电话,等待铃声铺天盖地尽是网银安全宣传,其官方网站也增加了相应版块,但这一切还是没有平息此起彼伏的质疑之声,

  同为钓鱼网站诈骗的受害者,来自北京的李小姐表示,中行网银的问题其实存在了很久,去年315投诉就有很多。2010年12月各地此类案件也已非常普遍,可是并没有引发中行的重视,直到1月20日才进行了系统改进,这样的反应速度实在令人失望。

  深圳的受害者黄先生也提出,事态发展已经比较严重,中行应该及时建立应急反应系统,在配合警方破案方面应该更加及时和积极主动,保护用户的权益。

  然而,更加激烈的还在后面。

  理财周报记者了解到,遭到钓鱼网站诈骗的部分中行客户,已经开始向中国银行申请索赔,理由是中行网银系统存在漏洞以及在保护客户资金安全工作上的失职,但持续无果。他们中的很多人酝酿抱团取暖,继续争取获得赔偿。

  中行相关负责人对此回应,网银用户遭到犯罪分子欺诈,主要是防范意识不强,和网上操作的不规范造成,银行有义务配合警方破案,但是不应当承担赔偿。

  中国金融认证中心的相关负责人也表示,通过手机短信,银行用户上当受骗进入钓鱼网站进行交易,这一欺诈主体不是银行、也不是银行网站,银行应做的是尽到警示、提醒的责任,避免用户上当受骗。

  北京某律师事务所工作人员也坦言了自己的看法:“虽然从这些案件的作案方法上来看,银行网银系统应该是确实存在某种漏洞,因为银行交易系统存在安全性能问题致使消费者账号信息被窃取而丢失财产,则银行未尽到协议中约定的安全交易保障义务,应当根据其过错程度承担相应民事责任。然而实际操作中,在判定是客户端原因还是银行系统原因时,鉴于技术问题的高壁垒,用户在举证上明显处于不利地位,采取协商赔偿的方式可能更好。(冀欣)

参与互动(0)
【编辑:孟欣】
 
直隶巴人的原贴:
我国实施高温补贴政策已有年头了,但是多地标准已数年未涨,高温津贴落实遭遇尴尬。
${视频图片2010}
本网站所刊载信息,不代表中新社和中新网观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
[网上传播视听节目许可证(0106168)] [京ICP证040655号] [京公网安备:110102003042-1] [京ICP备05004340号-1] 总机:86-10-87826688

Copyright ©1999-2024 chinanews.com. All Rights Reserved

Baidu
map