您现在的位置是:首页 > 行业 > 金融 >
中行网银E令形同虚设 手机交易码再惹争议
摘要2011年伊始,中国银行(601988)网银就被卷入了网银引发的风暴眼,对于曾经荣获“最佳网上银行”的中行来说,格外刺目。...
2011年伊始,中国银行(601988)网银就被卷入了网银引发的风暴眼,对于曾经荣获“最佳网上银行”的中行来说,格外刺目。短短一个月内,众多中行网银客户先后经历可怕惊魂300秒,账户内资金瞬间被钓鱼网站洗劫一空。据不完全统计,从1月10日至今,仅浙江一省就发生100多起同类诈骗,用户损失少则数万,多达数百万。
在中行网银频频集中被盗事件中,用户人人自危,很多人都表示将不敢再使用中行网银,甚至有人为保障安全已将中行账户中资金悉数取出。由于在木马钓鱼的作用下,犯罪分子能和用户的电脑实现同步,号称动态安保的“中行E令”此时已形同虚设,不少用户也在质疑这项服务的必要性。据了解,目前,国有商业银行中,只有中行大范围使用动态口令牌,工行、建行、农行、邮储银行等商业银行,多以与计算机硬件连接的U盾或K宝为主。
尽管中行目前亡羊补牢,新加了一道手机交易码防火墙,但一推出就引起颇多争议,日前有南京的用户在口碑理财网投诉称,为何柜面人员对手机交易码如此不熟悉,相关口径与现实有如此大的差距?中行内部的信息传递如此落后,是否也证实其内部管理的落后?
中行E令漏洞饱受质疑
1月18日,杭州的李辉(化名)先生突然收到一条手机短信:尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给你带来不便请谅解,详询95566(中国银行(601988))。而李先生正是中行网银用户,虽发现是来自一个陌生手机,但也并没产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的中行网址,亦未发现异常,便根据网页提示进行操作,在页面显示升级成功。李先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的200多万元已经被全部转走。
无独有偶,就在1月27日,深圳一客户的中行网银1.6万元钱被不明身份的人卷走,只剩下4.5元。而绍兴的一位商人则被同样的手段骗取资金接近200万元。近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看涉案金额应已过亿,保守估计也要超过5000万元。
在这短短的一个多月里,有多少客户的资产遭到假冒中行钓鱼网站的侵蚀,目前难以获得准确数据,但据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中行的仿冒网站。
据了解,上述案件中犯罪分子作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被钓鱼程序窃取,其网银账户内款项在几分钟内被迅速转走。
有关钓鱼网站的诈骗并非首次出现,开通网银的银行都会面临此类困扰,但为何大规模地集中在中行?中行所引以为傲的E令设计是否存在安全隐患?中国互联网信息举报中心主任助理郝志超曾在接受媒体采访时表示:“中行的网银系统还是有问题的,它的动态E令被犯罪分子利用了。”
中行选择的是用动态口令保护用户网银安全。中行E令,实际上就是电子动态口令生成器,是由中行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成,根据专门的计算法则,每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障网银操作安全。然而此轮网银诈骗,绝大部分案例都以中行E令为幌子,众多用户质疑号称动态安保的中行E令此时已形同虚设。
中行电子银行部总经理蒋昕表示,犯罪分子并不是攻破了中行网银的安全机制,客户在中行门户网站上进行网银交易,安全是有保证的。但少数客户安全防范意识不强,被诱骗登录假冒网站后不加识别即输入网银认证关键信息,最终导致资金被盗。
对于这种解释,大多数人表示难以接受。中行网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中行网银在大规模的钓鱼案件发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。
而针对中行网银主推的安全工具动态口令,有中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上述几位受害者也纷纷表示了对动态口令的不满:一分钟的时间做什么都足够了,动态口令这种安全工具本身就有问题。
而中行的内部员工也认为,将短信提示、权限设置和口令牌分开更安全,即现在将三者集于一身,全部依赖口令牌,有了口令牌,手机号码可以随便改,限额可以改,那短信提示和权限设置不是形同虚设吗?
(本文不涉密)
责任编辑:
上一篇:POS机与手机支付刷出未来高成长
下一篇:云计算助力银行满足灾难恢复需求