脆弱的銀行卡

　　短信、網銀、ATM，在為我們提供方便的同時，也成了不法分子詐騙的“夢幻組合”，誰該為此承擔更多的責任

　　本刊記者 覃旭

　　向林在北京過“十一黃金周”的第二天心情很是不爽，因為一大早就被一個手機短信

吵醒了：“×××您好！您于西單商場刷卡消費12000元成功，即將從您的銀行卡中扣除。如有疑問，請撥×××-××××××××銀聯聯合管理局。”打算去爬香山的他著實被這條短信嚇著了，正準備給那個電話回過去，警惕性高的妻子拿出錢包打開一看，銀行卡還在，“這是怎么回事啊？昨天我根本就沒去西單商場啊！”細心的她看見卡的背面有客服電話，說：“現在騙子多，你還是打這個客服電話吧。”客服中心確認消費一事子虛烏有，向林夫婦懸著的心才放下來。

　　據了解，“十一”期間收到類似短信的人不下于數十萬人，向林夫婦是幸運的，警惕性讓他們沒有損失自己的財產。據公安部門介紹，因為相信這類短信損失財產的消費者不下百人，僅北京警方在短短十幾天就接到110報警上萬次，確認的損失金額高達440萬元之巨。一時短信詐騙成災，銀行卡安全成為焦點話題：誰來保證我們的存款和安全？

　　“看好你的銀行卡，鎖住你的個人信息。”這不是電影里的臺詞，是專家的警告，因為蒙面大盜不在萬里之外，他就在你的手指旁。

　　短信蒙客瞄上銀行卡

　　“銀行卡從出世之日就被黑手盯上了。”賽迪顧問公司曾建平博士接受記者采訪時說，銀行卡給消費者帶來便利的同時，也帶來了風險。

　　“從時間上看，短信蒙客出現的時間要比網銀大盜早，它的技術水平要低下得多，”其實，在前幾年前電話和短信詐騙幾乎人所共知，受騙上當的主要是老年人，短信蒙客利用老年人警惕性弱的心里進行詐騙，技術含量低下，只能詐騙離退休人群等邊緣化群體。這個階段隨著社會宣傳力度加大老年人信息量的加大而迅速結束。

　　但是這次短信詐騙為何如此輕易得手？并且如此大面積成災？一時間人們普遍或者擔心或者質疑電信銀行等管理部門失職。其實，從騙術的特色來看，主要的是此次詐騙對詐騙技術進行了升級，與警方和銀行等頗具公信力的部門掛在一起，并且還利用節假日信息溝通服務不暢的特點，解除消費者的戒備心，增加消費者的緊張心里，縮短其思考時間。如果僅僅就手機短信詐騙，讓消費者一眼就可以識別，“但是這次它是與電話與銀行卡聯系在一起，讓消費者從感覺上有信任感，從形式也沒大的問題，詐騙成功率自然就高多了。”曾建平告訴記者，利用新技術詐騙實際上有一個升級過程。此案告破后，廈門警方證實，這種詐騙手法源于臺灣，今年初進入大陸內地。

　　臺灣人張某今年初與內地人潘某、黃某等人，成立“股份制”的專業詐騙公司。他們靠手機短信“群發器”傳輸信息，其手法與“中獎短信”雷同，但是他們此次借鑒了國外某些詐騙的經驗，在行騙的環節上加上了電子網絡，并且偽裝警方、銀行客服中心或者銀行監管部門，接傳輸設備相連之后，所有電話都是轉到他們手里的幾部話機，他們內部分工明確，犯罪的專業化程度也越來越高，詐騙方式具有相當高的技術含量。

　　“詐騙已經升級了。葛優演的黎叔在《天下無賊》里說的話很有預見性：我最討厭打劫，沒有技術含量。今天的竊賊也不再是以前那種頭腦簡單的毛賊，也是智能化了。盡管在本案里的那個犯罪嫌疑人才初中畢業，但是他的工具和操作流程是由外面的高人指揮的，而我們的金融監管與銀行和通訊運營商對銀行卡的安全升級措施研究實踐還沒有及時跟上。”曾博士介紹說。

