中新網3月1日電 新聞晚報消息,繼去年年底的工行假網站瘋狂斂財事件后,近日,一個網址為www.lcbc.com.cn/index.jsp的假工行網站又侵入了人們的生活;無獨有偶,中國銀行也在互聯網上發現了一個“盜版”。短短幾天內,四大國有銀行半數“中招”,這在中國銀行史上都是極為罕見的。針對網絡銀行的安全問題,今天上午,上海交通大學的施建俊博士建議:銀行應有專業域名。
中行剛發用戶警示工行又遇“李鬼”網站
今天上午,記者登錄中國銀行網站英文版,在主頁的新聞欄目(BOCNews)中,第一條就是中行的一個警示,其內容大致是:中國銀行于上月25日接到了用戶反映欺騙性網站的來信。據查,這一欺騙性網站(網址是www.banochi.net)是在北美地區注冊的,跟中國銀行以前的英文網站非常相似。目前中行正在采取措施消除這一欺騙性網站造成的影響。
“請所有用戶使用中行網站時要確定網址的準確性。”昨天上午,中國銀行總行有關人士向媒體透露。
就在中國銀行忙著“打假”的同時,中國工商銀行的有關人員也為另一樁假冒銀行事件焦頭爛額。
近日,一個網址為www.lcbc.com.cn/index.jsp的網站開始進入人們的視線,由于和工行網站只有一個字母的差別(工行網站為www.icbc.com.cn),因此有極大的欺騙性。據北京一媒體報道,網友小姚從一個名為“利好交易網”的網站,點擊進入了工行網上支付系統,他在輸入了自己的卡號和密碼后卻無法登錄。小姚說,他當時發現這個工行網站和去年被媒體曝光的那個假網站有些像。因為害怕對方盜取錢財,他趕緊跑到附近的工行,取出卡里的大部分錢,只留下71元。幾個小時后,小姚再次查詢余額,發現卡里只剩下1元錢,70元錢已經不翼而飛。小姚相信就是那個工行網站騙走了自己的錢。
銀聯發“網絡身份證”提供交易保證
假銀行網站將不少消費者們騙得團團轉,但在專家看來,這些黑客其實只是耍了三角貓的伎倆。
“實際上假網站這種欺騙手段十分低級”,銀聯下屬的中國金融認證中心總經理李曉峰說,出現這類事件的主要原因是用戶對于網上銀行的正確使用還不是特別了解,對于網上銀行的安全問題沒有足夠的防范意識。“如果客戶能夠正確使用,提高安全意識,類似假網站騙錢的事件完全可以避免。相對于假網站,真正高級的欺騙手段是通過病毒程序盜取密碼。”
對于這類事件的防范,李曉峰表示,中國金融認證中心作為獨立于交易行為第三方,推出了CFCA網上銀行數字證書,并與十多家銀行、16家證券商、13家基金商建立業務聯系,將通過建立第三道防線———網上銀行數字證書,避免網上銀行被盜事件的發生。“十屆全國人大常委會第十一次會議表決通過了《電子簽名法》,信息產業部審議并通過《電子認證服務管理辦法》,確定了一個權威性公信力的第三方作為安全電子認證中心存在的法律地位。”
“在現實生活里,派出所會給我們發身份證,在虛擬的網絡世界里,由第三方提供的數字證書就是一張網上數字身份證。”李曉峰做了個形象的比喻。
“網上銀行數字證書能為電子商務雙方三個保證。”李曉峰介紹,一是能保證交易雙方身份真實確定;二能保證交易數據完整、不可篡改;三能保證交易后雙方不能抵賴。自2000年6月投放第一張網上銀行數字證書至今,中國金融認證中心共發出證書40余萬張,為國內20余家商業銀行提供認證,證書發行量全國最大。
專家說法:網銀安全問題銀行很被動
措施一 啟用專用域名
“假冒網站防不勝防,與其防,不如治。”上海交通大學電子工程系施建俊博士說:“現在的網址有好幾種,像www.xxx.com是一個商業性網站,而www.xxx.gov是政府網站,www.xxx.org則是非政府組織網站。域名不同,代表的意思也不同。”施博士建議:是否可以借鑒政府網站有專用域名做法,由銀行向專門負責域名申請的部門提出,為網上銀行設置專用域名,由某權威機構比如銀監會負責審批。“雖然這并不是包治百病之方,還是可能有類似的域名出現混淆視聽,但這確實有可能很大程度地打擊假冒網銀網站。”另外,施博士補充說,雖然從表面上看,為銀行設置專用域名會造成一定的“浪費”,但是相比起網絡銀行因其本身脆弱的安全性可能導致的損失,“這筆浪費也是值得的”。
