網上銀行安全事故頻發 理財反恐戰爭打響

　　去年12月7日，互聯網上出現了一個假的中國銀行網站，行標、欄目、新聞、地址，樣樣齊全。內蒙古呼和浩特一市民，因登錄了這個假網站，卡里的2.5萬元莫名其妙地不見了。隨后不久，假中國工商銀行、假銀聯、假農業銀行的網站相繼出現，一時間網上銀行安全話題成了網上熱議的焦點。其實，近兩年來，我國有關網上銀行安全的事故和危及網上銀行安全的隱患并不鮮見。2003年下半年，香港先后發現有不法分子偽冒東亞、花旗、匯豐、寶源投資及中銀國際的網站。2003年12月至2004年2月初期間，長沙發生國內首例利用木馬病毒盜 竊網絡銀行資金案，多名受害人的招商銀行和民生銀行的賬戶及密碼被盜，造成8萬余元損失。網上銀行的安全事故頻發，一方面與用戶安全意識淡薄有關，另一方面也與網上銀行本身存在的安全隱憂分不開。

　　美麗的網上理財家園

　　網上銀行包括兩種類型：一種是以互聯網為背景的由傳統銀行開拓的網上銀行；另一種是在傳統銀行之外興起的以互聯網絡技術為依托的、一種設在互聯網上的、沒有任何實質分支機構的虛擬銀行。我國網上銀行主要是前一種。網上銀行具有網上購物、網上支付、網上自動轉賬、貸款查詢、集團理財、客戶服務、網上繳費等功能。自20世紀90年代中期由美國幾家銀行聯合在互聯網上成立了全球第一家網上銀行以來，世界各國的金融機構都在考察互聯網所提供的契機，把傳統的銀行業務開到互聯網上。有資料顯示，發達國家有85%的主要銀行已經或正在設立網站，在歐洲，已在互聯網上建立網址的銀行有150多家，美國2005年網上銀行業務量會超過50%。我國網上銀行業務起步較晚，從1998年第一筆網上銀行業務交易成功至今，我國正式建立網站的商業銀行達到了40多家，開展網上交易型網上銀行業務的商業銀行有30家。網上銀行個人客戶超過了4000萬，企業用戶已達60萬，2004年網上銀行交易量超過40萬億元，是2003年的兩倍。越來越多的人利用互聯網選擇個人財務產品、賬戶管理以及支付賬單，表明了消費者對該媒體的信賴感增強。中國金融認證中心(CFCA)的調查顯示，目前中國上網最頻繁的人群中，23%的人可望成為網上銀行的用戶。可見，我國網上銀行的前景是十分樂觀的。

　　有專家預測，2005年，我國的網上銀行用戶數將飆升到1.4億戶，網上銀行將成為商業銀行為高端客戶提供服務的主要方式。以中國工商銀行為例，工行在推出網上銀行、電話銀行、手機銀行等全套的電子銀行業務的同時，借助自己已有的實體網點優勢，以實體銀行的信譽、信用和基本功能為平臺，延伸虛擬網點，從而達到“1+1>2”的效果。據最新統計，到2004年11月末，工商銀行已擁有超過1000萬的個人網上銀行客戶和11萬余戶企業網上銀行客戶，600余戶“B2C”特約商戶以及近百戶”B2B“特約商戶，在線支付交易額累計突破50億元，成為我國電子商務最大的在線支付服務提供商。

　　而南京海關和中行、交行、招行等8家銀行合作推出的網上納稅系統，更是網上銀行成功應用的一例。利用網上銀行，辦理報關業務從企業預錄入報關單到銀行扣劃稅款，直至貨物放行，一般僅需30分鐘。企業繳納稅費時，從發出支付指令至收到支付成功回執，只需兩三分鐘。據了解，2004年前4個月企業通過省中行實施網上付稅就達7億元。一些個人用戶也頻繁使用網上銀行。以招行為例，只要在銀行開立了普通存折或一卡通賬戶，即可通過網絡方便地處理個人賬務。

　　襲擊警報頻響

　　網上銀行建立于計算機網絡基礎上，安全風險同時關系到網上銀行交易的雙方，就銀行來說，涉及到資料秘密及信用，而客戶則涉及到資金安全、隱私權。在現有的技術水平下，網上銀行面臨遠遠高于傳統銀行的交易風險和操作風險。這使得針對網上理財的恐怖襲擊頻頻發生。

　　密碼認證襲擊。目前，大多數網上銀行采取的是“ID和密碼”這一傳統認證手段，由于這一認證手段的脆弱性，如果用戶在網吧等場所使用網上銀行時就有可能被盜取密碼。因為登錄認證檢測有可能會成為作案者校驗并竊取密碼的機會。在傳統銀行業務中，密碼輸入一定次數仍然錯誤就會被停止服務，但是在網絡銀行中，企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法，即便登錄失敗，網站也不會將密碼視為無效。

　　假冒站點襲擊。一些作案者能夠很容易地假冒銀行網站，如果客戶不注意是很難發現的。作案者可以首先向客戶發送一個“本行網站正在進行促銷活動”等內容的虛假郵件，然后誘騙客戶訪問虛假站點。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢后，如果顯示出一個“服務馬上就要停止”的畫面，或者把客戶訪問重新引導到正規站點上，客戶當時是很難察覺的。這樣一來，就存在有人進行非法資金轉移的可能性。而虛假銷售網站也對登錄者構成風險。這類網站以低價出售市面熱銷商品，目的是盜取客戶銀行或銀行卡上的信息，如在網絡游戲中低價販賣武器裝備，就可借機盜取用戶賬號。

　　網絡病毒襲擊。據了解，木馬病毒“網銀大盜”對于用戶的計算機程序沒有任何影響，卻專門盜取網上銀行用戶賬號和密碼。前不久，一種稱為“超級網銀大盜”的病毒又驚現網絡，與“網銀大盜”只盜取一家網上銀行用戶號碼不同，此次變種更厲害，能盜取大部分網上銀行的賬號、密碼、驗證碼等。反病毒專家證實，存在安全隱患的網上銀行支付系統達32家。瑞星提供的案例顯示，2004年9月，網上一種名叫“快樂耳朵”的病毒可以竊取銀行的用戶賬號和密碼，有知名券商已遭遇了這種尷尬。

　　銀行先要拿起“槍”

　　網上支付的安全性問題事關網上銀行發展的前景，同時也決定電子商務發展的進程，解決好安全問題時不我待。盡管確保網上銀行安全絕非銀行一家之責，而需各方努力方能突圍。但作為服務的提供商，特別是為將來的中外資銀行競爭考慮，國內銀行的責任更顯重大。

　　據了解，外資銀行在我國為節約成本、提高競爭力，不采取廣設網點的策略，而是利用自身的高新技術優勢、經驗優勢，紛紛積極拓展網上銀行業務。2002年8月，東亞銀行經中國人民銀行批準，開展了個人網上銀行業務，此后，匯豐、恒生也獲準在我國內地開展個人網上銀行業務。2003年初，花旗銀行獲人行批準，對公司和個人同時提供網上銀行服務。網上銀行業務逐步成為外資銀行在我國廣開業務的有利途徑。中資銀行雖面臨西方國家絕對的技術優勢，龐大的實體營業網絡的作用大打折扣，且存在種種瓶頸和風險，但從長遠的戰略角度出發，對網上銀行的發展依然傾注了極大的精力，正在一步步爭取具有和國際同行一較高下的實力。如招商銀行的“一卡通”早已成為我國金融電子產品的知名品牌；工商銀行網站獲得了2002年度“全球最佳銀行網站”的榮譽，且2003年12月推出的“金融＠家”個人網上銀行業務頗受歡迎。

　　目前，我國各商業銀行致力于網上銀行的技術進步，也推動了網上銀行安全性能的提高。去年，中國銀行采用了國內自行開發的、具有非對稱密鑰算法的智能IC卡或電子鑰匙(US-BKEY)，以配合PKI技術和業務手段來確保網上銀行的安全。去年4月，招商銀行推出其在網上銀行領域的又一領先產品“移 動數字證書”，使招行網上個人銀行的使用范圍大大擴展，只要有電腦、能上網的地方(包括公共場所)都可以安全地進行轉賬匯款、投資理財操作。目前，中國銀行業已開通了安全認證制度，而工行上海分行已于去年12月11日對電子銀行系統進行了全面升級改造，還請來了微軟助陣。

　　2000年，由中國人民銀行牽頭，13家商業銀行共同出資成立了中國最具權威的CA機構———中國金融認證中心(CFCA)。CFCA的建成成為中國PKI技術發展的推動力，大量的商業銀行和銀聯組織以及其他金融機構將在CFCA的PKI基礎框架下實施電子商務和網絡金融業務。在“網銀大盜”、假冒銀行網站等事件接連發生后，中國金融認證中心(CFCA)立刻聯合16家商業銀行共同發起的“放心安全用網銀”聯合宣傳年活動。中國金融認證中心作為獨立于交易行為第三方，推出了CFCA網上銀行數字證書，并與十多家銀行、16家證券商、13家基金商建立業務聯系，將通過建立第三道防線———網上銀行數字證書，避免網上銀行襲擊事件的發生。不過，正所謂“道高一尺，魔高一丈”，可以肯定的是，就像當今世界的反恐戰爭一樣，網上銀行的“反恐”戰爭也將不見硝煙地長期打下去。夏志瓊

　　網上理財葵花寶典

　　第一勢：通過正確程序登錄銀行網站，切莫使用搜索引擎或網站鏈接間接進入。

　　第二勢：盡可能用移 動數字證書，移 動證書一般放置于IC卡或USBKEY中，使用移 動數字證書時插在計算機上，不用時拔走。

　　第三勢：不要在公用計算機上安裝文件數字證書。一定要為文件數字證書作備份，但備份不要放在計算機硬盤上，要放在可移 動存貯介質上(U盤，個人移 動硬盤)，以免外人拷走機器內的文件數字證書相關程序。

　　第四勢：拒絕任何通過電子郵件、電話和短信等方式索要賬戶和密碼的行為。對于來歷不明的郵件，尤其是發件人不認識，標題怪異不能理解的郵件，最好是一刪了之，根本不看。

　　第五勢：不要從不知名的網站上下載數據；不要在不知名的網站上輸入個人隱私信息。

　　第六勢：不要用生日、辦公電話、家里電話直接做密碼，一定要做變換記憶。用自己喜歡的一段歌詞或者一段詩歌作密碼是一個簡單易記得好方法。

　　第七勢：最好采用系列密碼控制自己的各個賬戶，不要一個密碼管所有的事。

　　第八勢：定期查閱銀行戶口結余及交易記錄，發現異常或差錯，立即與銀行聯系；

　　第九勢：為電腦安裝防火墻程序并經常升級，防止個人賬戶信息遭到黑客竊取。