|
||||
近日,中國金融認證中心(CFCA)發布了《2006中國網上銀行調查報告》。報告顯示,在過去的一年中,網上銀行得到了比較大的發展,但是60%以上的網民不敢用網上銀行,究其原因,就是網上銀行的安全性讓廣大用戶擔懮。雖然,2006年國內網上銀行的使用人數較去年相比有了較大幅度的增長,總用戶數已將近4000萬。但廣大用戶不敢用,不放心用,這無疑暴露了網上銀行發展的瓶頸:安全支付問題!目前國內網上銀行業務仍處於初級發展階段,就像一個嬰兒,還沒學會走,如何能跑?網銀安全問題亟待解決。
案例:網上銀行失竊頻發
記者了解到,劉女士遇到的是比較新的通過網上銀行竊取儲戶金錢的方式,而近年來,網上銀行失竊的事件則屢屢發生。
湖南省的李先生也是在『不知不覺』的狀態下被人盜走了賬戶裡的9萬元存款。急需現金周轉的李先生和某放貸公司聯系,要求貸款20萬元。為了表明自己有償還能力,李先生表示自己有9萬元的存款。對方以『方便查詢賬戶到賬情況』為由要求李先生到銀行裡辦理一個網上銀行,並要走了李先生的賬號和身份證號碼。等到李先生按照對方承諾的放貸時間去銀行查賬時,卻發現不僅沒有貸款到賬,自己的9萬元存款也不翼而飛了。而此時,貸款人的手機再也打不通了。通過查詢發現,李先生開通網上銀行的第二天,就有人通過網上銀行對李先生的存款進行了轉賬。
魏小姐也是在辦理貸款的時候遭遇了網上銀行盜竊行為。天津市的魏小姐日前接到了一條手機短信:『瑞豐信用擔保公司為個人及中小型企業提供低息貸款,手續簡便、快捷。』魏小姐隨即撥通了瑞豐信用擔保公司的電話,申請貸款25萬元。對方要求魏小姐在天津某銀行存入5萬元保證金,魏小姐心想存錢也是自己設密碼,隨即存入。後來對方又以自己不在單位為名,讓魏小姐到櫃臺辦理個人網上銀行,以便劃款。隨後對方又用電話遙控魏小姐一步步填寫『申請資料』,魏小姐在不知不覺中已將自身的個人資料和網上銀行的密碼都泄漏了出去。次日下午,對方來電話稱有一筆60萬元的貸款,但不能分拆,詢問魏小姐是否能先存入30萬,再加上已存入的5萬元保證金,以便銀行將60萬元一次性打入,相當於貸款25萬元。仍然沒有起疑心的魏小姐四處籌措,借了30萬元存入銀行。誰知再查詢時,35萬元已不翼而飛。
迄今為止國內網上盜竊個人存款金額最大案——晉江『5·11』案日前由福建省泉州市中級人民法院作出一審判決,中國農業銀行晉江市支行被判全額賠償儲戶損失,並支付相應的違約金,這起網上銀行盜竊案涉及存款高達777萬元。2005年5月11日,儲戶莊某到晉江農行營業部業務窗口辦理存款業務時,發現賬戶內的777萬元存款不翼而飛。警方偵查發現,嫌犯是通過網上銀行轉賬方式盜走莊某777萬元。嫌犯聘請了多名掌握電腦知識的人員,在互聯網上破譯了莊某的銀行卡密碼。之後,由一名30餘歲的女子持偽造的莊某的身份證和一張銀行卡,憑密碼在農行某支行開通網上銀行業務。2005年5月10日,嫌犯將莊某賬戶內的存款,通過網上銀行轉賬,共777萬元。經過核實,該女子所持的假身份證件,出生年月和身份證號碼與莊某的相同,但地址卻不同。