　　更具殺傷力的詐騙

　　“騙子此次行騙用了一些技術手段，模擬銀行服務方式，利用持卡人對電子化技術的不了解和不熟悉，盜竊客戶的賬號及密碼，因為網上對客戶身份不識別，信息不對稱。”曾建平分析道。網絡大盜利用新技術手段進行網上詐騙手法更狠。這次騙局受害者沒有看見那只黑手，但是聽到了騙子的聲音。而在將來越來越多的中級騙局里，受害者連聲音也無法聽到，那就是在消費者不經意間，你的銀行賬號密碼都發到居心叵測者手里了，銀行卡里的存款就被人以貌似合法的方式轉走了。

　　“從本月起只要輸入“工行.cn”，便直接登錄了工商銀行網上銀行。”這是銀行針對惡名遠揚的“網絡釣魚”者采取的防范新招。

　　“網絡釣魚”已經釣到不少了消費者銀行卡里的存款，而受害者還不知道咋回事。“去年底，我的郵箱收到了‘工行的安全警報’的郵件，通知我說，由于在網上銀行登陸輸入錯誤，可能賬號和密碼被不法分子盜用，要我盡快點擊工行網站，進入金融E通道修改密碼。他提供的網站看來與中國工商銀行一樣，實際上有個I與1的區別。我準備按要求操作，習慣性一看發信地址，不像銀行發的，再加上我自己經常上網對網絡還懂得一二，沒有理睬這個來路不明的郵件。”在銀行采訪時大廳里一個張姓儲戶告訴記者，釣魚者四處放線。事實上，總共有三大銀行被假冒，并且還蒙住了不少沒有認真查看的瀏覽者。

　　“釣魚者釣魚辦法有了一定的技術含量，騙子建立假冒的網上銀行，起的域名和建的網頁內容都模仿真正的網上銀行，麻痹用戶，釣出用戶賬號和密碼等信息，再通過真正的網上銀行或者偽造銀行卡盜竊資金。這樣的詐騙手段顯然已經升級了。”何偉分析說，升級后的網絡詐騙危害性更加厲害。

　　一個廣為流傳的案例就是去年底的四川廣漢的陳先生登陸了一個網站，隨后，他的電腦多了一個程序，任務管理器顯示該程序正在運行，而且無法刪除。不久，在毫不知情的情況下，其賬戶中的

　　據專家介紹，類似的案件是有木馬病毒作怪。用戶下載這些網站的某些程序后，該程序會自動修改

　　來自國際反網絡詐騙組織的報告顯示，中國已經成為僅次于美國，世界上第二大擁有仿冒域名及網站的國家，占全球域名仿冒總份額的12%。

　　該打誰的板子？

　　“這么多的垃圾短信、黃色短信、詐騙短信都是怎么發出來的？不是通過電信部門的嗎？他們為何不把關？”短信詐騙成為災難后，人們在提高警惕性之余也在反思這類短信是如何泛濫成災的，一個不可以忽略的環節就是電信運營部門提供了技術服務平臺，消費者普遍質疑的是：電信運營商除了追求經濟效益是否還得考量社會責任？

　　而根據中關村某短信群發代理公司總經理李民的解釋，“我們與運營商都簽有協議的，我們兩邊是按照協議規定進行利潤分成。我們每發一條給運營商交的錢有的一分多有的二分多，我們從客戶那里收的就是七八分，如果量多價格可以談，實際上我們的利潤就是來自差額。”

　　在這個由運營商、服務提供商、商家、消費者、受騙者等組成的商業生態鏈里，前三個環節是獲得利益的，作為短信發射終端的電信運營商應該是利益的最大獲益者，“他們難道除了考慮收益就不負管理之責嗎？”是社會普遍的質疑之聲，電信運營商成為這一事件的議論焦點。

　　“我們作為商家不好監測別的商家發送的信息到底是普通商業短信或者騙人短信，也不能夠去檢查人家的內容，他們買卡了當然是想發就發，想什么時間發都可以，我們無從判斷他們的短信是否搞詐騙。”采訪中，在北京豐臺某通訊公司從事短信工作的翟小姐告訴記者，商業短信業務不錯，但是監控短信內容實在不易。

　　根據中國移動數據部部長葉兵介紹，每天在線用戶1.5億，每天短信的流量在6.7億條。當然在如此海量的信息里自然包含有一些垃圾短信黃色短信和欺騙性短信。從技術層面來說，目前很難區分出信息的良莠。而同為運營商的

　　“其實，不良短信的收入大約在幾十億元的規模，而在總收入中所占比重不是很大，其利潤收入與巨大的市場規模相比還是比較小，運營商也一直在努力，從去年六七月開始，他們就一直在整頓治理sp公司。這是一個系統工程，需要各方面配合。”信息產業部研究院從事政策研究的何偉告訴記者。

