2011年02月23日 14:40
來源：經濟觀察網 作者：胡蓉萍

字號:T|T

0人參與 打印 轉發

經濟觀察報 記者 胡蓉萍 最近頻發的網銀詐騙案件使網銀使用的安全保障問題再次成為當下討論的熱點。

面對近期發生的多起相關案例，中行等涉案銀行已經采取了不少措施，但其已持續兩個月的網銀動態口令用戶網上資金被盜案件還在發生著。

中信銀行電子銀行部相關負責人2月16日接受本報采訪時建議網上銀行客戶多使用更有安全保障的Ukey，并在指定計算機和指定時間段來使用。

中國金融認證中心(下稱CFCA)相關負責人對本報表示銀行動態口令的認證方式存在一定隱患，最好采取以Ukey數字證書為主的多渠道認證方式，比如證書+動態口令+手機驗證的認證方式，進一步保證網銀用戶的交易安全。

中行E令夢魘

據江蘇當地媒體報道，1月13日下午5點45分左右，南京市民許先生正準備下班，突然收到一條手機短信：“尊敬的網銀用戶，你的中行E令將于次日過期，請盡快登錄www.bocvk.com進行升級，給您帶來不便請諒解，詳詢95566(中國銀行)。”

根據短信提示，他登錄了所謂的 “中國銀行”的網址www.bocvk.com，看到打開后的網頁正是 “中國銀行”界面。他根據網頁提示，輸入自己的用戶名、密碼以及隨機產生的中行E令、身份證號等信息后，頁面顯示升級成功。可是沒一會兒，當他再次登錄自己的中行網銀賬戶時，發現賬戶上的101萬元已被轉走。

某股份制銀行電子銀行部總經理這樣比喻：這就好比許先生晚上回家，迷迷糊糊地走錯了門，走到鄰居家去了，并用自己的真鑰匙去開鄰居家的門。鄰居家的門鎖則記下了許先生的鑰匙形狀，復制了一把，再去開許先生家門，則是暢通無阻了。

這個鑰匙就是E令卡。它還有個學術名稱叫做“動態密碼”或“動態口令”，英文名為OTP(OneTimePassword)，就是只能使用一次的密碼。其原理在于：它通過特定的計算方式在用戶處產生一個隨機變化的密碼，同時銀行處也能產生一個相同的密碼，用戶使用這個密碼登錄網銀時，兩個密碼相比較，若相同則表示已通過驗證，用戶可以進行下一步的操作。

因為動態密碼完全是隨機產生的，這與用戶自己設置的、每次都固定不變的靜態密碼相比，在安全上的確進了一步。

事實上，在國外，因其被認為方便快捷、客戶體驗很好，動態口令是網銀用戶使用最多的一種方式，當然其網銀安全問題也層出不窮。

民生銀行電子銀行部相關負責人向本報表示，E令有個致命缺陷，就是銀行端可以用這個密碼來辨認用戶，而用戶卻無法使用密碼來辨認自己登錄的是否就是正確的網站；而且動態口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動態口令在一分鐘內都會有效。而就是這短短的一分鐘，給不法分子提供了可乘之機。

上述許先生的案例就是在其登錄網站輸入動態口令時，不法分子便在后臺將用戶的賬號與動態口令數據攔截，并且利用動態口令在一分鐘內有效的特點立刻登錄中行網銀轉走用戶資金。

數字證書PK動態口令

據各大地方媒體報道，類似許先生的E令驚魂的案例在近期多達上百例。蘇州市民唐先生因為類似許先生的經歷，其198萬余元不翼而飛；杭州蕭山的錢先生銀行卡里，2萬多元一下就縮水成了20多元……

工商銀行電子銀行部相關負責人表示，此前就認識到了這種風險，通常將以動態口令進行的資金交易限定為小額交易，“一天不超過1萬”。

中行稱已與公安機關建立了打擊電子銀行犯罪活動的聯動機制，落實網上銀行增加“手機短信驗證碼”以及在系統層面與第三方支付平臺聯動控制等相關加固方案等防控措施，推進落實數字證書在網銀高風險交易中的應用。

上述中信銀行人士表示業內應用得更廣泛的、安全保障程度更高的是數字證書，它與動態密碼相比在安全保障上更具優勢。

數字證書是一段包含用戶身份信息的電子文件，通常被存儲在UKey，比如工行的“U盾”、民生銀行的“U寶”、建設銀行的“E盾”、農行的“金E順”、華夏銀行的“U盾”等。

用戶在申請數字證書時，首先會有一個類似網上公安局的證書發放機構對申請人的身份進行確認，因此Ukey證書就像是用戶的“網絡身份證”，用戶登錄銀行網站進行交易時，在電腦上插入Ukey，向銀行亮出這個“網絡身份證”后，銀行就可以辨認出是否是正確的用戶。

此外，UKey證書中還包含另外一段由用戶獨有的私密數據信息，這種信息就像用戶的指紋、虹膜一樣，只由用戶自己所特有，并被固化在UKey當中。

“用戶每次在網銀中交易時，銀行端都會讀取這些信息，用這些信息對交易信息進行電子簽名，而電子簽名的法律效力是由國家頒布的《電子簽名法》來保障的。”上述中信銀行人士表示。

民生銀行相關業務部門人士表示在這類案件當中，如果用戶使用的是數字證書，而非動態口令，那么網銀資金是不可能被盜走的，因為UKey證書具有多重防護機制，可以很好地防止在這類案件中中招。

防范風險

盡管網銀安全問題頻發，網銀還是以其比柜臺更加方便、快捷和高效吸引著越來越多的金融產品消費者。

《2010中國電子銀行調查報告》數據還顯示：2010年，全國城鎮人口中，個人網銀用戶比例為26.9%，比2009年增長了6個百分點；全國個人網銀用戶中，活躍用戶比例達到80.7%，比2009年增長了4個百分點；交易用戶平均每月使用次數高達5.6次，高于2009年的4.8次。

如何保障網上銀行的安全使用，就顯得尤為關鍵。E令詐騙的案件出現后，銀行一般建議客戶首先報案，如果能被公安部門偵破，那么將是不法分子承擔責任，如果不能偵破，客戶投訴銀行的話，調解不成將對簿公堂，銀行一般會按照法院判決來執行。

“其實客觀地說，很多時候是客戶自己的識別能力存在問題，銀行從嚴格意義上講是沒有責任的，但是法院在判決的時候往往會傾向于保護弱勢群體，銀行一般會彌補客戶一定的損失來安撫客戶。”某股份制銀行相關業務部門人士表示。

針對E令案件，公安部則建議在搜索引擎采取一定的措施，不讓非法網站出現在搜索頁面上。

一位民生銀行電子銀行部業務管理處人士則表示：“應該在法律環境上多下一點工夫，比如加大對類似不法分子的打擊力度，同時要提升公安部門的偵破能力，與此同時，電信和銀行等機構應加大對客戶的教育和宣傳。”

為打造放心安全的網上銀行交易環境，前不久民生銀行聯合太平洋保險公司向新開U寶客戶贈送“個人網銀賬戶盜竊保險”。

“類似的保險產品在國外已經很成熟，這或許也是一種解決網上銀行目前存在的問題的手段之一，”民生銀行相關業務部門人士表示。此外，工行電子銀行部相關業務人員表示，Ukey長期插在某臺上網的電腦上，也會出現該電腦被黑客攻擊然后操作Ukey的可能。上述人士表示，基于這一安全隱患，工行推出了二代U盾，即在電腦上操作了之后，還需要在U盾上再次確認，以確保安全。