IT藍圖五年曲折路 中行網銀竊案曝安全漏洞
林曉 北京報道
近幾個月,中行網銀以一種意外的方式廣受關注。
“經過社會各界的共同努力,針對中行網銀客戶的詐騙案件已得到有效遏制。截至目前,中行已配合公安部門封堵假冒釣魚網站524個,協(xié)助破獲90多起網銀詐騙案件,打掉3個犯罪團伙,抓獲犯罪嫌疑人30多名?!敝行邢嚓P負責人近日對外界表示。
他所指的詐騙案即去年底和今年初,部分中行網銀客戶遭到釣魚網站欺詐,網銀賬戶內款項被轉走。事發(fā)后,中行已在網銀轉賬業(yè)務上增設防線,包括降低單筆轉賬限額、對所有向他人轉賬交易全面應用手機交易碼認證服務等。
“這些措施應該足以防止網銀客戶再遭釣魚網站詐騙?!币晃粡氖裸y行IT外包服務的工作人員稱,盡管網銀在銀行IT系統(tǒng)中只是很小一部分,但其漏洞還是暴露出銀行IT系統(tǒng)建設的不足,“還有改進空間。
“過去十年IT系統(tǒng)是銀行業(yè)第一生產力,但這些年中行IT系統(tǒng)建設可能走了些彎路,包括網銀在內的很多業(yè)務難免受到影響?!币晃唤咏行械娜耸勘硎尽?/p>
三個關鍵環(huán)節(jié)
目前,對于涉案總金額還沒有完全統(tǒng)計,但據媒體報道,僅1月10-20日,江蘇省此類案件就發(fā)生上百起,浙江省有近50起。
與以往電信和網絡詐騙案件相比,犯罪分子針對中行網銀用戶的作案手法并不新鮮。
據了解,不法分子的主要作案手法是:制作假冒中行門戶網站及網銀首頁,然后在境內外注冊類似中行域名,并用普通手機號假冒中行身份向數(shù)千萬人群發(fā)短信,以中行網銀系統(tǒng)升級或動態(tài)口令牌過期更換為由,誘騙客戶登錄釣魚網站,盜取客戶網銀用戶名、密碼、動態(tài)口令等安全信息,轉移客戶資金。
山東的趙先生便遇此一劫。1月2日晚,他接到短信稱其中行E令即將過期,請其盡快登入一網站進行升級?!靶乓詾檎娴奈荫R上在家里登錄了對方提供的網站,并根據提示輸入網銀用戶名、密碼及動態(tài)口令,按了3次升級按鈕,網站頁面提示升級成功,我便關閉了網頁。
直到1月4日中午,趙先生想把錢轉到股市發(fā)現(xiàn)只有6000元?!按蜷_中行網銀,發(fā)現(xiàn)34萬轉出了?!壁w先生無奈地表示,“據我了解,這種網絡詐騙,客戶的資金一分鐘內就會被轉走,之后騙子會把錢拆成多筆小金額轉入不同賬戶。
整個過程中,詐騙短信、釣魚網站和動態(tài)口令無疑是三個關鍵環(huán)節(jié)。
“詐騙短信很好識別,都是私人號碼發(fā)出的,從這點來說,銀行其實也挺冤?!鄙鲜鰪氖裸y行IT外包服務的工作人員表示。
安全機制漏洞
受騙用戶自身雖難辭其咎,但上述人士也指出,中行網銀安全機制設計確實存在漏洞。
“動態(tài)口令是通過一個特定的計算方式產生隨機密碼,銀行后臺利用同樣技術也能產生相同的密碼,可在一定程度上保證用戶安全登錄網銀。但缺陷是,銀行端可以用這個密碼來辨認用戶,用戶卻無法使用密碼來辨認自己登錄的是否是正確的網站?!鄙鲜鋈耸勘硎?。
與此同時,釣魚網站的“以假亂真”也讓用戶防不勝防。據了解,與真正的中行網站主頁相比,假冒網站的頁面顏色、字體、版式等一模一樣,兩者最大區(qū)別在于假網站右側第一欄按鈕名稱是“網銀E令升級”,而真網站的同樣位置則是“登錄中行網銀BOCNET”
“2008年測試中行e令時,它的技術并不比U盾落后,問題在于盡管動態(tài)口令能提供第一重防線,但網銀的第二、三重防線基本形同虛設。另外中行網站的架構比較單一,容易被模仿?!鄙鲜鼋咏行械娜耸勘硎?。
