近幾個月，中行網(wǎng)銀以一種意外的方式廣受關(guān)注。

“經(jīng)過社會各界的共同努力，針對中行網(wǎng)銀客戶的詐騙案件已得到有效遏制。截至目前，中行已配合公安部門封堵假冒釣魚網(wǎng)站524個，協(xié)助破獲90多起網(wǎng)銀詐騙案件，打掉3個犯罪團(tuán)伙，抓獲犯罪嫌疑人30多名。”中行相關(guān)負(fù)責(zé)人近日對外界表示。

他所指的詐騙案即去年底和今年初，部分中行網(wǎng)銀客戶遭到釣魚網(wǎng)站欺詐，網(wǎng)銀賬戶內(nèi)款項(xiàng)被轉(zhuǎn)走。事發(fā)后，中行已在網(wǎng)銀轉(zhuǎn)賬業(yè)務(wù)上增設(shè)防線，包括降低單筆轉(zhuǎn)賬限額、對所有向他人轉(zhuǎn)賬交易全面應(yīng)用手機(jī)交易碼認(rèn)證服務(wù)等。

“這些措施應(yīng)該足以防止網(wǎng)銀客戶再遭釣魚網(wǎng)站詐騙。”一位從事銀行IT外包服務(wù)的工作人員稱，盡管網(wǎng)銀在銀行IT系統(tǒng)中只是很小一部分，但其漏洞還是暴露出銀行IT系統(tǒng)建設(shè)的不足，“還有改進(jìn)空間。”

“過去十年IT系統(tǒng)是銀行業(yè)第一生產(chǎn)力，但這些年中行IT系統(tǒng)建設(shè)可能走了些彎路，包括網(wǎng)銀在內(nèi)的很多業(yè)務(wù)難免受到影響。”一位接近中行的人士表示。

三個關(guān)鍵環(huán)節(jié)

目前，對于涉案總金額還沒有完全統(tǒng)計(jì)，但據(jù)媒體報(bào)道，僅1月10-20日，江蘇省此類案件就發(fā)生上百起，浙江省有近50起。

與以往電信和網(wǎng)絡(luò)詐騙案件相比，犯罪分子針對中行網(wǎng)銀用戶的作案手法并不新鮮。

據(jù)了解，不法分子的主要作案手法是：制作假冒中行門戶網(wǎng)站及網(wǎng)銀首頁，然后在境內(nèi)外注冊類似中行域名，并用普通手機(jī)號假冒中行身份向數(shù)千萬人群發(fā)短信，以中行網(wǎng)銀系統(tǒng)升級或動態(tài)口令牌過期更換為由，誘騙客戶登錄釣魚網(wǎng)站，盜取客戶網(wǎng)銀用戶名、密碼、動態(tài)口令等安全信息，轉(zhuǎn)移客戶資金。

山東的趙先生便遇此一劫。1月2日晚，他接到短信稱其中行E令即將過期，請其盡快登入一網(wǎng)站進(jìn)行升級。“信以為真的我馬上在家里登錄了對方提供的網(wǎng)站，并根據(jù)提示輸入網(wǎng)銀用戶名、密碼及動態(tài)口令，按了3次升級按鈕，網(wǎng)站頁面提示升級成功，我便關(guān)閉了網(wǎng)頁。”

直到1月4日中午，趙先生想把錢轉(zhuǎn)到股市發(fā)現(xiàn)只有6000元。“打開中行網(wǎng)銀，發(fā)現(xiàn)34萬轉(zhuǎn)出了。”趙先生無奈地表示，“據(jù)我了解，這種網(wǎng)絡(luò)詐騙，客戶的資金一分鐘內(nèi)就會被轉(zhuǎn)走，之后騙子會把錢拆成多筆小金額轉(zhuǎn)入不同賬戶。”

整個過程中，詐騙短信、釣魚網(wǎng)站和動態(tài)口令無疑是三個關(guān)鍵環(huán)節(jié)。

“詐騙短信很好識別，都是私人號碼發(fā)出的，從這點(diǎn)來說，銀行其實(shí)也挺冤。”上述從事銀行IT外包服務(wù)的工作人員表示。

安全機(jī)制漏洞

受騙用戶自身雖難辭其咎，但上述人士也指出，中行網(wǎng)銀安全機(jī)制設(shè)計(jì)確實(shí)存在漏洞。

“動態(tài)口令是通過一個特定的計(jì)算方式產(chǎn)生隨機(jī)密碼，銀行后臺利用同樣技術(shù)也能產(chǎn)生相同的密碼，可在一定程度上保證用戶安全登錄網(wǎng)銀。但缺陷是，銀行端可以用這個密碼來辨認(rèn)用戶，用戶卻無法使用密碼來辨認(rèn)自己登錄的是否是正確的網(wǎng)站。”上述人士表示。

與此同時(shí)，釣魚網(wǎng)站的“以假亂真”也讓用戶防不勝防。據(jù)了解，與真正的中行網(wǎng)站主頁相比，假冒網(wǎng)站的頁面顏色、字體、版式等一模一樣，兩者最大區(qū)別在于假網(wǎng)站右側(cè)第一欄按鈕名稱是“網(wǎng)銀E令升級”，而真網(wǎng)站的同樣位置則是“登錄中行網(wǎng)銀BOCNET”。

“2008年測試中行e令時(shí)，它的技術(shù)并不比U盾落后，問題在于盡管動態(tài)口令能提供第一重防線，但網(wǎng)銀的第二、三重防線基本形同虛設(shè)。另外中行網(wǎng)站的架構(gòu)比較單一，容易被模仿。”上述接近中行的人士表示。

針對上述客戶遭釣魚網(wǎng)站詐騙事件，中行也實(shí)施了一連串補(bǔ)救措施：從1月21日起，大幅降低用戶單筆轉(zhuǎn)賬金額至500元；自動向用戶發(fā)送交易口令確認(rèn)碼，只有用戶確認(rèn)才能轉(zhuǎn)賬成功；大幅提高對客戶風(fēng)險(xiǎn)提示和安全教育的密度。

其中最關(guān)鍵的是手機(jī)交易碼認(rèn)證服務(wù)。“手機(jī)交易碼配合動態(tài)口令，通過雙通道、雙因素認(rèn)證來加強(qiáng)網(wǎng)銀安全防護(hù)。手機(jī)交易碼短信中含有收款人姓名、收款賬號、交易金額等關(guān)鍵交易信息，客戶只有確認(rèn)這些交易信息后輸入手機(jī)交易碼方可完成交易，起到了良好的提示和防護(hù)作用。”中行相關(guān)負(fù)責(zé)人表示。

IT藍(lán)圖曲折路

“這些年來，中行的IT系統(tǒng)已經(jīng)成了業(yè)務(wù)發(fā)展的一個軟肋，新系統(tǒng)推廣了好幾年，但遇到不少阻力。”中行一從事軟件開發(fā)的人士表示。

(責(zé)任編輯：admin)