　　專門研究電子金融的專家IBM部門副總黎江對此有自己的看法：“如果你收到一封信件，因此信而遭到欺詐，難道因此要把責任歸于郵局？”何偉也同時表示，“電信運營商提供的平臺是一個服務平臺，只是一個渠道，不能因為出現了短信詐騙就把一切責任都推給平臺提供商。”

　　據有關信息靈通人士透露，公安部門目前正在和電信及相關技術部門接洽，希望對相關運營商的行為進行規范。此前，有關部門曾與相關通信公司接洽過，但因經濟利益終于未果。根據這位消息人士表示，此此“接洽”的結果比較樂觀，有關部門將與電信、技術部門封堵各種不良短信。

　　銀行也是一個大家所關注的點，但是在整個事件里，銀行自身的服務體系、安全體系并沒有出現大的漏洞，并且這次詐騙事情發生后，銀聯及中國建設銀行等部門反應迅速，及時向客戶發布防范提示，消費者對金融部門的反映速度是認可的。

　　尤其讓銀行方面松一口氣的是，這次大面積的短信詐騙并沒有涉及到銀行部門的許多技術問題，如攻破防火墻等案例沒有發生，此前銀行在這個方面花了很大的精力，因為他們認為鎖好門是第一位的，當然這個思想是正確的。“這次詐騙實際上還是比較低級的詐騙，沒有太多的技術含量，但是，我們的消費者對這個低級的詐騙就已經顯得無力識別與防范了，說明我們的銀行與儲戶在信息識別與管理方面還要加強。銀行對儲戶的識別最好不要僅僅憑一卡一折，西方銀行要求儲戶提供全面的真實的個人信息，并且還要求在幾個月內補充信息，否則就是不安全客戶，出了問題后果自己負責。信息安全一定要通過更多真實的信息來完善，電子化就是解決身份識別與確認的問題。”黎江說。

　　事實上，這次受騙的消費者多不經常使用電子化產品，他們在自助設備上操作時，有的用戶輸入數字的時候，不知道哪項是密碼哪個是金額，顯然不是銀行技術問題，而是自助設備的使用問題，是流程問題。銀行應該抓緊普及銀行自助業務的常識，引導消費者，以免其受騙。作為消費者要有合同意識，需要網上提示服務或者短信提示服務都可以合同形式固定下來，不需要的也可以以合同形式提出來，這樣有利于保護自己的合法利益不受侵害。

　　如何阻擊黑手？

　　“網銀大盜”、“網絡釣魚”、“假銀行網站”等惡性事件不斷發生，表明今年眾多網絡銀行詐騙案例的問題從域名開端。為了防范網絡釣魚，保障網絡銀行安全，中國銀行、中國建設銀行、中國農業銀行和中國工商銀行等國內各大商業銀行全面啟用域名安全防范措施，紛紛啟用中文域名作為地址欄入口處的安全屏障。

　　“前一段已經關閉了那三個模仿真網銀網站的釣魚網站，但是不意味釣魚者就不會再模仿別的商業銀行的網站，此次幾大商業銀行域名防范應該說是及時的，安裝了中文上網官方版軟件的網絡用戶只要在地址欄中輸入諸如“農業銀行.cn”、“建設銀行.cn”等，便可以直達各大銀行網站，可以有效地規避因英文拼寫錯誤中了釣魚者的陷阱。”賽迪顧問公司曾建平博士分析認為，商業銀行應該采取更多的安全防范措施。

　　網上支付日益普及，據統計，到去年年底，我國網上銀行的客戶已經達2700多萬了，交易量40多萬億人民幣。調查發現，在現有用戶中有70.18%首先考慮要網上支付，65%是轉賬服務，這說明網民現在使用網絡銀行時最重要的功能就是做網上支付。網上支付安全確實是關鍵因素。與此相伴的是，更多的升級病毒瞄準網上支付系統。網上交易還安全嗎？消費者還敢在網上買賣股票、查詢賬戶、網上購物......？中國互聯網絡信息中心2004年公布的相關調查報告顯示，不愿選擇網上銀行的客戶中有76%是出于安全考慮。網上銀行的安全成為國內電子銀行業務發展的瓶頸。

