【IT168 专稿】背景:前几天,中央台的一则新闻说:一些工行网银受害者开始组成维权联盟——工行网银受害者集体维权联盟(注:联盟网站:www.ak.cn)(图1),并表示将联名起诉工商银行总行。不幸的是,笔者也是工行网上银行被盗案的受害者之一,因此对这则新闻引起关注。在电子商务+网上银行给网民带来足不出户的购物和金融服务便利的今天,网上银行安全面临严重信任危机。
图1 |
在“www.ak.cn”工行网银受害者集体维权联盟网站上,300多人用真实姓名签名并留下地点和失窃金额,公布的总金额已达到2,155,344元,范围涉及几乎全国省、自治区、直辖市。其中公布损失最多的是来自上海的庞先生,达到389000元,最少的是来自成都的罗先生,达100元。显然还有很多“受害者”不知道这个网站,也没有在这个网站上公布的。
近日,因网银资金被盗而引发受害者联手起诉工商银行一事好象一枚震撼弹,终于引起工行的第一时间回应,这则新闻通过电视、广播、平面、网络四大媒体大规模报道,引起人们的强烈关注。显然,“工行网银受害者集体维权联盟”这个群众的力量让工商银行非常紧张,第一时间首度进行回应。
对此,工行2006年08月21日在其网站对外发表声明称:工行网银专家在对用户资金被盗的成因进行分析后认为,每例事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失。针对这一事件,应理清银行与用户应该承担的责任。也就是说,一小部分客户资金损失都是在用户端形成的,而非通过攻击或进入银行的系统造成。工行认为,“工商银行网上银行系统存在漏洞”的说法明显不成立。因为截至目前,尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件。工行相关负责人表示,如果工行网银系统确实存在漏洞,那么受害者不应仅有200多人。工行有2000万网银用户,而受害者联盟人数却不到网银客户的十万分之一。而工行日前也对个人网上交易规则进行调整。9月1日起,凡在柜面注册的存量静态密码客户,在进行网上交易时,无论是单笔还是累计限额都只有300元(U盾客户除外)。此前,这类客户网上交易的单笔限额为1000元,单日累计限额为5000元。并且工行也已近日推出基于动态密钥技术的“电子银行口令卡”来取代静态密码。
银行的认证手段
根据中国工商银行电子银行部副总经理陈静娴介绍,工行除了有一系列措施保证网络安全以外,网络银行还采取交易安全的措施,区分客户的等级,设计两种不同方式的保护措施。
第一种对普通客户来说,银行设计了登陆号加密码的认证方式,用户号码加双重密码,首先是“登陆密码”,另外在在线支付的时候有一个“支付密码”。
第二个类型认证方式是使用USB卡物理介质的证书认证方式(工行称之为U盾)。用证书验证客户的身份,确保客户为银行真正的客户,防止其他客户非法使用。证书具有不可复制性,仅由客户自己保管和使用,因此用了客户证书以后,即便是有假网站、病毒感染、黑客入侵,不慎泄露银行卡和其他资料,只要物理证书不丢失,仍然能确保资金从网上银行不会盗取。(图2)
图2 |
很明显没有办理“U盾”的“普通用户”的网上银行帐户就没有“U盾用户”享受高级安全服务,随时有可能被假网站、木马病毒、黑客所“鱼肉”。