基金打造電子交易安全盾牌迎戰(zhàn)網(wǎng)絡(luò)釣客

　　見(jiàn)習(xí)記者 郭曉靖 廣州報(bào)道

　　在一個(gè)網(wǎng)絡(luò)釣客出沒(méi)的時(shí)代，我們的基金交易還安全嗎？

　　李小姐是個(gè)基金投資者，她打開(kāi)電腦看到某基金公司開(kāi)通網(wǎng)上交易的通知。這個(gè)消息并不讓她驚奇，因?yàn)樵絹?lái)越多的基金公司開(kāi)通網(wǎng)上交易業(yè)務(wù)。

　　但是這塊業(yè)務(wù)卻為另外一個(gè)群體帶來(lái)振奮，他們就是網(wǎng)絡(luò)釣客。

　　“大魚(yú)”的隱患

　　從2003年4月7日華安基金管理公司攜手民生銀行，推出國(guó)內(nèi)第一個(gè)基金網(wǎng)上交易系統(tǒng)之后，釣客們的目標(biāo)就多了一個(gè)。而招商基金2004年網(wǎng)上交易獲得了巨大的成功。招商基金第四季度網(wǎng)上交易次數(shù)占總交易次數(shù)的80%，而交易額則達(dá)到了50%以上，甚至已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了柜臺(tái)交易的數(shù)量。

　　基金電子交易的快速發(fā)展，使之逐漸成為網(wǎng)絡(luò)釣客眼中的大魚(yú)。

　　在國(guó)外，確實(shí)有基金在電子交易過(guò)程中被釣客攻擊。國(guó)內(nèi)的基金電子交易無(wú)論從交易數(shù)量還是從規(guī)模上看比國(guó)外要小得多，暫時(shí)還沒(méi)有這方面的現(xiàn)實(shí)案例。

　　但有知情人士透露，在國(guó)內(nèi)確實(shí)有人將基金視為大魚(yú)，并嘗試釣魚(yú)上鉤。值得慶幸的是，目前國(guó)內(nèi)還沒(méi)有釣客成功得手，但是安全隱患確實(shí)存在。“目前最主要的風(fēng)險(xiǎn)存在于交易前后。”易方達(dá)基金前

　　在客戶進(jìn)入基金網(wǎng)上交易之前，木馬程序可能會(huì)通過(guò)各種方式被植入客戶的電腦。例如，有時(shí)頁(yè)面突然彈出的窗口被無(wú)意點(diǎn)擊后，木馬程序可能就已經(jīng)被植入。在這樣的情況下，客戶為交易而設(shè)置的密碼和數(shù)字證書(shū)就可能被竊。

　　根據(jù)2004年生效的《中華人民共和國(guó)電子簽名法》的有關(guān)規(guī)定，“收件人按照發(fā)件人認(rèn)可的方法對(duì)數(shù)據(jù)電文進(jìn)行驗(yàn)證后結(jié)果相符的”，數(shù)據(jù)電文“視為發(fā)件人發(fā)送”。如果釣客成功盜取了客戶的密碼和數(shù)字證書(shū)等資料，并向銀行和基金公司提供，那么其后果將由客戶自身承擔(dān)。

　　當(dāng)然，現(xiàn)在銀行交易的改進(jìn)會(huì)有助于安全防范。有些銀行會(huì)提供一個(gè)像小U盤(pán)一樣移動(dòng)數(shù)字證書(shū)，只有用戶插上它后才能完成大宗交易。

　　另外，在交易之后，如果客戶沒(méi)有及時(shí)退出“網(wǎng)上交易”或者關(guān)閉瀏覽器，在離開(kāi)時(shí)可能被他人進(jìn)行交易。一般銀行會(huì)對(duì)頁(yè)面有一定的時(shí)間限制，如果在一定時(shí)間內(nèi)，沒(méi)有任何操作的話，過(guò)時(shí)后的再次操作必須重新輸入信息。

　　釣客陰謀暫難得逞。

　　相對(duì)于交易前后的風(fēng)險(xiǎn)，交易過(guò)程中反而相對(duì)安全。據(jù)黃少寅介紹，國(guó)內(nèi)的基金公司比較多采用的是非對(duì)稱加密技術(shù)。如果不是接入服務(wù)商，就很難解密。因此一旦進(jìn)入交易過(guò)程，釣客想攻克就比較困難。

