网上银行大众版成盗骗重灾区

一）网上个人银行安全之大众版

本周二，据中国银联总部一位不愿透露姓名的高层人士透露，于6月29日截止意见征集的由央行发布的《电子支付指引（征求意见稿）》的最终定稿目前还没有下发到银联。这表明征求意见稿中网银被盗的大众版用户将自担责任一条还没有最终定论。

因此，大众版用户在面对如此严峻的失衡风险时，是应该不以为然地继续享受着它带来的种种便捷，还是为保障自己的利益草木皆兵似的弃之不用呢？

自今年6月以来，就有连续多起网银被盗的报道见诸于报端及各大网站。就在上周三有报道称，在上海又有数十位客户收到一些不法分子以几大发卡银行、银联或是所谓“银行联合管理局”的名义，发送的诈骗短信。短信称，持卡人的卡号因泄露、被复制、盗用或正在被人冒用消费等，要求持卡人尽快与指定电话联系确认。但这仅仅是众多盗取网银账号中最老套的一种，具体还有如下手段：利用制做的假银行网站、电子邮件、短信，甚至是电话等方式来盗骗取银行密码及帐户。这些不法分子在互联网上建立一个假网站，或发送电子邮件，假借有奖促销活动的名义要求用户通过邮件发送账号和密码，或是到指定的假网站上输入银行账号和密码；他们还以银行的名义暗示现在发生了一个可能威胁用户账户的紧急情况，诱使人们提供账号和密码。而且，即使用户没有依照电子邮件或假网站的要求提供个人资料，但点击了邮件或假网站上的链接，也有可能已在不知情的情况下安装木马程序或计算机病毒，使网上银行账号和密码被他人窃取。

网上银行两大安全隐患

本周二下午，中国信息安全产品测评认证中心系统工程实验室主任江长青在接受记者采访时称，上述网上银行被盗事件的发生，主要是因为目前国内的网上银行存在着如下两大安全隐患。

一是网银自身安全。包括技术设计、业务应用和安全管理三个方面：在技术设计上，银行本身不存在大的技术管理上的缺陷。但是目前的识别都是由银行对客户端的单向识别，这种单向识别就导致了信息的不对等，只有银行可以识别用户的身份而用户无法识别银行的身份，而用户则无法识别真假银行网站；在业务应用上，网上支付认证方式存在的漏洞。目前国内大多银行的网上支付业务只要用户输入银行帐号及密码即可，导致了网银被盗后很便捷地通过网上购物的方式盗走；在安全管理上，银行应该尽可能多地主动注册与自家网站相近似的、差别小的域名，从而预防用户误判。或者可以通过国家立法或与域名管理机构协商，对于与银行注册网站相近的网站严格把关，一律不予注册。而目前国内各家银行还没有这么做。

二是用户缺乏自我保护意识，这也是目前网银被盗的最主要原因。一些制造虚假网站的不法份子，正是利用了公众对网银的信任，去骗取储户账号信息。此外，由于用户所使用的计算机的系统安全及上网应用安全防范措施较差导致口令及密码被盗。其一是自己在使用过程中被人偷看后窃取；其二是在网上登录输入账号信息过程中被 窃听（监控）。因为网上信息的传递必须经过路由器和交换机，黑客可以通过在网络的通道口上安装嗅探器（又叫监控器，一种软件程序），就可以把被监控对象登录网银的记录通过数据包的方式下载下来，就可以窃取用户的储蓄信息。

什么是大众版？

大众版个人网上银行简而言之就是指仅仅拥有网上银行账号id及密码的安全级别较低的银行业务版本。

记者字上周末起采访了本市的中国银行、工商银行、建设银行、招商银行、交通银行、民生银行、华夏银行及北京银行的营业网点，通过调查了解到，除中行和华夏两家需要前往营业厅办理开通外，其他的均可直接在网上开通。这8家银行的大众版（普通）用户均能使用的是网上查询账户余额及明细，其中工行、民生、华夏3家还可以办理网上支付、活期转定期、手机缴费等业务，而中行的网银用户除前所述外还可以进行外汇买卖、账中划转。正是基于大众版办理及使用的便捷，所以尽管大众版用户目前存在着种种安全隐忧，但较之专业版它却拥有不可企及的使用人群。

条例缺失自担责任

本周三上午，记者采访了中国金融认证中心（cfca）总经理李晓峰，采访中他告知，目前国内的种种骗盗网银的手段针对的都是大众版的用户，因而被盗的也都是大众版用户。而尚未出现一例专业版被骗盗的事件，这是因为他们多一重证书的保护，因为光有账号和密码没有认证证书是无法办理网上银行相关业务的。

作为银行储户人们最关心的是银行存款网上被盗，银行应不应该承担相应的责任呢？记者于上周日起对央行及上述本市的8家银行的营业网点进行了调查采访，希望能对广大读者在今后的网银使用中有所帮助。

依据6月30日由央行制定的完成意见征集的《电子支付指引（征求意见稿）》的第四十五、四十六条中规定：“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况，银行将承担责任。同时，如果该数字证书由合法的第三方认证服务机构提供，且第三方认证服务机构不能证明自己无过错的，将由其承担相应责任。而“非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过了发起行或转发人的安全程序，发起行或转发人对该指令进行处理所产生的后果不承担责任。”按照银行的解释，这意味着相对专业版用户由或大众版（普通）个人网上银行用户的资金因网银密码被泄露导致的存款通过电子支付的方式被盗取的银行将免责。

