IT蓝图五年曲折路、中行网银窃案曝安全漏洞(2)
山东的赵先生便遇此一劫。1月2日晚,他接到短信称其中行E令即将过期,请其尽快登入一网站进行升级。“信以为真的我马上在家里登录了对方提供的网站,并根据提示输入网银用户名、密码及动态口令,按了3次升级按钮,网站页面提示升级成功,我便关闭了网页。”
直到1月4日中午,赵先生想把钱转到股市发现只有6000元。“打开中行网银,发现34万转出了。”赵先生无奈地表示,“据我了解,这种网络诈骗,客户的资金一分钟内就会被转走,之后骗子会把钱拆成多笔小金额转入不同账户。”
整个过程中,诈骗短信、钓鱼网站和动态口令无疑是三个关键环节。
“诈骗短信很好识别,都是私人号码发出的,从这点来说,银行其实也挺冤。”上述从事银行IT外包服务的工作人员表示。
安全机制漏洞
受骗用户自身虽难辞其咎,但上述人士也指出,中行网银安全机制设计确实存在漏洞。
“动态口令是通过一个特定的计算方式产生随机密码,银行后台利用同样技术也能产生相同的密码,可在一定程度上保证用户安全登录网银。但缺陷是,银行端可以用这个密码来辨认用户,用户却无法使用密码来辨认自己登录的是否是正确的网站。”上述人士表示。
与此同时,钓鱼网站的“以假乱真”也让用户防不胜防。据了解,与真正的中行网站主页相比,假冒网站的页面颜色、字体、版式等一模一样,两者最大区别在于假网站右侧第一栏按钮名称是“网银E令升级”,而真网站的同样位置则是“登录中行网银BOCNET”。
“2008年测试中行e令时,它的技术并不比U盾落后,问题在于尽管动态口令能提供第一重防线,但网银的第二、三重防线基本形同虚设。另外中行网站的架构比较单一,容易被模仿。”上述接近中行的人士表示。
针对上述客户遭钓鱼网站诈骗事件,中行也实施了一连串补救措施:从1月21日起,大幅降低用户单笔转账金额至500元;自动向用户发送交易口令确认码,只有用户确认才能转账成功;大幅提高对客户风险提示和安全教育的密度。
其中最关键的是手机交易码认证服务。“手机交易码配合动态口令,通过双通道、双因素认证来加强网银安全防护。手机交易码短信中含有收款人姓名、收款账号、交易金额等关键交易信息,客户只有确认这些交易信息后输入手机交易码方可完成交易,起到了良好的提示和防护作用。”中行相关负责人表示。
(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。