理財周報記者 冀欣/文

　　為什么是中行：動態E令容易被攻破利用， 密碼單一防火墻脆弱，網上銀行無須密碼即可開通手機銀行

　　近一個月內眾多中行網銀客戶先后經歷“驚魂300秒”，賬戶內資金瞬間被釣魚網站洗劫一空。中國互聯網信息舉報中心監測數據顯示，近期網銀盜竊侵財型案件舉報甚多，特別是假冒中國銀行網站大幅增加，數量已多達近70個。針對中行網銀的高智能詐騙案呈高發態勢，并以驚人速度向全國蔓延。

　　一時間，人人自危。中行陷入輿論風暴眼，不得不面對安全性的質疑和考驗。

　　假冒中行網銀詐騙案件井噴

　　2011年1月13日，南京的王言(化名)先生突然收到一條手機短信：“尊敬的網銀用戶，你的中行E令將于次日過期，請盡快進行升級，給您帶來不便請諒解，詳詢95566(中國銀行)。”

　　而王先生正是中國銀行的網銀用戶，王先生向記者道：”銀行的客戶經理平時也常發短信提示用戶辦理各項業務”，所以王先生雖然發現是來自一個陌生手機，但也并沒有產生懷疑，隨即利用電腦，根據短信提示的內容登錄短信內的“中國銀行”的網址，并未發現異常，便根據網頁提示，輸入自己的用戶名、密碼以及隨機產生的中行E令(動態口令)等信息，在頁面顯示升級成功。王先生在退出頁面后猛然發覺不對，再次登錄時，發現自己賬戶內的100萬元已經被全部轉走。

　　無獨有偶，來自深圳的黃先生也遭遇了同樣的經歷。其賬戶內存款被分四次轉出，只剩下零頭。而紹興的一位商人則被同樣的手段騙取資金接近200萬元。

　　上述幾位受害者告訴理財周報記者，近期江蘇浙江地區此類案件高發近乎猖獗。全國范圍來看，涉案金額應已接近1個億，保守估計最少也超過4000萬元。超過百萬元的大案并不鮮見。

　　究竟在這短短的一個多月里，有多少客戶的資產遭到假冒中國銀行釣魚網站的侵蝕，暫難獲得準確數據。但是事態的嚴重性已從公開信息中得到證實，據不完全統計，僅1月10日-20日之間，江蘇省此類案件就發生上百起，浙江省也有近50起，涉案總金額巨大。據金山網絡云安全中心統計數據顯示，近期已有超過5萬名用戶訪問過中國銀行的仿冒網站。

　　據了解，上述案件中犯罪分子的作案手法如出一轍。受害人均收到陌生手機號碼發送的短信，提示其銀行網銀動態口令將于次日過期，讓其盡快登入中國銀行網站進行升級。一旦事主登錄短信內留下的網站，所輸入的網銀用戶名、密碼、動態口令等就會被“釣魚”程序竊取，其網銀賬戶內款項在幾分鐘內被迅速轉走。

　　E令設計被疑潛藏安全漏洞

　　有關釣魚網站的詐騙相信都早有耳聞，不少銀行也都會面對此類的困擾，但是為什么如此集中于中國銀行，很多人都在疑問。

　　中國互聯網信息舉報中心主任助理郝志超曾在接受采訪時有所言明：“中行的網銀系統還是有問題的，它的動態E令被犯罪分子利用了。中國互聯網信息舉報中心已經敦請中國銀行進一步完善網銀業務流程，不給犯罪分子可乘之機。”

　　E令到底存在怎樣的問題？

　　中國金融認證中心相關負責人告訴記者，目前用戶端網銀安全工具主要包括：數字證書、動態口令、手機驗證三種。得到廣泛使用并且安全保障程度較高的是數字證書，通常被存儲在USBKey(俗稱的“U盾”)之中。用戶在登錄銀行網站進行交易時，在電腦上插入Ukey，就相當于向銀行亮出“網絡身份證”。

