林曉 北京報道

近幾個月，中行網銀以一種意外的方式廣受關注。

“經過社會各界的共同努力，針對中行網銀客戶的詐騙案件已得到有效遏制。截至目前，中行已配合公安部門封堵假冒釣魚網站524個，協(xié)助破獲90多起網銀詐騙案件，打掉3個犯罪團伙，抓獲犯罪嫌疑人30多名?！敝行邢嚓P負責人近日對外界表示。

他所指的詐騙案即去年底和今年初，部分中行網銀客戶遭到釣魚網站欺詐，網銀賬戶內款項被轉走。事發(fā)后，中行已在網銀轉賬業(yè)務上增設防線，包括降低單筆轉賬限額、對所有向他人轉賬交易全面應用手機交易碼認證服務等。

“這些措施應該足以防止網銀客戶再遭釣魚網站詐騙?！币晃粡氖裸y行IT外包服務的工作人員稱，盡管網銀在銀行IT系統(tǒng)中只是很小一部分，但其漏洞還是暴露出銀行IT系統(tǒng)建設的不足，“還有改進空間。

“過去十年IT系統(tǒng)是銀行業(yè)第一生產力，但這些年中行IT系統(tǒng)建設可能走了些彎路，包括網銀在內的很多業(yè)務難免受到影響?！币晃唤咏行械娜耸勘硎尽?/p>

三個關鍵環(huán)節(jié)

目前，對于涉案總金額還沒有完全統(tǒng)計，但據媒體報道，僅1月10-20日，江蘇省此類案件就發(fā)生上百起，浙江省有近50起。

與以往電信和網絡詐騙案件相比，犯罪分子針對中行網銀用戶的作案手法并不新鮮。

據了解，不法分子的主要作案手法是：制作假冒中行門戶網站及網銀首頁，然后在境內外注冊類似中行域名，并用普通手機號假冒中行身份向數(shù)千萬人群發(fā)短信，以中行網銀系統(tǒng)升級或動態(tài)口令牌過期更換為由，誘騙客戶登錄釣魚網站，盜取客戶網銀用戶名、密碼、動態(tài)口令等安全信息，轉移客戶資金。

山東的趙先生便遇此一劫。1月2日晚，他接到短信稱其中行E令即將過期，請其盡快登入一網站進行升級?！靶乓詾檎娴奈荫R上在家里登錄了對方提供的網站，并根據提示輸入網銀用戶名、密碼及動態(tài)口令，按了3次升級按鈕，網站頁面提示升級成功，我便關閉了網頁。

直到1月4日中午，趙先生想把錢轉到股市發(fā)現(xiàn)只有6000元?！按蜷_中行網銀，發(fā)現(xiàn)34萬轉出了?！壁w先生無奈地表示，“據我了解，這種網絡詐騙，客戶的資金一分鐘內就會被轉走，之后騙子會把錢拆成多筆小金額轉入不同賬戶。

整個過程中，詐騙短信、釣魚網站和動態(tài)口令無疑是三個關鍵環(huán)節(jié)。

“詐騙短信很好識別，都是私人號碼發(fā)出的，從這點來說，銀行其實也挺冤?！鄙鲜鰪氖裸y行IT外包服務的工作人員表示。

安全機制漏洞

受騙用戶自身雖難辭其咎，但上述人士也指出，中行網銀安全機制設計確實存在漏洞。

“動態(tài)口令是通過一個特定的計算方式產生隨機密碼，銀行后臺利用同樣技術也能產生相同的密碼，可在一定程度上保證用戶安全登錄網銀。但缺陷是，銀行端可以用這個密碼來辨認用戶，用戶卻無法使用密碼來辨認自己登錄的是否是正確的網站?！鄙鲜鋈耸勘硎?。

與此同時，釣魚網站的“以假亂真”也讓用戶防不勝防。據了解，與真正的中行網站主頁相比，假冒網站的頁面顏色、字體、版式等一模一樣，兩者最大區(qū)別在于假網站右側第一欄按鈕名稱是“網銀E令升級”，而真網站的同樣位置則是“登錄中行網銀BOCNET”

“2008年測試中行e令時，它的技術并不比U盾落后，問題在于盡管動態(tài)口令能提供第一重防線，但網銀的第二、三重防線基本形同虛設。另外中行網站的架構比較單一，容易被模仿?！鄙鲜鼋咏行械娜耸勘硎?。

針對上述客戶遭釣魚網站詐騙事件，中行也實施了一連串補救措施：從1月21日起，大幅降低用戶單筆轉賬金額至500元；自動向用戶發(fā)送交易口令確認碼，只有用戶確認才能轉賬成功；大幅提高對客戶風險提示和安全教育的密度。

其中最關鍵的是手機交易碼認證服務?！笆謾C交易碼配合動態(tài)口令，通過雙通道、雙因素認證來加強網銀安全防護。手機交易碼短信中含有收款人姓名、收款賬號、交易金額等關鍵交易信息，客戶只有確認這些交易信息后輸入手機交易碼方可完成交易，起到了良好的提示和防護作用?！敝行邢嚓P負責人表示。

IT藍圖曲折路

“這些年來，中行的IT系統(tǒng)已經成了業(yè)務發(fā)展的一個軟肋，新系統(tǒng)推廣了好幾年，但遇到不少阻力?！敝行幸粡氖萝浖_發(fā)的人士表示。

他所說的新系統(tǒng)即IT藍圖項目。該項目始于2004年。按中行早先規(guī)劃，這項總投資約100億元的銀行IT系統(tǒng)及流程再造工程本應在2008年底完成，但因與外包商塔塔咨詢磨合困難等原因，上線一再拖延。

2009年初，中行對IT藍圖進行了重新規(guī)劃，從最初主要依靠外包商轉變成“以我為主”自行研發(fā)，并與塔塔咨詢簽訂了補充協(xié)議，確立了雙方的權利義務。

“可以說是FNS(塔塔咨詢的前身金融網絡服務公司)耽誤了中行三年時間，其實很多IT人士當初對這家公司都不認可，因為它缺乏對大型銀行數(shù)據集中的經驗。中行轉為自我開發(fā)為主后，可能也是在‘BANCS’(FNS的核心銀行業(yè)務解決方案)原碼基礎上改進，原有的一些問題可能很難解決?！鄙鲜鼋咏行械娜耸勘硎?。

不過，改弦易轍后，中行IT藍圖項目明顯加速，并于2009年10月在河北省分行正式投產上線。中行2010年半年報顯示，去年2月，IT藍圖2.0版本已在河北省分行成功投產。隨后以該版本作為基準版，分三批次在西北五行、西南五行、黑吉蒙晉贛皖六行上線投產。

“目前已有大約三分之二的分行上線投產，實現(xiàn)了數(shù)據上的邏輯集中?！鄙鲜鲈谥行袕氖萝浖_發(fā)的人士表示，預計新系統(tǒng)今年將推廣到所有分行，年內還將逐步完成先期投產分行升級工作。

“投產以來，系統(tǒng)運行平穩(wěn)，業(yè)務開展也很順利?！敝行泻颖笔》中幸恢腥耸糠Q。

不過，也有中行內部人士認為，即便年底新系統(tǒng)推廣到所有分行，也難以就此認為IT藍圖項目圓滿完成?！斑€是要看新系統(tǒng)對業(yè)務的促進作用，至少目前來說不很明顯?！?