IT蓝图五年曲折路,中行网银窃案曝安全漏洞
近几个月,中行网银以一种意外的方式广受关注。
“经过社会各界的共同努力,针对中行网银客户的诈骗案件已得到有效遏制。截至目前,中行已配合公安部门封堵假冒钓鱼网站524个,协助破获90多起网银诈骗案件,打掉3个犯罪团伙,抓获犯罪嫌疑人30多名。”中行相关负责人近日对外界表示。
他所指的诈骗案即去年底和今年初,部分中行网银客户遭到钓鱼网站欺诈,网银账户内款项被转走。事发后,中行已在网银转账业务上增设防线,包括降低单笔转账限额、对所有向他人转账交易全面应用手机交易码认证服务等。
“这些措施应该足以防止网银客户再遭钓鱼网站诈骗。”一位从事银行IT外包服务的工作人员称,尽管网银在银行IT系统中只是很小一部分,但其漏洞还是暴露出银行IT系统建设的不足,“还有改进空间。”
“过去十年IT系统是银行业第一生产力,但这些年中行IT系统建设可能走了些弯路,包括网银在内的很多业务难免受到影响。”一位接近中行的人士表示。
三个关键环节
目前,对于涉案总金额还没有完全统计,但据媒体报道,仅1月10-20日,江苏省此类案件就发生上百起,浙江省有近50起。
与以往电信和网络诈骗案件相比,犯罪分子针对中行网银用户的作案手法并不新鲜。
据了解,不法分子的主要作案手法是:制作假冒中行门户网站及网银首页,然后在境内外注册类似中行域名,并用普通手机号假冒中行身份向数千万人群发短信,以中行网银系统升级或动态口令牌过期更换为由,诱骗客户登录钓鱼网站,盗取客户网银用户名、密码、动态口令等安全信息,转移客户资金。
山东的赵先生便遇此一劫。1月2日晚,他接到短信称其中行E令即将过期,请其尽快登入一网站进行升级。“信以为真的我马上在家里登录了对方提供的网站,并根据提示输入网银用户名、密码及动态口令,按了3次升级按钮,网站页面提示升级成功,我便关闭了网页。”
直到1月4日中午,赵先生想把钱转到股市发现只有6000元。“打开中行网银,发现34万转出了。”赵先生无奈地表示,“据我了解,这种网络诈骗,客户的资金一分钟内就会被转走,之后骗子会把钱拆成多笔小金额转入不同账户。”
整个过程中,诈骗短信、钓鱼网站和动态口令无疑是三个关键环节。
“诈骗短信很好识别,都是私人号码发出的,从这点来说,银行其实也挺冤。”上述从事银行IT外包服务的工作人员表示。
安全机制漏洞
受骗用户自身虽难辞其咎,但上述人士也指出,中行网银安全机制设计确实存在漏洞。
“动态口令是通过一个特定的计算方式产生随机密码,银行后台利用同样技术也能产生相同的密码,可在一定程度上保证用户安全登录网银。但缺陷是,银行端可以用这个密码来辨认用户,用户却无法使用密码来辨认自己登录的是否是正确的网站。”上述人士表示。
与此同时,钓鱼网站的“以假乱真”也让用户防不胜防。据了解,与真正的中行网站主页相比,假冒网站的页面颜色、字体、版式等一模一样,两者最大区别在于假网站右侧第一栏按钮名称是“网银E令升级”,而真网站的同样位置则是“登录中行网银BOCNET”。
“2008年测试中行e令时,它的技术并不比U盾落后,问题在于尽管动态口令能提供第一重防线,但网银的第二、三重防线基本形同虚设。另外中行网站的架构比较单一,容易被模仿。”上述接近中行的人士表示。
针对上述客户遭钓鱼网站诈骗事件,中行也实施了一连串补救措施:从1月21日起,大幅降低用户单笔转账金额至500元;自动向用户发送交易口令确认码,只有用户确认才能转账成功;大幅提高对客户风险提示和安全教育的密度。
其中最关键的是手机交易码认证服务。“手机交易码配合动态口令,通过双通道、双因素认证来加强网银安全防护。手机交易码短信中含有收款人姓名、收款账号、交易金额等关键交易信息,客户只有确认这些交易信息后输入手机交易码方可完成交易,起到了良好的提示和防护作用。”中行相关负责人表示。
IT蓝图曲折路
“这些年来,中行的IT系统已经成了业务发展的一个软肋,新系统推广了好几年,但遇到不少阻力。”中行一从事软件开发的人士表示。
(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。