目前網上銀行詐騙有幾種情形:一是冒充銀行網站;二是利用網友聊天套信息;三是利用下載、通過含木馬病毒的郵件、程序盜取客戶密碼;四是不法分子利用人們將密碼設置過於簡單的特點,通過試探個人生日等方式猜測密碼,或者通過自設的『報警電話』騙取客戶的密碼信息。網上銀行的盜竊手段也在不斷翻新、昇級,近來又有通過電子郵件冒充銀行並以系統昇級為借口盜取其網上銀行賬號和密碼等新手段。
70%儲戶:銀行應負主要責任
12月14日,中國金融認證中心聯合《金融時報》社共同發布了《2006中國網上銀行調查報告》,結果顯示,有61%的非網銀用戶由於懷疑網銀安全性而不使用網上銀行,網銀的安全性仍舊是制約網上銀行發展的主要因素。
記者了解到,中國金融認證中心2005年調查時就發現,超過50%的人不打算使用或者不敢用網上銀行,其主要原因就是安全問題。而今年情況不但沒有好轉,反而更加嚴重。
北京市朝陽區某科貿公司的高先生由於工作的原因常常在網上進行資金轉賬,他告訴記者,雖然他熟悉網上轉賬的過程,但使用起來也僅僅限於對公業務。『說出來可能很多人覺得不可思議,我自己的存款、繳費等業務都是去銀行排隊,從不用網上銀行來辦理,坦白地講,我不相信網上銀行的安全性,我也不敢拿我自己的血汗錢去賭這種安全性。』
像高先生這種情況的人有很多,高薪、白領、從事著『高科技』的工作,但即使是這些人也仍然對網上銀行的安全性感到『難以保障』。在恆基中心上班的周小姐就這樣對記者說:『我知道去銀行排隊是一個費時、費力、很痛苦的事情,但是,起碼這種交易行為讓我感覺放心。』
頻頻發生的網上銀行失竊案令很多儲戶對網上銀行顧慮重重,而從事後銀行的處理來看,大多數人都感覺銀行在『推卸責任』。前面提到的劉女士就曾十分無奈地對記者說:『我把錢放在銀行裡,現在錢沒了,難道要我去抓賊嗎?銀行是做什麼的?』
不久前,央視也針對網銀安全問題作了一項網上調查,結果發現70%的受調查者認為在網銀資金被盜的案件中,銀行應該負主要責任。一位儲戶表示:『我們把錢存到銀行已經承受著很低的利率了,賬戶的錢莫名其妙沒有了,銀行難道不應該承擔責任嗎?』中國政法大學民商法學院的閆女士在接受記者采訪時表示,儲戶把錢存進銀行,雙方就有一個契約的關系,銀行有保障儲戶資金安全的義務,出了事情不應該把責任推給儲戶。
中國消費者協會投訴部主任邱建國接受媒體采訪時說:『我的錢存在你銀行裡面,銀行是有責任保護它的安全的。錢丟了,那應該誰承擔責任呢?你完全讓我消費者承擔責任,這是非常不公平的,也是不合理的。』
普通的老百姓大多不使用網上銀行,因為他們不懂得如何操作,而熟悉電腦、懂得操作程序的『前沿人士』又處於對網絡安全性的考慮不去使用網上銀行,這就使網上銀行的發展面臨一個十分尷尬的局面。
銀行:責任不在己方
記者了解到,從2003年10月新的《商業銀行服務價格管理暫行辦法》施行以來,銀行的各種收費項目新增的已經有30來項,這也使得不少人開始使用網上銀行或者是電話銀行。今年上半年我國企業網銀注冊用戶達到90多萬戶,個人網銀注冊用戶達到3500多萬戶,網上交易總額為40多萬億元。屢屢發生的網上銀行失竊案使公眾對網上銀行的安全性質疑不斷,面對一片指責之聲,銀行方面則堅稱責任不在己方。