　　UKey硬件本身有一個PIN碼，相當于我們銀行卡的密碼，當用戶在電腦中插入UKey時，只有在輸入PIN碼以后才能使用。同時，UKey證書中不僅包含用戶的身份信息，還包含另外一段由用戶獨有的特殊數據信息，在學術上叫做“私鑰“，只由用戶自己所特有，而且每個用戶持有的都不相同。用戶每次在網銀中交易時，交易的關鍵信息都會送入USBKey，在USBKey中進行電子簽名。簡單來說，只要USBKey在用戶手中，黑客就很難攔截這個密碼，即使得逞也難以完成轉賬。招商銀行、工商銀行等目前采取的就是以USBKey為主的安全工具。

　　而中國銀行選擇的是用動態口令保護用戶網銀安全。動態口令就是只能使用一次的密碼，這種動態密碼的原理在于：它通過特定的計算方式在用戶處產生一個隨機變化的密碼，同時銀行處也能產生一個相同的密碼，用戶使用這個密碼登錄網銀時，兩個密碼相比較，若匹配則表示已通過驗證，用戶可進行下一步的操作。

　　中行“E令”，實際上就是“電子動態口令生成器”，是由中國銀行推出的一種硬件動態口令牌。它由內置電源、密碼生成芯片和顯示屏等組成，根據專門的計算法則，每隔60秒會自動更新一個動態口令，要求用戶在60秒內輸入，以保障網銀操作安全。然而此輪網銀詐騙，絕大部分案例都以“中行E令”為幌子，眾多用戶質疑號稱動態安保的“中行E令”此時已形同虛設。

　　中行工作人員對此回應稱，中行對個人網銀賬戶的安全防范是獲得國家有關部門認可安全可靠的。詐騙發生，主要是用戶登錄假網站，被騙取密碼和動態口令所致，跟網銀本身的設計沒有什么關系。

　　可能并非如此。

　　先來看看中國銀行網銀的安全保障體系，目前多數銀行采取多因素、多渠道的認證方式，安全級別設置也較高。但是中國銀行網銀在大規模的“釣魚案件”發生時，只可選擇動態口令這一項安全工具，安全防護措施相對簡單，不久前才剛剛進行了改進，增加了短信認證這一環節，遭到了不少客戶的質疑。

　　再來看看中行網銀主推的安全工具動態口令。中國金融認證中心專家認為，動態口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動態口令在1分鐘內都會有效。而就是這短短的一分鐘，讓不法分子有了可乘之機。上文述幾位受害者也紛紛表示了對動態口令的不滿：“一分鐘時間足夠操作熟練的人完成整個犯罪過程，動態口令這種安全工具本身就有問題。”

　　但是國內主流銀行中唯一與中行同樣使用動態口令的光大銀行網銀，卻一直在用戶中獲得不錯的美譽度，類似遭遇釣魚網站攻擊的事件也少有。

　　業內一位不愿具名的專家透露，問題不在動態口令，而在于中國銀行動態口令的設計存在一個明顯漏洞。

　　他表示，光大銀行的動態口令生成器命名為陽光令牌，用戶在登錄時需要輸入隨機口令，轉賬時還需要再度輸入事先設置的轉賬密碼，兩道防護線保護安全。而中國銀行網銀之前只需要輸入口令就可以完成轉賬，一旦遭遇釣魚網站攔截或口令牌遺失，客戶賬戶安全就難以保障。

　　中行緊急行動再次暴露隱患

　　層出不窮的詐騙案件也引起了中國銀行的重視。如今，他們已在網銀轉賬業務上增設防線，1月21日起，大幅降低用戶單筆轉賬金額；自動向用戶發送交易口令確認碼，只有用戶確認后，才能轉賬，這種方法確實在一定程度上遏制了此類案件的蔓延，尤其是大額詐騙案件。

