网络银行安全魔高?道高?

    [晴 May 6, 2007 10:30 | by ]
月底爆出的上海建设银行卡用户由于进行网络银行业务导致账号被盗,16万现金被转账的案件再次给网络银行的安全问题敲响了警钟。到如今,尽管案件已经告破,但是在此案件中,网银用户在采用了数字证书签名后账号依旧被盗的事实,不得不让人产生对网银安全性的再次怀疑。
目前,安全问题已成为我国网上银行业务继续普及和深入发展的最大瓶颈,想要突破这个瓶颈,需要中国各大银行自身在技术和管理上不断努力和创新,需要网上银行产业链上的各参与机构进一步的重视和合作,尤其需要相关金融监管部门能对网民的网上银行安全和权益问题给予法律保护和支持,网络银行的安全问题已经演变成了一个系统问题。

  3月底爆出的上海建设银行卡用户由于进行网络银行业务导致账号被盗,16万现金被转账的案件再次给网络银行的安全问题敲响了警钟。到如今,尽管案件已经告破,但是在此案件中,网银用户在采用了数字证书签名后账号依旧被盗的事实,不得不让人产生对网银安全性的再次怀疑。

  安全问题成网银发展掣肘

  自2006年起,关于网络银行的安全问题严重性的报道和争执就有愈演愈烈的趋势。在2006年,最受关注的网银安全事件发生在工商银行。多名工商银行持卡客户发生网上资金被盗事件,涉及20多个省份。一些受害者还自发成立了“网银受害者集体维权联盟”,认为网上银行存在交易风险,要求工商银行对受害者的损失进行赔偿,并呼吁银行和公安机关完善网银系统,建立快速反应机制,集中技术和警力对网银犯罪进行打击。

  在网络银行业务日渐发展的同时,其安全性问题已经成为制约网银发展的主要因素。中国金融认证中心发布的《2006中国网上银行调查报告》显示,2006年,网上银行使用人数同比增长了1.7倍,但是仍旧有61%的非网银用户由于怀疑网银安全性而不打算使用或不敢使用网上银行。“网民不使用网上支付的最主要原因是担心交易的安全性和可靠性,一是对网上支付的安全性表示怀疑,主要体现在担心泄露个人私密和错误操作导致对自己造成不必要的损失;二是担心个人账号等信息为人利用盗取,从而造成严重损失等。”针对网络银行安全问题,《2006年中国网上支付报告》做出了如此解释。

  网络“黑手”层出不穷

  安徽的曹先生一直是网上购物的拥趸。今年7月,曹先生在淘宝网购买了一台Sony游戏主机,卖家发给曹先生一个网址,请曹先生注册发货订单号码,待曹先生注册完毕,又要求曹先生点击订单激活网页,并在这个网页上输入网络银行卡号和密码。

  “这笔交易是早上八点的时候进行的,下午五点我查了自己的网络银行账户,就发现账号里少了3000多元。”曹先生说。曹先生后来又查了自己的网络银行提款历史记录,发现很多次账号被转账的记录,让曹先生百思不得其解的是,账号历史交易记录中都显示没有转账成功,可是钱确实没了。

  满头雾水的曹先生将此事反映到了315投诉网,工作人员给曹先生的解释是,现在许多网络诈骗分子在一些合法正规的电子商务网站上租赁一个网页,在上面发布虚假信息,进行诈骗。而出租网页的公司却只负责收取租金,并没有去审查登载的内容是否属实,这就给不法分子留下诈骗的可乘之机。此外,还有一些犯罪分子用虚假身份去建立网站或网页,这对侦破、取证工作造成很大难度。“心里有阴影了,从那件事以后,在网上购物都只敢选‘货到付款’的方式。”曹先生说。

  买家被骗,经常进行网上银行转账交易的卖家更是不敢掉以轻心。在淘宝开店的网友“雅室铭”告诉记者,现在出现了针对卖家的网络银行账户骗子,同样通过假链接作案。“他们先是说要买你的物品,要求你提供银行账户,发到他们的邮箱,然后过两天你会收到一封邮件,说款已汇给你(而且上面标明是通过银行留言系统给你留言的),页面上面有自助银行的假链接,一般如果不注意的话就会直接登录查看银行账户,如果那样的话就上当了。”“雅室铭”称,自己从来都不会在网银账户上存过多的钱。

  “目前的网络银行欺诈、盗窃手段可以用层出不穷来形容,而且往往是几种手段交错在一起使用,令网络银行用户防不胜防。”一位负责网络银行安全的业内人士指出,目前对网络银行的攻击主要有钓鱼网站、嵌入浏览器执行、键盘记录、甚至窃取数字证书文件等途径。