前文提到的劉女士的銀行卡被異地轉賬的事,銀行方面就此表示,此次銀行卡被『克隆』的事件純屬個案。『自從我們的網上銀行開通以來,這是首次遭遇「克隆」事件。』該負責人認為,『由於加入了一個USBKEY(安全密鑰)的設置,網上銀行專業版可以很大程度防止信息泄漏,使得網上操作更安全。而大眾版一般僅供持卡人簡單的查詢,相比之下,安全性降低不少。』
記者了解到,要在該銀行實現同一人不同卡之間的網上『卡卡轉賬』,只需用戶將任意一張卡登錄『網上銀行大眾版』界面,注冊一個用戶名後,僅需追加另一張卡的卡號便可實現網上的『卡卡轉賬』業務。據悉,在整個操作過程中,銀行方面需要核實的信息是兩張卡持有者的姓名和身份證號碼。據了解,網上銀行的大眾版既可以提供簡單的查詢功能,也可以進行本人不同卡之間的轉賬業務,而涉及不同持卡人之間的轉賬業務就必須帶上有效身份證去櫃臺辦理網上銀行的專業版。
而工行就在回應之前『工行受害者集體維權聯盟』事件時理直氣壯地說,『從目前發生和已經偵破的案件來看,客戶安全意識不強,沒有保護好自己的賬號、密碼等重要信息,是導致網銀資金被盜的根本原因。』
在前不久判決的『浙江永嘉洪榮堯訴中國農業銀行』一案中,犯罪分子也是利用假身份證作案。國內發生過多起在受害人不知情的情況下被開設網銀業務的案例。廣東廣和律師事務所魯楷律師認為,在此類訴訟中,銀行無一勝訴,因為銀行沒有履行自己為客戶保密的職責,在沒有認真核實驗明辦理網上銀行注冊人提供資料真實性的情況下辦理網銀開通業務,這是銀行的過錯。
專家表示,從密碼學的角度來說,越復雜的密碼設置的系統其安全性能就越高,反之則越低。銀行可能因為考慮成本、方便客戶等多種原因,沒有給用戶提供更高級更復雜的密碼安全措施;而用戶為了圖方便,也多把密碼設置得較為簡單。這樣一來兩邊都讓犯罪分子有空子可鑽了,所以銀行在盡可能使自身系統沒有漏洞時,應該考慮到客戶端的安全問題。
讀者投訴:假身份證克隆同名銀行卡
近日,本報不斷接到讀者舉報,反映目前網上銀行存在安全隱患。一些讀者表示,在不斷翻新的作案手段中,網上銀行難以保障儲戶們的資金安全。
『我的銀行卡沒丟,也沒有告訴任何人賬號和密碼,可賬戶上的錢竟一夜之間就消失了!』家住北京市豐臺區的劉女士說起此事頗感無奈。劉女士告訴記者,她有一張銀行卡,裡面是自己多年積攢的退休金,這幾年幾乎都沒有動過,只是在轉存的時候去辦理一下轉存的手續。『幾天前,我再去辦理轉存時,竟然發現我的賬戶只剩30多元零頭!』
劉女士立即找到銀行進行交涉,經調查,她銀行卡內的金額被人在網上轉了賬。銀行方面告訴劉女士,她在外地也有一張銀行卡,這些錢就是通過網上銀行『卡卡轉賬』的方式被轉走的。劉女士對此感到不可思議:自己在外地根本沒有開卡,怎麼會多出一張銀行卡,而且在兩個卡之間開通了『卡卡轉賬』的業務?
原來,是另一個人用假冒的劉女士的身份證在外地又辦理了一張和她同名同姓同類型的銀行卡,然後『假劉女士』通過網上銀行將銀行卡中的絕大部分錢分批轉走。
『用兩張假的身份證克隆出一張同名的銀行卡,繼而通過網絡銀行實現卡卡轉賬,在整個手續過程中,銀行方面難道就不予以核實而無法識別真偽?』劉女士對此感到十分氣憤,她認為這個事件充分暴露了銀行在網上安全方面存在的漏洞。劉女士質問,如果轉賬中不需要使用身份證,如何確保轉賬操作者為同一人?難道銀行就沒有失察的責任嗎?