　　尤其是基金公司如果向銀行要求，對(duì)客戶購(gòu)買基金的

　　長(zhǎng)盛基金技術(shù)部總監(jiān)陳偉也認(rèn)為基金目前還不像銀行那樣成為釣客們的主要目標(biāo)。因?yàn)殂y行的客戶量和交易數(shù)量較基金公司要大得多，因此目標(biāo)比較大。

　　由于基金交易一般使用數(shù)字證書(shū)來(lái)加以保護(hù)。因此，就算釣客取得密碼但沒(méi)有數(shù)字證書(shū)，也只能小額取錢，損失不會(huì)很大。

　　陳偉說(shuō)，長(zhǎng)盛基金目前電子交易主要針對(duì)直銷客戶，數(shù)額還不大。大部分交易仍由銀行或券商來(lái)代銷，占了銷售額的80%-90%。在這種情況下，交易安全由代銷機(jī)構(gòu)的安全保障系統(tǒng)加以防范。而基金公司所做的直銷電子交易，其安全由基金公司保障。由于直銷比重相對(duì)較小，因此出現(xiàn)安全問(wèn)題的概率也比較小。

　　多方保護(hù)

　　“現(xiàn)在釣客想釣基金，很可能也只是損人不利己。”雖然，黃少寅對(duì)目前基金電子交易的安全性表現(xiàn)出來(lái)的自信可以讓很多人放心。但是誰(shuí)也不知道這種安全能維持多久。基金公司的未雨綢繆并非多此一舉。

　　長(zhǎng)盛基金采用非對(duì)稱加密技術(shù)等為主要的防范方式。客戶登錄銀行頁(yè)面后進(jìn)行交易，銀行用公鑰加以加密，基金公司再以私鑰加密。而私鑰只掌握在基金公司手中。

　　而銀華基金則采取了固定賬號(hào)的防范方式。資金在基金公司和客戶之間流轉(zhuǎn)時(shí)，基金公司將所有劃出的資金轉(zhuǎn)到客戶開(kāi)戶時(shí)預(yù)留的銀行賬號(hào)，而且要求銀行賬戶為客戶本人的實(shí)名賬戶。并且禁止客戶在通過(guò)網(wǎng)上交易改賬號(hào)，如需改賬號(hào)必須親自去柜臺(tái)。在這樣的業(yè)務(wù)流程中，釣客們很難找到下手的環(huán)節(jié)。

　　另外，該公司的服務(wù)器與客戶瀏覽器進(jìn)行數(shù)據(jù)傳輸時(shí)，經(jīng)過(guò)加密來(lái)保證數(shù)據(jù)傳輸安全。進(jìn)入支付環(huán)節(jié)后，會(huì)被轉(zhuǎn)到相關(guān)銀行的支付頁(yè)面，資金由銀行的安全機(jī)制加以保護(hù)，基金公司并不獲取客戶支付密碼的信息。

　　銀華基金這種固定賬號(hào)的方式使用較為普遍。基金公司一般只允許客戶掛一個(gè)賬戶。如果允許客戶掛多個(gè)賬戶，釣客就可以偽造身份證的方式另掛賬戶，從而進(jìn)行轉(zhuǎn)賬。

　　即使在這樣的情況下，如果客戶因疏忽而被釣客盜取了固定賬戶的基本資料，同樣可能被釣客們得手。因此，客戶的自我保護(hù)意識(shí)就顯得尤其重要。

　　目前銀行一般會(huì)向客戶提供數(shù)字證書(shū)和密碼兩種方式。雖然數(shù)字證書(shū)的安全級(jí)別高，由于使用起來(lái)不如直接輸密碼方便，而且很多用戶對(duì)此也不是很懂，因此安全級(jí)別較低的密碼反而使用普遍。

　　“想要安全就要不怕麻煩。”黃少寅對(duì)此發(fā)出了如此感慨。

　　如果客戶使用數(shù)字證書(shū)，釣客們將很難對(duì)此進(jìn)行攻克。因?yàn)閿?shù)字證書(shū)是一個(gè)小程序，一般裝在自己的電腦中或用U盤(pán)將之下載到將要使用的電腦上。

　　另外銀行也會(huì)設(shè)置多重密碼來(lái)加以保護(hù)。例如在認(rèn)證身份時(shí)為一個(gè)密碼，在進(jìn)行交易的時(shí)候又是另一個(gè)密碼。釣客們所做的頁(yè)面往往在要求用戶輸入交易密碼后，稱“卡的密碼不正確”并要求重輸，從而騙取用戶的銀行卡的密碼。

　　因此，長(zhǎng)盛基金技術(shù)總監(jiān)陳偉認(rèn)為，客戶有必須看清域名是否正確，不要輕易輸入密碼。