針對上述客戶遭釣魚網站詐騙事件,中行也實施了一連串補救措施:從1月21日起,大幅降低用戶單筆轉賬金額至500元;自動向用戶發(fā)送交易口令確認碼,只有用戶確認才能轉賬成功;大幅提高對客戶風險提示和安全教育的密度。
其中最關鍵的是手機交易碼認證服務?!笆謾C交易碼配合動態(tài)口令,通過雙通道、雙因素認證來加強網銀安全防護。手機交易碼短信中含有收款人姓名、收款賬號、交易金額等關鍵交易信息,客戶只有確認這些交易信息后輸入手機交易碼方可完成交易,起到了良好的提示和防護作用?!敝行邢嚓P負責人表示。
IT藍圖曲折路
“這些年來,中行的IT系統(tǒng)已經成了業(yè)務發(fā)展的一個軟肋,新系統(tǒng)推廣了好幾年,但遇到不少阻力?!敝行幸粡氖萝浖_發(fā)的人士表示。
他所說的新系統(tǒng)即IT藍圖項目。該項目始于2004年。按中行早先規(guī)劃,這項總投資約100億元的銀行IT系統(tǒng)及流程再造工程本應在2008年底完成,但因與外包商塔塔咨詢磨合困難等原因,上線一再拖延。
2009年初,中行對IT藍圖進行了重新規(guī)劃,從最初主要依靠外包商轉變成“以我為主”自行研發(fā),并與塔塔咨詢簽訂了補充協(xié)議,確立了雙方的權利義務。
“可以說是FNS(塔塔咨詢的前身金融網絡服務公司)耽誤了中行三年時間,其實很多IT人士當初對這家公司都不認可,因為它缺乏對大型銀行數(shù)據集中的經驗。中行轉為自我開發(fā)為主后,可能也是在‘BANCS’(FNS的核心銀行業(yè)務解決方案)原碼基礎上改進,原有的一些問題可能很難解決?!鄙鲜鼋咏行械娜耸勘硎?。
不過,改弦易轍后,中行IT藍圖項目明顯加速,并于2009年10月在河北省分行正式投產上線。中行2010年半年報顯示,去年2月,IT藍圖2.0版本已在河北省分行成功投產。隨后以該版本作為基準版,分三批次在西北五行、西南五行、黑吉蒙晉贛皖六行上線投產。
“目前已有大約三分之二的分行上線投產,實現(xiàn)了數(shù)據上的邏輯集中?!鄙鲜鲈谥行袕氖萝浖_發(fā)的人士表示,預計新系統(tǒng)今年將推廣到所有分行,年內還將逐步完成先期投產分行升級工作。
“投產以來,系統(tǒng)運行平穩(wěn),業(yè)務開展也很順利?!敝行泻颖笔》中幸恢腥耸糠Q。
不過,也有中行內部人士認為,即便年底新系統(tǒng)推廣到所有分行,也難以就此認為IT藍圖項目圓滿完成?!斑€是要看新系統(tǒng)對業(yè)務的促進作用,至少目前來說不很明顯?!?
相關專題:中國銀行用戶被釣魚 網銀安全遭質疑
免責聲明:本文僅代表作者個人觀點,與鳳凰網無關。其原創(chuàng)性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。

湖北一男子持刀拒捕捅傷多人被擊斃
04/21 07:02
04/21 07:02
04/21 07:02
04/21 06:49
04/21 11:28
頻道推薦
商訊
48小時點擊排行
-
2052232
1杭州某樓盤一夜每平大降數(shù)千元 老業(yè)主 -
992987
2杭州某樓盤一夜每平大降數(shù)千元 老業(yè)主 -
809366
3期《中國經營報》[ -
404290
4外媒關注劉漢涉黑案:由中共高層下令展 -
287058
5山東青島住戶不滿強拆掛橫幅抗議 -
284796
6實拍“史上最爽職業(yè)”的一天(圖) -
175136
7媒體稱冀文林將石油等系統(tǒng)串成網 最后 -
156453
8養(yǎng)老保險制度如何“更加公平可持續(xù)”
所有評論僅代表網友意見,鳳凰網保持中立