　　但是涉案金額較小的假冒中行網銀案件依然層出不窮。上文所述黃先生表示，如果中行不從根本上改進其網銀的設計，僅僅采取降低單筆轉賬金額的方法，依然是治標不治本。

　　不可否認，增加轉賬過程中的短信認證環節確實發揮了很大的作用。可是緊隨其后的是花樣翻新的犯罪手段，中行網銀的另一漏洞浮出水面。

　　福州的張先生在2月14日親身經歷了類似的詐騙案件，然而有所不同的是，在中行已經降低網銀轉賬單筆最高限額至500元并增加了一道防火栓后，他賬戶內的2萬余元依然一次性通過手機銀行被竊走。

　　張先生十分不解，自己從未開通過手機銀行，為何犯罪分子能借助這種渠道完成轉賬，中行工作人員回應稱，中行手機銀行可以直接在網上銀行登錄頁面上開通，犯罪分子盜取網銀后直接開通了手機銀行，在沒有手機驗證碼的情況下依然成功轉賬。

　　張先生質疑為何手機銀行可以不需要任何證件就隨意開通，在近期網銀案件如此猖獗的情況下，銀行為何還是如此考慮不周。中行工作人員對此回應稱這確實是一個漏洞，目前中行手機銀行已停止通過網銀直接開通。

　　然而記者發稿前致電中行客服熱線，工作人員稱這樣的開通方式依然可以辦理。

　　中行陷風暴眼權責認定難

　　在系列案件集中爆發后，中行網銀站在了輿論的風暴眼。用戶人人自危，很多人都表示將不敢再使用中行網銀，甚至有人為保障安全已將中行賬戶中資金悉數取出。

　　其他各大銀行也風聲鶴唳，紛紛重點開展網銀使用的安全風險警示。

　　現在撥打中行的客服電話，等待鈴聲鋪天蓋地盡是網銀安全宣傳，其官方網站也增加了相應版塊，但這一切還是沒有平息此起彼伏的質疑之聲，

　　同為釣魚網站詐騙的受害者，來自北京的李小姐表示，中行網銀的問題其實存在了很久，去年315投訴就有很多。2010年12月各地此類案件也已非常普遍，可是并沒有引發中行的重視，直到1月20日才進行了系統改進，這樣的反應速度實在令人失望。

　　深圳的受害者黃先生也提出，事態發展已經比較嚴重，中行應該及時建立應急反應系統，在配合警方破案方面應該更加及時和積極主動，保護用戶的權益。

　　然而，更加激烈的還在后面。

　　理財周報記者了解到，遭到釣魚網站詐騙的部分中行客戶，已經開始向中國銀行申請索賠，理由是中行網銀系統存在漏洞以及在保護客戶資金安全工作上的失職，但持續無果。他們中的很多人醞釀抱團取暖，繼續爭取獲得賠償。

　　中行相關負責人對此回應，網銀用戶遭到犯罪分子欺詐，主要是防范意識不強，和網上操作的不規范造成，銀行有義務配合警方破案，但是不應當承擔賠償。

　　中國金融認證中心的相關負責人也表示，通過手機短信，銀行用戶上當受騙進入釣魚網站進行交易，這一欺詐主體不是銀行、也不是銀行網站，銀行應做的是盡到警示、提醒的責任，避免用戶上當受騙。

　　北京某律師事務所工作人員也坦言了自己的看法：“雖然從這些案件的作案方法上來看，銀行網銀系統應該是確實存在某種漏洞，因為銀行交易系統存在安全性能問題致使消費者賬號信息被竊取而丟失財產，則銀行未盡到協議中約定的安全交易保障義務，應當根據其過錯程度承擔相應民事責任。然而實際操作中，在判定是客戶端原因還是銀行系統原因時，鑒于技術問題的高壁壘，用戶在舉證上明顯處于不利地位，采取協商賠償的方式可能更好。