為什么是中行:動態(tài)E令容易被攻破利用, 密碼單一防火墻脆弱,網(wǎng)上銀行無須密碼即可開通手機銀行。
理財周報記者 冀欣/文
近一個月內(nèi)眾多中行網(wǎng)銀客戶先后經(jīng)歷“驚魂300秒”,賬戶內(nèi)資金瞬間被釣魚網(wǎng)站洗劫一空。中國互聯(lián)網(wǎng)信息舉報中心監(jiān)測數(shù)據(jù)顯示,近期網(wǎng)銀盜竊侵財型案件舉報甚多,特別是假冒中國銀行網(wǎng)站大幅增加,數(shù)量已多達近70個。針對中行網(wǎng)銀的高智能詐騙案呈高發(fā)態(tài)勢,并以驚人速度向全國蔓延。
一時間,人人自危。中行陷入輿論風暴眼,不得不面對安全性的質(zhì)疑和考驗。
假冒中行網(wǎng)銀詐騙案件井噴
2011年1月13日,南京的王言(化名)先生突然收到一條手機短信:“尊敬的網(wǎng)銀用戶,你的中行E令將于次日過期,請盡快進行升級,給您帶來不便請諒解,詳詢95566(中國銀行)?!?/p>
而王先生正是中國銀行的網(wǎng)銀用戶,王先生向記者道:”銀行的客戶經(jīng)理平時也常發(fā)短信提示用戶辦理各項業(yè)務”,所以王先生雖然發(fā)現(xiàn)是來自一個陌生手機,但也并沒有產(chǎn)生懷疑,隨即利用電腦,根據(jù)短信提示的內(nèi)容登錄短信內(nèi)的“中國銀行”的網(wǎng)址,并未發(fā)現(xiàn)異常,便根據(jù)網(wǎng)頁提示,輸入自己的用戶名、密碼以及隨機產(chǎn)生的中行E令(動態(tài)口令)等信息,在頁面顯示升級成功。王先生在退出頁面后猛然發(fā)覺不對,再次登錄時,發(fā)現(xiàn)自己賬戶內(nèi)的100萬元已經(jīng)被全部轉(zhuǎn)走。
無獨有偶,來自深圳的黃先生也遭遇了同樣的經(jīng)歷。其賬戶內(nèi)存款被分四次轉(zhuǎn)出,只剩下零頭。而紹興的一位商人則被同樣的手段騙取資金接近200萬元。
上述幾位受害者告訴理財周報記者,近期江蘇浙江地區(qū)此類案件高發(fā)近乎猖獗。全國范圍來看,涉案金額應已接近1個億,保守估計最少也超過4000萬元。超過百萬元的大案并不鮮見。
究竟在這短短的一個多月里,有多少客戶的資產(chǎn)遭到假冒中國銀行釣魚網(wǎng)站的侵蝕,暫難獲得準確數(shù)據(jù)。但是事態(tài)的嚴重性已從公開信息中得到證實,據(jù)不完全統(tǒng)計,僅1月10日-20日之間,江蘇省此類案件就發(fā)生上百起,浙江省也有近50起,涉案總金額巨大。據(jù)金山網(wǎng)絡(luò)云安全中心統(tǒng)計數(shù)據(jù)顯示,近期已有超過5萬名用戶訪問過中國銀行的仿冒網(wǎng)站。
據(jù)了解,上述案件中犯罪分子的作案手法如出一轍。受害人均收到陌生手機號碼發(fā)送的短信,提示其銀行網(wǎng)銀動態(tài)口令將于次日過期,讓其盡快登入中國銀行網(wǎng)站進行升級。一旦事主登錄短信內(nèi)留下的網(wǎng)站,所輸入的網(wǎng)銀用戶名、密碼、動態(tài)口令等就會被“釣魚”程序竊取,其網(wǎng)銀賬戶內(nèi)款項在幾分鐘內(nèi)被迅速轉(zhuǎn)走。
E令設(shè)計被疑潛藏安全漏洞
有關(guān)釣魚網(wǎng)站的詐騙相信都早有耳聞,不少銀行也都會面對此類的困擾,但是為什么如此集中于中國銀行,很多人都在疑問。
中國互聯(lián)網(wǎng)信息舉報中心主任助理郝志超曾在接受采訪時有所言明:“中行的網(wǎng)銀系統(tǒng)還是有問題的,它的動態(tài)E令被犯罪分子利用了。中國互聯(lián)網(wǎng)信息舉報中心已經(jīng)敦請中國銀行進一步完善網(wǎng)銀業(yè)務流程,不給犯罪分子可乘之機?!?/p>
E令到底存在怎樣的問題?
中國金融認證中心相關(guān)負責人告訴記者,目前用戶端網(wǎng)銀安全工具主要包括:數(shù)字證書、動態(tài)口令、手機驗證三種。得到廣泛使用并且安全保障程度較高的是數(shù)字證書,通常被存儲在USBKey(俗稱的“U盾”)之中。用戶在登錄銀行網(wǎng)站進行交易時,在電腦上插入Ukey,就相當于向銀行亮出“網(wǎng)絡(luò)身份證”。
UKey硬件本身有一個PIN碼,相當于我們銀行卡的密碼,當用戶在電腦中插入UKey時,只有在輸入PIN碼以后才能使用。同時,UKey證書中不僅包含用戶的身份信息,還包含另外一段由用戶獨有的特殊數(shù)據(jù)信息,在學術(shù)上叫做“私鑰“,只由用戶自己所特有,而且每個用戶持有的都不相同。用戶每次在網(wǎng)銀中交易時,交易的關(guān)鍵信息都會送入USBKey,在USBKey中進行電子簽名。簡單來說,只要USBKey在用戶手中,黑客就很難攔截這個密碼,即使得逞也難以完成轉(zhuǎn)賬。招商銀行、工商銀行等目前采取的就是以USBKey為主的安全工具。
而中國銀行選擇的是用動態(tài)口令保護用戶網(wǎng)銀安全。動態(tài)口令就是只能使用一次的密碼,這種動態(tài)密碼的原理在于:它通過特定的計算方式在用戶處產(chǎn)生一個隨機變化的密碼,同時銀行處也能產(chǎn)生一個相同的密碼,用戶使用這個密碼登錄網(wǎng)銀時,兩個密碼相比較,若匹配則表示已通過驗證,用戶可進行下一步的操作。
中行“E令”,實際上就是“電子動態(tài)口令生成器”,是由中國銀行推出的一種硬件動態(tài)口令牌。它由內(nèi)置電源、密碼生成芯片和顯示屏等組成,根據(jù)專門的計算法則,每隔60秒會自動更新一個動態(tài)口令,要求用戶在60秒內(nèi)輸入,以保障網(wǎng)銀操作安全。然而此輪網(wǎng)銀詐騙,絕大部分案例都以“中行E令”為幌子,眾多用戶質(zhì)疑號稱動態(tài)安保的“中行E令”此時已形同虛設(shè)。
免責聲明:本文僅代表作者個人觀點,與鳳凰網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。