【IT168 专稿】背景:前几天,中央台的一则新闻说:一些工行网银受害者开始组成维权联盟——工行网银受害者集体维权联盟(注:联盟网站:www.ak.cn)(图1),并表示将联名起诉工商银行总行。不幸的是,笔者也是工行网上银行被盗案的受害者之一,因此对这则新闻引起关注。在电子商务+网上银行给网民带来足不出户的购物和金融服务便利的今天,网上银行安全面临严重信任危机。
图1 |
在“www.ak.cn”工行网银受害者集体维权联盟网站上,300多人用真实姓名签名并留下地点和失窃金额,公布的总金额已达到2,155,344元,范围涉及几乎全国省、自治区、直辖市。其中公布损失最多的是来自上海的庞先生,达到389000元,最少的是来自成都的罗先生,达100元。显然还有很多“受害者”不知道这个网站,也没有在这个网站上公布的。
近日,因网银资金被盗而引发受害者联手起诉工商银行一事好象一枚震撼弹,终于引起工行的第一时间回应,这则新闻通过电视、广播、平面、网络四大媒体大规模报道,引起人们的强烈关注。显然,“工行网银受害者集体维权联盟”这个群众的力量让工商银行非常紧张,第一时间首度进行回应。
对此,工行2006年08月21日在其网站对外发表声明称:工行网银专家在对用户资金被盗的成因进行分析后认为,每例事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失。针对这一事件,应理清银行与用户应该承担的责任。也就是说,一小部分客户资金损失都是在用户端形成的,而非通过攻击或进入银行的系统造成。工行认为,“工商银行网上银行系统存在漏洞”的说法明显不成立。因为截至目前,尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件。工行相关负责人表示,如果工行网银系统确实存在漏洞,那么受害者不应仅有200多人。工行有2000万网银用户,而受害者联盟人数却不到网银客户的十万分之一。而工行日前也对个人网上交易规则进行调整。9月1日起,凡在柜面注册的存量静态密码客户,在进行网上交易时,无论是单笔还是累计限额都只有300元(U盾客户除外)。此前,这类客户网上交易的单笔限额为1000元,单日累计限额为5000元。并且工行也已近日推出基于动态密钥技术的“电子银行口令卡”来取代静态密码。
银行的认证手段
根据中国工商银行电子银行部副总经理陈静娴介绍,工行除了有一系列措施保证网络安全以外,网络银行还采取交易安全的措施,区分客户的等级,设计两种不同方式的保护措施。
第一种对普通客户来说,银行设计了登陆号加密码的认证方式,用户号码加双重密码,首先是“登陆密码”,另外在在线支付的时候有一个“支付密码”。
第二个类型认证方式是使用USB卡物理介质的证书认证方式(工行称之为U盾)。用证书验证客户的身份,确保客户为银行真正的客户,防止其他客户非法使用。证书具有不可复制性,仅由客户自己保管和使用,因此用了客户证书以后,即便是有假网站、病毒感染、黑客入侵,不慎泄露银行卡和其他资料,只要物理证书不丢失,仍然能确保资金从网上银行不会盗取。(图2)
图2 |
很明显没有办理“U盾”的“普通用户”的网上银行帐户就没有“U盾用户”享受高级安全服务,随时有可能被假网站、木马病毒、黑客所“鱼肉”。
“系统漏洞”说法是否成立
用户网上银行被盗案问题就是恰恰出现在上述“第一种对普通客户”认证手段上,在木马病毒泛滥的今天,新木马层出不穷,变种每时每刻都在产生,网络盗密行为日益严重,这种认证手段已经极为危险。任凭用户如何加强病毒防范都无法跟上木马病毒出现的脚步。更况何病毒防范并非功能较多,也有防不住的时候。
工行的“系统漏洞说”确实从技术角度上来讨论并不充分,因为现在的失窃案件都是因网上银行的客户帐户、登录密码、支付密码等被冒用引发。确实到目前为止,工行的银行传统业务系统还没有被攻击的报道,因为它数据库服务器采用SCO UNIX操作系统,运行Informix数据库,联网网络是通过DDN专线通信,这样的架构若不是内部业务人员(内部人员操作系统是要身份磁卡的)来操作,从外部攻击可能性极低。但是成也网络,败也网络,在互联网盛行的今天,工行开通了网上银行业务,只要能上互联网,只要帐户、登录密码、支付密码正确,它的网银系统就认为正在操作网银业务的人是帐户的合法拥有者。这种操作是“虚”的操作,你没有验证持卡所有人的银行卡磁性的“实”信息,你不需要持卡所有人在柜台输入帐户密码。只要象“网银大盗”这种网上就可随便取得的木马程序,就能轻易盗得用户的“帐户、登录密码、支付密码”,随之以合法人的身份登录,并转走用户的钱。
不管是假冒工行网站的“钓鱼网站”、不管是盗号木马引起的网银被盗案件,工行全都推脱是由用户端发起,一概归结为用户对帐户信息保管不善,它不能负责,它的系统没有漏洞,漏洞说不成立。但业内专家认为,若以“系统漏洞”这个宽泛的名词来对工行提出告诉,反而让工行可以转移事件的性质和焦点,而应以“提供的网上银行交易手段不健全”,更明白一点“对普通客户的网上银行身份认证不健全”为告诉理由,则工行不能说以“系统漏洞不成立”之说全身而退,因为它的网上银行交易手段不健全而使用户蒙受损失,能说与工行没有关系吗?问题的关键是:工行网上银行对客户身份确认手段上存在问题,这是工行不能推卸的责任。你若核实合法用户的手段都不健壮,难道要用户为这个“不健壮的手段”承担“用户端”的责任吗?
