为什么会发生骗盗
上周二下午,中国信息安全产品测评认证中心系统工程实验室主任江长青在接受记者采访时表示:上述网上银行被盗事件的发生,主要是因为目前国内的网上银行存在着如下两个问题。
一是网银自身安全包括技术设计、业务应用和安全管理三个方面。在技术设计上,银行本身不存在大的技术管理上的缺陷。但是目前的大众版都是由银行对客户端的单向识别,这种单向识别就导致了信息的不对等,只有银行可以识别用户的身份而用户无法识别银行的身份,用户就无法识别真假银行网站。在业务应用上,网上支付认证方式存在漏洞。目前国内大多银行的网上支付业务只要用户输入银行账号及密码即可,导致了账号及密码很便捷地通过网上购物的方式被盗走。在安全管理上,银行应该尽可能多地主动注册与自家网站相近似的、差别小的域名,从而预防用户误判。或者可以通过国家立法或与域名管理机构协商,对于与银行注册网站相近的网站严格把关,一律不予注册。而目前国内各家银行还没有或也没有条件这么做。
二是用户缺乏自我保护意识,这也是目前网银被盗的最主要原因。一些制造虚假网站的不法分子,正是利用了公众对网银的信任,去骗取储户账号信息。此外,由于用户所使用的计算机的系统安全及上网应用安全防范措施较差导致口令及密码被盗。其一是自己在使用过程中被人偷看后窃取;其二是在网上登录输入账号信息过程中被窃取(监控)。因为网上信息的传递必须经过路由器和交换机,黑客可以通过在网络的通道口上安装嗅探器(又叫监控器,一种软件程序),就可以把被监控对象登录网银的记录通过数据包的方式下载下来,就可以窃取用户的储蓄信息。
为什么专业版至今是零骗盗
本周三上午,记者采访了中国金融认证中心(CFCA)总经理李晓峰,采访中他告知,目前国内的种种骗盗网银的手段针对的都是大众版的用户,因而被盗的也都是大众版用户。而尚未出现一例专业版被骗盗的事件,这是因为他们多了一重证书的保护。因为光有账号和密码没有认证证书是无法办理网上银行相关业务的。
该中心一位银行业专家介绍,大众版网上银行是指用户凭账号和密码口令在网上办理的网银业务。
记者在调查了中国银行、工商银行、建设银行、招商银行、交通银行、民生银行、华夏银行及北京银行等8家的网上银行后了解到,这8家的大众版(普通)用户除中行和华夏两家需要前往营业厅办理开通外,其他的均可直接在网上开通。其中工行、民生、华夏3家除能在网上查询账户余额及明细,还可以进行网上支付、活期转定期、手机缴费等,而中行的网银用户除前面所述外还可以进行外汇买卖、账中划转。尽管大众版用户目前存在着种种安全隐忧,但目前国内网上银行的用户中,还是使用大众版的居多,主要原因还是基于大众版的办理及使用相对于专业版的开通流程更为便捷。
为什么骗盗后责任认定有区别
作为银行储户,人们最关心的是银行存款网上被盗,银行应不应该承担相应的责任呢?
依据6月30日由央行制定的完成意见征集的《电子支付指引(征求意见稿)》的第四十五、四十六条中规定:“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况,银行将承担相关责任。在没有直接责任的情况下,银行只被要求“积极配合客户查找原因,尽量减少客户的损失”。简单地说,“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户。客户使用网上银行专业版进行网上购物,发生的账户盗用损失由银行买单;而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户。客户使用网上银行大众版进行网上购物,只要银行系统不存在问题,无法追回的账户盗用损失由客户自己承担。而“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”此外,如果该数字证书由合法的第三方认证服务机构提供,且第三方认证服务机构不能证明自己无过错的,将由其承担相应责任。
目前,绝大多数银行的专业版网上银行都使用了由中国金融认证中心颁发的数字证书,以保证认证的第三方性,为一旦发生网上交易纠纷时依法进行仲裁提供有效的证据。
上述8家银行的营业网点柜台业务员在记者调查时表示,若大众版(普通版)个人网上银行业务因用户自身的原因导致存款被盗的,银行不负赔偿责任,银行只对业务的使用风险做出提示。本周二,中国银联总部一位不愿透露姓名的高层人士在接受本报记者采访时透露,征求意见稿中网银被盗的大众版用户将自担责任一条还没有最终定论。
江长青主任表示,网银对大众版产生的问题,用户自担责任的规定,在国家法律的框架内是合理的,但从最终用户服务方面还要全方位改进,从技术上改进保护网银系统的安全以及从用户到终端的端到端的安全。而网银的安全有赖于整个互联网及网上交易的安全、国家整治网络经济犯罪法律法规的完善、国家对公众信息服务安全投入的加大。其呼吁建立类似于
天气预报般的网络安全预警系统、提供安全的网络环境、银行与个人用户有更恰当的责任分配,而银行应多承担一定的网银风险或由公共的社会保障机构来承担。
为什么大众版用户要小心五种陷阱
自去年以来,国内网络银行安全开始突显出来,尤其是申办程序简单、安全级别相对较低的大众版。而各家银行在加大自身金融安全方面注重推行专业版、客户证书及签约用户,对于大众版却少见推出更为有效的安全措施,因而我们看到在众多相关盗银报道中出现问题的大多数是大众版用户。
上周一下午,瑞星公司研发部副总经理毛杰在接受记者采访时称,针对网银大众版用户的盗取途径大致有五类,这些都属于钓鱼类网络威胁。一是通过制作假银行网站进行诱骗;二是通过冒充银行发送电子邮件实行诱骗;三是假借银行之名发送短信诱骗;四是假冒银行客服打电话套取;五是通过网络发起攻击向计算机种植木马及间谍软件以盗取。被装入了木马或间谍程序,并不是说黑客能借此直接看到PC屏幕上的内容(你在相关截面输入的密码信息)。
比方说首先,在对计算机注入木马程序后,驻留在中招计算机系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给盗银贼,他们再据此进行反读取以破译,钱便被黑走了。
其次,由前者衍生出的截取键盘记录法(键盘钩子)黑客在键盘敲击给系统进行信息处理时,利用原先在系统接口处挂上的程序或驱动实现盗取。它不像远程控制一样直接操控你的PC,而是等待机会,一旦得到银行交易的信息,就自动被发送到他预先指定的信箱。但他同时表示,这并不是说计算机一旦被种了木马、间谍软件的就一定会被盗,因为木马和间谍程序有很多种,不全是针对网络银行的,只是被盗的风险会大很多。