　　網上交易的安全鏈條由銀行、消費者和商戶網站等要素組成，那么在共同建立安全的網上交易環境中誰是主力？每個要素應該承擔何種責任？

　　銀行毫無疑問是阻擊網絡黑手的主力，因為從金融服務的職能與業務流程來說它居于中心地位，要實現網上支付的安全功能，銀行卡的技術安全性是基本條件。

　　“網上支付到底安全還是不安全？網上支付肯定是安全的，我們行這些年來沒有出現一起被盜竊的事情，要攻破我們的網絡得萬年。”供職于中國民生銀行個人銀行部的曾楨很自信地告訴記者，網銀安全無疑。

　　根據中國工商銀行電子銀行部副總經理陳靜嫻介紹，他們除了有一系列措施保證網絡安全以外，網絡銀行還采取交易安全的措施，區分客戶的等級，設計兩種不同方式的保護措施，第一種對普通客戶來說，銀行設計了登陸號加密碼的認證方式，用戶號碼加雙重密碼，首先是登陸密碼，另外在在線支付的時候有一個支付密碼。因此，使用這種個人網上銀行的時候，客戶具有的條件：養成很好的安全使用的習慣，有一定的操作水平，能夠及時下載系統的補丁，使用正版殺毒軟件等等，同時也要有一個意識，盡量使自己的銀行卡的密碼、網上銀行的密碼與其它網站的密碼等設置成不同的密碼，不要使其他密碼攻破以后帶來網上銀行密碼的泄露。

　　第二個類型認證方式是使用IC卡和USB卡物理介質的證書認證方式。用證書驗證客戶的身份，確保客戶為銀行真正的客戶，防止其他客戶非法使用。證書具有不可復制性，僅由客戶自己保管和使用，因此用了客戶證書以后，即便是有假網站、病毒感染、黑客入侵，不慎泄露銀行卡和其他資料，只要物理證書不丟失，仍然能確保資金從網上銀行不會盜取。

　　“我們在這里負責任地說，工商銀行企業網銀已經運行了五年，個人客戶證書也推出了兩年，累計辦理了幾億筆的資金轉賬業務，從沒有出現過一筆資金被冒用或者被盜用的問題。”陳靜嫻在論壇上說。

　　從實踐上講，網上支付也是安全的。用數字證書做網上交易，無論在國際還是在國內，到目前為止，沒有發生過一例因為安全機制問題造成交易爭議或者交易損失的。我們雖然在網上經常看到關于網上支付安全的種種案例或者說關于網上支付不安全的報道，但是這些報道的案例中，沒有采用安全的手段。中國金融認證中心助理總經理曹小青在前不久在“2005首屆中國網上支付發展論壇”上分析認為，在結論上與陳靜嫻的一致。

　　調查數據顯示，或者是宣傳不夠，許多客戶對網銀了解不夠，不知道用用戶名和密碼潛在的風險，也不知道數字證書安全到什么程度。“可見如果不是具有良好的習慣，在使用網上銀行的時候是存在一定風險的，這需要消費者自己注意。”何偉提醒消費者。

　　“我們的安全機制可能還是完善的，并沒有出現是安全機制的問題大面積被攻破的案例，只是因為執行安全機制的過程中，存在一些管理環節的問題，實踐中如果恰當執行了完善的安全機制，無論電子商務也好還是網上銀行也好，都能保證支付交易的安全性。”黎江說。

　　據專家介紹在實際執行環節里面，可能發生比較多的問題還是用戶的身份認證。網上支付認證手段分析表明，身份確認是信息安全的薄弱環節。認證手段，通常來看有幾種，一是用戶名和密碼，用戶名和密碼是不安全的，特別是在網上，只用用戶名和密碼非常容易出安全故障。而證書認證是比較安全的，也是很方便的。

　　“電子卡、銀行卡、網銀卡都要注意身份的雙向識別，大家對身份識別一時要增加更多的可靠信息，銀行要讓儲戶多提交真實可靠的信息，消費者一定要把自己更加多的、真實的信息提供給銀行，便于通過網銀、手機等辦理業務的時候，銀行識別客戶，也便于客戶識別銀行與騙子。”黎江提出建議。

　　作為消費者與客戶，良好的消費習慣與對自助設備的了解也是確保存款安全的一個重要措施。我們在許多銀行里或者其他金融機構經常可以看見有安全提示，其中就有明確提示，每種業務有何種風險，并且善意提醒或者建議大家如何防范，尤其在安全使用網上銀行業務方面做得更細。