【大紀元2011年02月23日訊】(大紀元訊)近日,中國大陸網上詐騙氾濫,眾多網銀客戶「被釣魚」,而大多數被騙者為中國銀行客戶。業內估計有上億資金被盜而中國銀行的網銀口令安全問題又成焦點,相關人士稱,中國銀行的網銀口令有相當大漏洞,致使詐騙者有機可稱,儘管如此,客戶損失權責難認定,得到補償並不容易。
據理財週報報導,中國互聯網信息舉報中心監測數據顯示,近期網銀盜竊侵財型案件舉報甚多,特別是假冒中國銀行網站大幅增加,數量已多達近70個。針對中行網銀的高智能詐騙案呈高發態勢,並以驚人速度向全國蔓延。
據瞭解,近期江蘇、浙江地區此類案件高發近乎猖獗。全國範圍來看,涉案金額應已接近1個億,保守估計最少也超過4,000萬元。超過百萬元的大案並不鮮見。據不完全統計,僅1月10日-20日之間,江蘇省此類案件就發生上百起,浙江省也有近50起,涉案總金額巨大。據金山網絡雲安全中心統計數據顯示,近期已有超過5萬名用戶訪問過中國銀行的「釣魚」網站。
網上「釣魚」,通常是指仿冒知名銀行或購物網站,騙取用戶信用卡密碼或銀行帳號密碼,然後使用用戶的信用卡消費或盜取用戶帳戶內的存款。
假冒中行網銀詐騙案件流程類似
2011年1月13日,南京的王言(化名)先生突然收到一條手機短信:「尊敬的網銀用戶,你的中行E令將於次日過期,請儘快進行升級,給您帶來不便請諒解,詳詢95566(中國銀行)。」
而王先生正是中國銀行的網銀用戶,因為銀行的客戶經理平時也常發短信提示用戶辦理各項業務,所以王先生雖然發現是來自一個陌生手機,但也並沒有產生懷疑,隨即利用電腦,根據短信提示的內容登錄短信內的「中國銀行」的網址,並未發現異常,便根據網頁提示,輸入自己的用戶名、密碼以及隨機產生的中行E令(動態口令)等信息,在頁面顯示升級成功。王先生在退出頁面後猛然發覺不對,再次登錄時,發現自己賬戶內的100萬元已經被全部轉走。
來自深圳的黃先生也遭遇了同樣的經歷。其賬戶內存款被分四次轉出,只剩下零頭。而紹興的一位商人則被同樣的手段騙取資金接近200萬元。
上述案件中犯罪份子的作案手法均類似:受害人均收到陌生手機號碼發送的短信,提示其銀行網銀動態口令將於次日過期,讓其儘快登入中國銀行網站進行升級。一旦事主登錄短信內留下的網站,所輸入的網銀用戶名、密碼、動態口令等就會被「釣魚」程序竊取,其網銀賬戶內款項在幾分鐘內被迅速轉走。
中行的網銀系統被指有問題
「釣魚」詐騙案件眾多,但是為甚麼如此集中於中國銀行,很多人都在疑問。
中國互聯網信息舉報中心主任助理郝志超曾表示:「中行的網銀系統還是有問題的,它的動態E令被犯罪份子利用了。該中心已經敦請中國銀行進一步完善網銀業務流程,不給犯罪份子可乘之機。」
中國金融認證中心相關負責人表示,目前用戶端網銀安全工具主要包括:數字證書、動態口令、手機驗證三種。得到廣泛使用並且安全保障程度較高的是數字證書,通常被存儲在USBKey(俗稱的「U盾」)之中。
而中國銀行選擇的是用動態口令保護用戶網銀安全。動態口令就是只能使用一次的密碼,這種動態密碼的原理在於:它通過特定的計算方式在用戶處產生一個隨機變化的密碼,同時銀行處也能產生一個相同的密碼,用戶使用這個密碼登錄網銀時,兩個密碼相比較,若匹配則表示已通過驗證,用戶可進行下一步的操作。
中行「E令」,實際上就是「電子動態口令生成器」,是由中國銀行推出的一種硬件動態口令牌。根據專門的計算法則,它每隔60秒會自動更新一個動態口令,要求用戶在60秒內輸入,以保障網銀操作安全。然而此輪網銀詐騙,絕大部份案例都以「中行E令」為幌子,眾多用戶質疑號稱動態安保的「中行E令」此時已形同虛設。
中國金融認證中心專家認為,動態口令雖然一次一變,但這種變化仍然存在一定的時間週期,通常動態口令在1分鐘內都會有效。而就是這短短的一分鐘,讓不法份子有了可乘之機。上文述幾位受害者也紛紛表示了對動態口令的不滿:「一分鐘時間足夠操作熟練的人完成整個犯罪過程,動態口令這種安全工具本身就有問題。」
但是國內主流銀行中唯一與中行同樣使用動態口令的光大銀行網銀,卻一直在用戶中獲得不錯的美譽度,類似遭遇釣魚網站攻擊的事件也少有。
業內一位不願具名的專家透露,問題不在動態口令,而在於中國銀行動態口令的設計存在一個明顯漏洞。
他表示,光大銀行的動態口令生成器命名為陽光令牌,用戶在登錄時需要輸入隨機口令,轉賬時還需要再度輸入事先設置的轉賬密碼,兩道防護線保護安全。而中國銀行網銀之前只需要輸入口令就可以完成轉賬,一旦遭遇釣魚網站攔截或口令牌遺失,客戶賬戶安全就難以保障。
客戶損失權責認定難
在系列案件集中爆發後,中行網銀站在了輿論的風暴眼。用戶人人自危,很多人都表示將不敢再使用中行網銀,甚至有人為保障安全已將中行賬戶中資金悉數取出。
而據瞭解,遭到釣魚網站詐騙的部份中行客戶,已經開始向中國銀行申請索賠,理由是中行網銀系統存在漏洞以及在保護客戶資金安全工作上的失職,但索賠無果。他們中的很多人醞釀抱團取暖,繼續爭取獲得賠償。
中行相關負責人對此回應,網銀用戶遭到犯罪份子欺詐,主要是防範意識不強,和網上操作的不規範造成,銀行有義務配合警方破案,但是不應當承擔賠償。
北京某律師事務所工作人員也坦言了自己的看法:雖然從這些案件的作案方法上來看,銀行網銀系統應該是確實存在某種漏洞,因為銀行交易系統存在安全性能問題致使消費者賬號信息被竊取而丟失財產,則銀行未盡到協議中約定的安全交易保障義務,應當根據其過錯程度承擔相應民事責任。然而實際操作中,在判定是客戶端原因還是銀行系統原因時,鑒於技術問題的高壁壘,用戶在舉證上明顯處於不利地位,採取協商賠償的方式可能更好。