  钓鱼网站的攻击是针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页,然后给假网页申请一个酷似官方网址的域名,等待用户由于拼写错误进入欺诈网页,或者通过精心制作的电子邮件,以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗,他们的账号、密码等隐私数据都会立即被发送到不法分子手中。

  “网银大盗”木马是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银大盗”在监测到用户正在访问某个使用了安全登录控件的地址时,就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面,但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至能够完全控制一次交易。此外,2004年11月的“网银大盗Ⅱ”木马则是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口,如果用户访问到网银系统登录页面,木马就开始记录用户从键盘上输入的内容,获取网银账号和密码。

  即便是被看做网银安全“另一把锁”的数字证书,同样不能完全保证网银安全。有些系统允许网银用户把数字证书保存为硬盘文件,但是,“网银木马是具有复制数字证书的能力的,只要数字证书代码是在电脑内存中运行,黑客就完全可以伪造用户进行登录。”一位业内人士指出。而今年3月份发生在上海的建设银行网络银行被盗事件,就是在用户使用了数字证书后依旧被盗的案例。

  针对用户的网银安全问题层出不穷,针对网银系统服务器端更为老练的攻击也日渐浮出水面。据网络安全专家介绍,过去数个月中,国际上银行信息诈骗手段已经出现了针对网银系统服务器的新方式。诈骗者首先控制一个真正的官方网站,然后诱导客户输入自己的银行信息,但将这些信息存储到诈骗者控制的地点。

  不仅是在中国,网银安全问题同样困扰着世界上其他国家。在过去一年中,世界最大的几家网络银行,如Barclays、LloydsTSB和NatWest,都受到了此类互联网欺诈的冲击,而作为第三方支付平台的eBay在线支付部门Paypal则是另外一个攻击目标。

  网银安全谁之过

  “网银的安全性问题是制约电子支付平台发展的首要问题,如果大众对采用网银支付心存疑虑的话,会使电子支付平台业务发展受到很大影响。”网银在线总裁赵国栋指出,网银安全对网络银行发展的影响已经越来越明显。

  对于尚处于发展初级阶段的中国网络银行业务而言,安全问题的显现无疑给网络银行强劲发展的势头蒙上了一层阴影。易观国际分析师宋星指出,用户不用网银的原因有两大方面,一是安全问题,二是对于网银的操作体验,用户使用感觉比较麻烦。而同时也正是这种体验问题,导致了用户对网银安全问题的担忧,所以这二者都是有关系的。“我自己也用网银,但是用的时候也要先查杀病毒,自己也很小心。”宋星说。
  
  用户小心翼翼,而已经因网银安全而遭受损失的受害者更是叫苦不迭,并把问题产生的矛头指向了网银系统以及处于系统服务器端的商业银行。“我们都是由于非自身原因,被罪犯利用工行网银漏洞造成牡丹灵通卡存款被盗的。我们向工行维权,工行不是不予接待;就是推说我们登录假网站、密码保管不善和电脑病毒造成的,把我们妖魔化为弱智群体,然后把我们一脚踢到公安机关……既然工行号称其网银系统安全可靠,可以有效对付木马等病毒,那怎么受害者找上门时就推诿成客户中了木马等病毒呢?”在工商银行受害者集体维权联盟网站上,受害者做了如此声明。

  “工行有2000万网银用户,如果工行网银系统存在漏洞,那么受害的客户将十分庞大,后果十分严重。目前,发生资金被盗的客户不到工行网银客户的十万分之一,属个别现象……客户资金损失的造成都是在用户端形成的,而非是通过攻击或进入银行的系统造成的。”对于工商银行受害者集体维权联盟的申诉,工商银行负责人做出了如此解释。

  同样的争执也发生在第三方支付平台方面。国内从1998年出现第一家第三方支付公司开始,到目前已经有大大小小几十家。由于这些第三方支付公司的规模大小、技术实力参差不齐,鱼目混杂,其中就已经存在着太多的经营风险和技术风险,给消费者的安全购物带来了很大隐患。在一些第三方支付平台上,甚至出现了只要有账号持有方的身份证复印件即可修改支付账号和密码的事件发生。

  “在安全环节上,信息的传递三个方面:信源、信宿和信道。网银安全问题80%是发生在信源方面,即用户客户端方面,而在信宿,即银行方面,其实是很少存在问题的,这也是为什么去年比如工行出现那么多网银安全问题,而银行不肯承担责任的重要原因。”宋星指出,银行可能会有所过于渲染用户的控诉,用户的确需要保护,但是责任也要明确,毕竟第一责任是在用户客户端。当然,银行也有告知的责任,在对使用网络银行的风险性方面,银行的告知不能含糊。一位业内人士同样指出,银行在网银安全方面的责任没有旁贷的权利。“目前尽管众多银行都推出了更为严密的防护措施,但是网银事故的频繁爆发,主要是早年某些银行为了吸引用户使用,扩大市场,推出了最简单的‘账号 + 密码’形式的‘大众版个人网银’所留下的后遗症。”