措施二 規范搜索引擎
施博士認為,在網銀安全問題上,銀行確實很被動。銀行惟一能采取的辦法就是投入大量的人力物力,不間斷地在網上通過人工或是自動搜索同自己域名類似的假冒網站、網絡實名,甚至必須介入電子郵件搜索是否有人假借銀行名義行欺騙之實,即使是幾個銀行聯合起來打假,平攤的只是成本,技術始終是個難題。最重要的是,銀行不是執法單位,一旦發現問題也不能立即處理。
“不過,只要通過正常途徑登錄,網絡銀行的安全性絕對可靠。”施建俊說,另外一個辦法就是,由各大搜索引擎及網絡實名聯合,從技術上對假冒銀行網站進行過濾,確保網銀安全,這在技術上有一定難度,但并不是不可能實現的。
銀行對策
建設銀行:雙密碼保網銀安全
“建設銀行網上銀行的登錄方式不同,即使消費者登錄假銀行,也不必擔心賬戶資金被盜用。”
中國建設銀行上海分行電子銀行部黃文菁介紹,建設銀行網上銀行分為簡易版和專業版,網銀用戶登錄時只需輸入身份證號及網銀密碼,建設銀行推薦用戶網銀密碼設置與信用卡密碼設置不同,等于上了“雙密碼”保險,即使登錄假銀行,黑客根據盜取到的密碼,只能查詢賬戶明細賬單及進行網上繳費等小金額交易,以300元為上限。
“這樣就能有效地將消費者可能發生的損失降至最低。”專業版用戶如進行大宗轉賬仍需至柜臺簽約,每筆網上交易需從數字證書下載平臺下載證書,消費者還可通過賬戶變動通知通過短信隨時掌握自己賬戶內資金變化情況,一旦發現有異,可立即通過網上銀行、電話銀行或至柜臺辦理賬戶掛失。
黃文菁同時表示,由于網絡域名可由私人自行提出申請,銀行方面無權管理,如何杜絕類似“假冒銀行”事件發生,銀行方面也很無奈,同時提醒消費者,盡量不要使用搜索軟件搜索網上銀行網址,使網絡假銀行有可趁之機。
工商銀行:給網銀再上鎖
“盡管幾個月內兩次遭盜版,中國工商銀行仍是網絡安全最好的銀行之一。”中國工商銀行上海分行辦公室張小姐說,工商銀行推出了USBKEY服務以保網絡安全。簡單來說,USBKEY就是一把網絡鑰匙,這是由微軟開發的一種硬件加密系統,工行也是國內惟一一家使用USBKEY的銀行。USBKEY在外形和用法上類似可移動磁盤(俗稱u盤),一旦用戶登錄網上銀行進行網上轉賬,除了需要密碼外,必須在USB接口上插入USBKEY,確認后方可實現操作,相對于“赤裸裸”的密碼,隨身攜帶左右的
USBKEY等于給網絡交易上了第二把鎖。但張小姐同時表示,目前USBKEY在網上銀行用戶中的使用率并不高。
提醒:安全使用網銀
1.避免使用搜索引擎
從正規銀行網點取得網絡銀行網址并牢記,登陸網銀時盡量避免使用搜索引擎或網絡實名,以免混淆視聽。
2.設置混合密碼、雙密碼
密碼設置應避免與個人資料相關,建議選用數字、字母混合密碼,提高密碼破解難度并妥善保管,交易密碼盡量與信用卡密碼不同。
3.定期查看交易記錄
定期查看網銀辦理的轉帳和支付等業務記錄,或通過短信定制賬戶變動通知,隨時掌握賬戶變動情況。
4.妥善保管數字證書
避免在公用計算機上使用網銀,以防數字證書等機密資料落入他人之手。
5.警惕電子郵件鏈接
網上銀行一般不會通過電子郵件發出“系統維護、升級”提示,若遇重大事件,系統必須暫停服務,銀行會提前公告顧客。一旦發現資料被盜,應立即修改相關交易密碼或進行銀行卡掛失。
部分銀行官方網址
中國工商銀行www.icbc.com.cn
中國銀行www.bank-of-china.com
中國建設銀行www.ccb.cn
中國農業銀行www.95599.cn
光大銀行www.cebbank.com
華夏銀行www.hxbank.com.cn
民生銀行www.cmbc.com.cn
招商銀行www.cmbchina.com
交通銀行www.bankcomm.com
浦東發展銀行www.spdb.com.cn
福建興業銀行www.cib.com.cn
北京銀行www.bankofbeijing.com.cn
廣東發展銀行ebank.gdb.com.cn
中信實業銀行sh.citicib.com.cn
(戴凌云倪佳)