相關鏈接:應對安全隱患需多管齊下
『相對於實體銀行、電話銀行、手機銀行而言,網上銀行具有成本低廉、交易便捷的優勢。』中國金融認證中心副總經理曹小青如此評價網上銀行的發展空間。據測算,銀行網點每筆交易的費用為1.07元人民幣,電話銀行為0.45元,ATM自助銀行為0.27元,而網上銀行成本僅為0.01元。
目前,中國已經有20多家銀行提供網絡銀行服務,其用戶超過2800萬,國內每年有超過千億元的資金在網上流通,盡管如此,在互聯網這一『不設防』的環境中,大部分網民還是擔心網上銀行的安全性。專家表示,維護網絡銀行安全需要多方努力。
儲戶:個人力量難保安全
儲戶聲音:
每次發生網絡銀行安全事件後,責怪的聲音更多是指向普通網銀用戶。的確,網銀用戶需要自我防范,但和強大的各式犯罪手段相比較,個人用戶的力量很小。且不說多數用戶不具備網絡安全技術常識,很多人連基本的殺毒軟件和防火牆也不會用,即使是那些技術水平較高的用戶,所能依靠的安全手段也不過是在防火牆和系統補丁之外再添加一些簡單的木馬查殺軟件,而由於網上木馬病毒的更新速率極快,遠遠超過防護軟件的昇級速度,因此這樣的防范往往起不到很好的效果,甚至絲毫不起作用。
網絡銀行不應該將技術昇級的成本轉嫁到用戶身上。目前,國內網銀用戶要想取得高等級保護,往往需要向銀行支付費用,這迫使一些用戶采用不安全的登錄方式,而在香港等地區,銀行通常為普通用戶提供免費的電子證書、手機隨機密碼認證等保護措施。
專家建議:
對於儲戶本人而言,要確保網上銀行的操作安全,就一定要注意在常用的計算機上加載防火牆和防病毒軟件,由於黑客進入電腦用戶終端後,要進入網上銀行,必須獲取認證書,所以,用戶一定要保存好證書,不要將信息常駐留在計算機上,用戶可以用USBKEY保管有關信息和資料。
『對於個人的密碼,不要使用簡單、易猜測的密碼,如生日、車號、電話號碼等』。專家建議網上銀行用戶從網上銀行主頁登錄操作,而不要通過鏈接彈出的網站登錄網上銀行系統,也不要通過公共電腦操作登錄網上銀行系統。
銀行:證書版網上銀行更安全
銀行聲音:
儲戶應該使用裝有防毒軟件的電腦,不要相信任何通過電子郵件、短信、電話等方式索要卡號和密碼的行為,不要設置過於簡單的密碼等都是防范賬號和密碼泄漏的有效手段。工行網上銀行有證書版和非證書版兩種。證書版網上銀行的交易功能更為強大和安全,因為證書版客戶在辦理網上銀行時需要在電腦上插入一種叫作『U盾』的證書工具。即使客戶的賬號和密碼被盜,沒有『U盾』,犯罪分子也無法盜取客戶資金。
另外,銀行工作人員在取款、查詢等任何時候都不會詢問,也不知道客戶的賬號密碼,而騙子千方百計騙的就是密碼。
專家建議:
銀行在防范網絡銀行安全風險的責任更大。雖然國內商業銀行在保護網銀安全上也投入了大量人力和物力,但從信息技術持續發展與提高的角度來講,一切安全措施都有其時效性和適應性。網絡攻擊技術與防御技術之間,長期呈現一種此消彼漲、交替上昇的狀況,而由於兩者的出發點與目的性不同,以及信息技術本身固有的缺陷,攻擊技術總是要領先那麼一些,因此商業銀行要投入更多的人力物力進行技術昇級。
政策:加快發展金融數字認證
部門聲音:
近日,中國金融認證中心承諾,如果經該中心認證的『網絡身份證』被黑客攻破,造成客戶網上銀行賬戶被盜,用戶可向其索賠,最高可獲賠80萬元。
中國金融認證中心提示儲戶,盡量不要采用安全級別很低的『卡號+口令』方式登錄網上銀行。如果需要比較頻繁地使用網上銀行,建議用戶一定要采用經認證的數字證書。實際上,針對目前流行的網絡黑客和假冒銀行網站等『網銀』盜竊手段,CFCA的數字證書有很好的防范作用。截至目前,國內外還沒有出現過一起因為數字證書被破解導致用戶資金被盜的案件。
『如果解決了安全問題,在未來一兩年內,網上銀行會高速發展。』華夏銀行重慶分行行長李琦說:『這為網上銀行的數字證書提供了廣闊的發展空間。』
專家建議:
國家相關部門也應采取措施防范網銀安全事故,如啟用專用域名,可以借鑒政府網站專用域名的做法,由銀行向專門負責域名申請的部門提出,為網上銀行設置專用域名,由權威機構如銀監會負責審批,這有可能很大程度地打擊假冒網銀網站;規范搜索引擎,由各大搜索引擎及網絡實名聯合,從技術上對假冒銀行網站進行過濾,確保網銀安全,這在技術上有一定難度,但並不是不可能實現的。