网络安全 频道

工行网银被盗200万 谁来为此买单?

    “系统漏洞”说法是否成立

    用户网上银行被盗案问题就是恰恰出现在上述“第一种对普通客户”认证手段上,在木马病毒泛滥的今天,新木马层出不穷,变种每时每刻都在产生,网络盗密行为日益严重,这种认证手段已经极为危险。任凭用户如何加强病毒防范都无法跟上木马病毒出现的脚步。更况何病毒防范并非功能较多,也有防不住的时候。

    工行的“系统漏洞说”确实从技术角度上来讨论并不充分,因为现在的失窃案件都是因网上银行的客户帐户、登录密码、支付密码等被冒用引发。确实到目前为止,工行的银行传统业务系统还没有被攻击的报道,因为它数据库服务器采用SCO UNIX操作系统,运行Informix数据库,联网网络是通过DDN专线通信,这样的架构若不是内部业务人员(内部人员操作系统是要身份磁卡的)来操作,从外部攻击可能性极低。但是成也网络,败也网络,在互联网盛行的今天,工行开通了网上银行业务,只要能上互联网,只要帐户、登录密码、支付密码正确,它的网银系统就认为正在操作网银业务的人是帐户的合法拥有者。这种操作是“虚”的操作,你没有验证持卡所有人的银行卡磁性的“实”信息,你不需要持卡所有人在柜台输入帐户密码。只要象“网银大盗”这种网上就可随便取得的木马程序,就能轻易盗得用户的“帐户、登录密码、支付密码”,随之以合法人的身份登录,并转走用户的钱。

    不管是假冒工行网站的“钓鱼网站”、不管是盗号木马引起的网银被盗案件,工行全都推脱是由用户端发起,一概归结为用户对帐户信息保管不善,它不能负责,它的系统没有漏洞,漏洞说不成立。但业内专家认为,若以“系统漏洞”这个宽泛的名词来对工行提出告诉,反而让工行可以转移事件的性质和焦点,而应以“提供的网上银行交易手段不健全”,更明白一点“对普通客户的网上银行身份认证不健全”为告诉理由,则工行不能说以“系统漏洞不成立”之说全身而退,因为它的网上银行交易手段不健全而使用户蒙受损失,能说与工行没有关系吗?问题的关键是:工行网上银行对客户身份确认手段上存在问题,这是工行不能推卸的责任。你若核实合法用户的手段都不健壮,难道要用户为这个“不健壮的手段”承担“用户端”的责任吗?

    电子银行口令卡

    工行在用户身份认证方面的手段在今年的上半年严重的网上银行资金被盗案暴发以前只提供上述本文第二小节中提到的两种手段,而在今年于2006年7月28日修改了《个人网上银行交易规则》,于8月1日执行,并于2006年8月10日推出电子银行口令卡。

    电子银行口令卡以矩阵形式印有若干字符串,客户在使用电子银行进行对外转账、B2C购物、缴费等支付交易时,电子银行系统会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入电子银行系统,只有口令组合输入正确的客户才能完成相关交易,该口令组合一次有效,交易结束后即失效,即便黑客盗得密码,下次也不能使用。电子银行口令卡实质就是动态密码技术。(图3)

图3

    很显然“电子银行口令卡”是对先前“静态密码”身份认证手段安全不足的替代品,这说明工行“知错”了,现在开始“能改”。修改交易规则和同时推出电子银行口令卡都是这个“知错能改”的配套动作。这也进一步证明了工行对原先普通用户认证手段的弊病是知晓的,客户的网上银行帐户资金被盗与它的认证手段不安全有关。

    对静态密码用户(也就是先前的提到的没有办U盾的普通用户)的交易限额现在统统修改为300元。但请注意哦,只要你还在使用静态密码,没有办U盾或电子银行口令卡,你的帐上资金仍可能以300元/天的速度被盗。而工行对此没有对用户告警的义务,更别说之前的告警,只是在它的《个人网上银行交易规则》提示“安全级别一般”,(图4)实际上以本文开头对www.ak.cn网站粗略统计,300多人被盗总金额已达200多万,这还能说安全级别一般吗?所以静态密码已谈不上安全,工行应摒弃静态密码,若它真对用户负责的话。

图4 点击大图

0
相关文章