  数字证书的使用同时也面临着混乱的现状。中国金融认证中心总经理李晓峰指出,目前仍然有个别银行用自建CA(数字证书)在向社会公众提供认证服务。即使一些客户使用了数字证书,但用的数字证书是银行自建CA发放的,而不是第三方安全认证机构的。“这意味着,银行既当运动员又做裁判员,有失公允。”李晓峰说。

  用户网银账号被盗之后银行反应能力的迟缓往往导致了用户更大的损失。安徽的曹先生在发现自己的账号被盗后,立即打电话给银行。“但是客服小姐回复说必须找安保部门,安保部门说得找业务部门,业务部门又说打客服电话,就是相互在踢皮球。”曹先生说,自己要求银行尽快提请司法机关介入,但是银行方面称提请司法机关介入必须用户自己提出。“银行处理网银安全事件的流程太混乱了,从发现账号被盗到立案做笔录,我整整花了3个小时。”曹先生说。

  “从已发生多例的网上银行资金被盗事件来看,有关商业银行的网上银行服务显然不符合保障财产安全的要求。”北京展达律师事务所律师周泽指出,《消费者权益保护法》第十八条规定,“经营者应当保证其提供的商品或者服务符合保障人身、财产安全的要求。对可能危及人身、财产安全的商品和服务,应当向消费者做出真实的说明和明确的警示,并说明和标明正确使用商品或者接受服务的方法以及防止危害发生的方法”。因此,客户网上银行被盗,银行应承担赔偿责任。

  网上银行频繁遭到攻击势必影响网民的消费热情。
  
  “网银安全的问题主要出在‘人’身上。”一位业内人士指出,网银的安全性,就技术本身(多重防火墙、CA认证、USB Key客户证书、SSL安全加密等)而言,其实“几乎”没有太多问题。问题主要出在参与者,除了用户对网络信息安全的了解程度外,银行方面工作的严谨程度、审核的规范程度、各种风险管理机制的合理性和可操作性等,都对网银的安全程度起着重要的影响。“目前的网银系统的主要问题是,用户安全性过于倚赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取,因此这种‘信任用户’的安全模式设计是不合理的。”

  安全来源于多方配合

  那么,网络银行如何才能“天下无贼”?李晓峰指出,保证网络银行的安全,用户需要提高防范意识,而银行和网银系统其他相关链条同样需要通力配合。“一个安全而完整的交易应该满足4个因素:1.交易双方的身份真实性,即身份的确认;2.信息的保密性,即保证信息不能泄露;3.信息的完整性,即保证信息不能被篡改;4.交易的不可否认性。单纯依靠用户并不能实现这4点。”李晓峰说。

  赵国栋指出,对于银行来说,尽量不要使用ATM密码作为身份认证方式,积极推广数字证书的认证方式;加强对用户的安全意识教育;对网上支付、转账等操作,进行金额限制,小金额的操作可以通过密码,大金额的操作就要通过数字证书方式,这样会大大降低金融风险。

  李晓峰则强调了第三方安全认证机构的重要性。“在网上银行这种向社会公众提供的服务中,为保证网上银行安全性、公正性,在使用数字证书时,必须由合法的、权威的第三方安全认证机构CA为交易双方签发数字证书,对签名人的身份进行认证,为交易双方提供信任保证。”李晓峰说。

  而对于遭受攻击最为严重的网银用户,业内人士指出,用户更必须从多方面加强防范。“对于用户来说,增强安全意识,不要在非银行的网站上输入您的银行卡号和密码;尽量不要在公共场所输入银行密码;网上银行的密码要设置复杂一些,不要使用生日等容易被猜出的密码,隔一定时期更换一次密码;使用网上支付的时候,尽量使用数字证书等安全的身份认证方式。”网银在线赵国栋说。

  一系列的保护计算机安全的方法被认为是必不可少的。专业人士指出,用户在使用网络银行时,要注意登录正确网址,访问银行网站时直接输入网址登录,不要采用超级链接方式间接访问银行网站。此外,用户必须下载并安装由银行提供的用于保护客户端安全的控件,定期下载安装最新的操作系统和浏览器安全程序或补丁,安装并及时更新杀毒软件,不要开启不明来历的电子邮件。
Tags: ,
News | Comments(0) | Trackbacks(0) | Reads(10235)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive