【大纪元2011年02月23日讯】(大纪元讯)近日,中国大陆网上诈骗泛滥,众多网银客户“被钓鱼”,而大多数被骗者为中国银行客户。业内估计有上亿资金被盗而中国银行的网银口令安全问题又成焦点,相关人士称,中国银行的网银口令有相当大漏洞,致使诈骗者有机可称,尽管如此,客户损失权责难认定,得到补偿并不容易。
据理财周报报导,中国互联网信息举报中心监测数据显示,近期网银盗窃侵财型案件举报甚多,特别是假冒中国银行网站大幅增加,数量已多达近70个。针对中行网银的高智能诈骗案呈高发态势,并以惊人速度向全国蔓延。
据了解,近期江苏、浙江地区此类案件高发近乎猖獗。全国范围来看,涉案金额应已接近1个亿,保守估计最少也超过4,000万元。超过百万元的大案并不鲜见。据不完全统计,仅1月10日-20日之间,江苏省此类案件就发生上百起,浙江省也有近50起,涉案总金额巨大。据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中国银行的“钓鱼”网站。
网上“钓鱼”,通常是指仿冒知名银行或购物网站,骗取用户信用卡密码或银行账号密码,然后使用用户的信用卡消费或盗取用户账户内的存款。
假冒中行网银诈骗案件流程类似
2011年1月13日,南京的王言(化名)先生突然收到一条手机短信:“尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给您带来不便请谅解,详询95566(中国银行)。”
而王先生正是中国银行的网银用户,因为银行的客户经理平时也常发短信提示用户办理各项业务,所以王先生虽然发现是来自一个陌生手机,但也并没有产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的“中国银行”的网址,并未发现异常,便根据网页提示,输入自己的用户名、密码以及随机产生的中行E令(动态口令)等信息,在页面显示升级成功。王先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的100万元已经被全部转走。
来自深圳的黄先生也遭遇了同样的经历。其账户内存款被分四次转出,只剩下零头。而绍兴的一位商人则被同样的手段骗取资金接近200万元。
上述案件中犯罪份子的作案手法均类似:受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中国银行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取,其网银账户内款项在几分钟内被迅速转走。
中行的网银系统被指有问题
“钓鱼”诈骗案件众多,但是为什么如此集中于中国银行,很多人都在疑问。
中国互联网信息举报中心主任助理郝志超曾表示:“中行的网银系统还是有问题的,它的动态E令被犯罪份子利用了。该中心已经敦请中国银行进一步完善网银业务流程,不给犯罪份子可乘之机。”
中国金融认证中心相关负责人表示,目前用户端网银安全工具主要包括:数字证书、动态口令、手机验证三种。得到广泛使用并且安全保障程度较高的是数字证书,通常被存储在USBKey(俗称的“U盾”)之中。
而中国银行选择的是用动态口令保护用户网银安全。动态口令就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式在用户处产生一个随机变化的密码,同时银行处也能产生一个相同的密码,用户使用这个密码登录网银时,两个密码相比较,若匹配则表示已通过验证,用户可进行下一步的操作。
中行“E令”,实际上就是“电子动态口令生成器”,是由中国银行推出的一种硬件动态口令牌。根据专门的计算法则,它每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障网银操作安全。然而此轮网银诈骗,绝大部分案例都以“中行E令”为幌子,众多用户质疑号称动态安保的“中行E令”此时已形同虚设。
中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法份子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满:“一分钟时间足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就有问题。”
但是国内主流银行中唯一与中行同样使用动态口令的光大银行网银,却一直在用户中获得不错的美誉度,类似遭遇钓鱼网站攻击的事件也少有。
业内一位不愿具名的专家透露,问题不在动态口令,而在于中国银行动态口令的设计存在一个明显漏洞。
他表示,光大银行的动态口令生成器命名为阳光令牌,用户在登录时需要输入随机口令,转账时还需要再度输入事先设置的转账密码,两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账,一旦遭遇钓鱼网站拦截或口令牌遗失,客户账户安全就难以保障。
客户损失权责认定难
在系列案件集中爆发后,中行网银站在了舆论的风暴眼。用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。
而据了解,遭到钓鱼网站诈骗的部分中行客户,已经开始向中国银行申请索赔,理由是中行网银系统存在漏洞以及在保护客户资金安全工作上的失职,但索赔无果。他们中的很多人酝酿抱团取暖,继续争取获得赔偿。
中行相关负责人对此回应,网银用户遭到犯罪份子欺诈,主要是防范意识不强,和网上操作的不规范造成,银行有义务配合警方破案,但是不应当承担赔偿。
北京某律师事务所工作人员也坦言了自己的看法:虽然从这些案件的作案方法上来看,银行网银系统应该是确实存在某种漏洞,因为银行交易系统存在安全性能问题致使消费者账号信息被窃取而丢失财产,则银行未尽到协议中约定的安全交易保障义务,应当根据其过错程度承担相应民事责任。然而实际操作中,在判定是客户端原因还是银行系统原因时,鉴于技术问题的高壁垒,用户在举证上明显处于不利地位,采取协商赔偿的方式可能更好。