电子银行口令卡
工行在用户身份认证方面的手段在今年的上半年严重的网上银行资金被盗案暴发以前只提供上述本文第二小节中提到的两种手段,而在今年于2006年7月28日修改了《个人网上银行交易规则》,于8月1日执行,并于2006年8月10日推出电子银行口令卡。
电子银行口令卡以矩阵形式印有若干字符串,客户在使用电子银行进行对外转账、B2C购物、缴费等支付交易时,电子银行系统会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入电子银行系统,只有口令组合输入正确的客户才能完成相关交易,该口令组合一次有效,交易结束后即失效,即便黑客盗得密码,下次也不能使用。电子银行口令卡实质就是动态密码技术。(图3)
图3 |
很显然“电子银行口令卡”是对先前“静态密码”身份认证手段安全不足的替代品,这说明工行“知错”了,现在开始“能改”。修改交易规则和同时推出电子银行口令卡都是这个“知错能改”的配套动作。这也进一步证明了工行对原先普通用户认证手段的弊病是知晓的,客户的网上银行帐户资金被盗与它的认证手段不安全有关。
对静态密码用户(也就是先前的提到的没有办U盾的普通用户)的交易限额现在统统修改为300元。但请注意哦,只要你还在使用静态密码,没有办U盾或电子银行口令卡,你的帐上资金仍可能以300元/天的速度被盗。而工行对此没有对用户告警的义务,更别说之前的告警,只是在它的《个人网上银行交易规则》提示“安全级别一般”,(图4)实际上以本文开头对www.ak.cn网站粗略统计,300多人被盗总金额已达200多万,这还能说安全级别一般吗?所以静态密码已谈不上安全,工行应摒弃静态密码,若它真对用户负责的话。
网上银行安全防范策略若你使用网上银行业务的话,网上银行安全应引起你最高强度的重视,并做好自己的防范策略,否则黑客会随时可能转走你全部的钱,你也许会沦落为身无分文境地,这是笔者的亲身体验。下面是笔者的一些建议,按强烈建议到弱建议排列:
1.如果银行没有提供足够的安全保证,用户应当暂缓使用该银行提供的网上银行服务
我们要特别放弃那种只提供静态密码认证手段的银行的网上银行服务,这是目前被验证是连级黑客都能攻陷客户帐户的服务。
2.不要把所有的鸡蛋都放在同一个篮子上
这句谚语炒股票的网友最熟悉,我们借用一下。网上银行帐户不应存入你所有的资金,以免黑客不知不觉转走你全部的金钱,而沦落为身无分文的穷光蛋。其实网上银行帐户我们应把它作为一个过渡帐户,用来做为网上消费或缴付各种费用的工具。而你应该还有另外的专门存钱的帐户,而它绝对是不能开通网上银行业务的。
3. 马上办理最高安全或较高安全的认证手段
由于网上银行的交易动作是在网上进行而不是在银行的传统业务前台进行,存在巨大风险是必然的。但是由于业务的便利性仍不能阻挡我们需要它,所以必须保证认证手段是一个万全之策。对工行网上银行而言,就需要办理最高安全的“U盾”或较高安全的电子银行口令卡。其实这两种密钥技术并不是什么新鲜技术,在IT业界早就使用,如VPN认证就用USBKey和动态密钥技术,与工行的上两种手段是对应的。这两种密钥技术在业界是得到承认的。
4. 提高上网电脑系统的安全防范
最好在自己的电脑上登录网上银行网站。给操作系统打补丁,随时更新操作系统,IE6浏览器目前漏洞百出,建议网友使用火狐浏览器。安装防病毒软件,安装防间谍软件,建议每次开机上网之前,先对病毒更新。
5. 不上假银行网站(工行语)
确定自己登录的网站是真正的网上银行网站。
6. 保管好自己的银行帐户、密码(工行语)
对自己的帐户密码不要随意示人或不经意示人。
总结:
对于银行把客户网上银行帐户资金被盗案件完全推脱责任的作法,让网友们感到寒心。我们只能呼吁立法,对银行的网上银行业务进行规范,也呼吁银行业应确实推出有最高安全保证的网上银行业务,并通过技术监控不安全因素,以不断升级自己的网银业务系统。