认证中心江主任表示，网银对大众版产生的问题，用户自担责任的规定，在国家法律的框架内是合理的，但从最终用户服务方面还要多全方位改进，从技术上改进保护网银系统的安全以及从用户到终端的端到端的安全。而网银的安全有赖于整个互联网及网上交易的安全、国家整治网络经济犯罪法律法规的完善、国家对公众信息服务安全投入的加大。其呼吁建立类似于天气预报般的网络安全预警系统、提供安全的网络环境、银行与个人用户有更恰当的责任分配，而银行应多承担一定的网银风险或由公共的社会保障机制来承担。

上述8家银行的营业网点柜台业务员在记者调查时表示，若大众版（普通版）个人网上银行业务因用户自身的原因导致存款被盗的银行不负赔偿责任，银行只对业务的使用风险做出提示。其中中国银行的营业员更清楚的回答到因为这是银行的一项业务，银行只负责业务的流程，对于使用的安全没法保障（中行、工号：20648）。并表示若不做外汇买卖、帐中划转等业务需求，一般就没必要开通该业务。

大众版用户面临五类威胁

本周一下午，瑞星公司研发部副总经理毛杰在接受记者采访时称，针对网银大众版用户的盗取途径大致有五类，这些都属于钓鱼类网络威胁，也是属于社会工程学的一种。1是通过制作假银行网站进行诱骗；2是通过冒充银行发送电子邮件实行诱骗；3是假借银行之名发送短信诱骗；4是假冒银行客服打电话套取；5是通过网络发起攻击向计算机种植木马及间谍软件以盗取。被装入了木马或间谍程序，并不是说黑客能借此直接看到pc屏幕上的内容（你在相关截面输入的密码信息）。比方说首先，在对计算机注入木马程序后，驻留在中招计算机系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给盗银贼，他们再具此进行反读取以破译，钱便被黑走了。其次，由前者衍生出的截取键盘记录法（键盘钩子）黑客在键盘敲击给系统进行信息处理时，利用原先在系统接口处挂上的程序或驱动实现盗取。它不象远程控制一样直接操控你的pc，而是等待机会，一旦得到银行交易的信息，就自动被发送到他预先指定的信箱。但他同时表示这并不说，计算机一旦被种了木马、间谍软件的就一定会被盗，因为木马和间谍程序有很多种，不全是针对网络银行的，只是被盗的风险会大很多。

二）网上个人银行安全之专业版

记者通过调查到，现8家银行均开通了个人网银业务，其中建设银行、招商银行、民生银行三家除有大众版外还开设了专业版，工商银行则分为普通用户和拥有个人网上银行客户证书的用户，而华夏银行、交通银行、北京银行虽然没有如前的分法，但是实际上他们还是有普通储户和开通网银或签约用户的分别。而中国银行则需在营业网点开通网银业务，由于没有单独的安全证书，其实际上也是一种普通个人网银业务。

面对个人网络银行专业版的安全问题，8家均表示只要按银行使用注意事项正确使用应该是不存在安全问题。而有工行、建行、招行、民生这4家有专业版（有安全证书用户）的银行则在记者咨询两者的安全性比较时明确表示，大众版的安全性相对较差，而专业版是绝对的安全。

什么是专业版？

记者通过采访目前有专业版（数字证书认证）的4家银行了解到：专业版是相对于普通个人网银业务（大众版），多一重唯一的移动或文本数字认证证书认证的网银业务。

工商银行使用的是移动usb盘客户安全证书。个人网上银行证书客户用户的安全最大保障是一个带智能芯片、形状类似于u盘的硬件设备（客户证书）,它应用了智能芯片信息加密技术的一种数字签名工具。在网上银行办理转账汇款、b2c支付等业务都必须启用客户证书进行验证，而客户证书是唯一的。

招商银行的个人银行专业版支持两种证书类型：文件证书和移动（usb）证书。文件证书是以文件作为数字证书的存储介质；移动证书如前也是以usb key作为数字证书的存储介质。

建设银行和民生银行则是在营业厅开通业务后，拿着授权码回家下载银行的授权证书。

这是进入专业版的钥匙，建议先将密码备份到一张3.5英寸的盘，以备不时之需。

专业版风险来自用户自身

瑞星公司的毛副总在接受采访中表示，相对于只有一层密码的大众版用户，专业版的双因子认证是很安全的。因为设定了双因子认证后，即使盗银贼拿到了密码，也很难破解二层认证的密钥。而对于双因子而言，关键如果没有额外的硬件支持，即认证的密钥不是单独存储在移动类存储中，相对也是有被破解的风险的。因而在双因子认证中的移动usb证书应用是最安全的，但前提是自己使用的pc没有被事先种下木马，确实也有被盗的危险。

认证中心的江主任也表示，移动usb证书要比文本证书安全。但是，如果用户有一些不良的计算机使用习惯如：上不良网站、不及时修补计算机ie浏览器或系统存在漏洞，证书也有被偷走的风险的。而据某权威调查显示，目前有80%左右的个人电脑已被植入了木马及间谍软件，若这些计算机用户即使是使用最安全的移动usb数字认证证书进行网银业务，也存在被盗的可能。而计算机的安全防护也是必不可少的，一台没有安全防护措施的电脑，只要5分钟内就会被黑客控制。系统一旦被攻破，就会被安装上自动化监测的软件，这些软件会每时每刻对电脑系统进行扫描并下载。

网上银行如何开通？

记者向8家银行了解到的开通情况如下：

大众版——除中国银行的个人网上银行业务（普通版）需要本人携长城借记卡及身份证等有效身份证明，先前往营业网点开通电话银行业务再办理个人网银的登记注册才能开通使用之外。其他7家的均只要在各自银行的官方主页上进行注册即可开通。目前都是免费开通、免费使用的。

专业版——4家均需本人带开户卡及身份证明前往所属银行营业网点办理。具体只有工行需花65—88元购买usb安全证书及招行需要10元的开通费（均免费使用）外，另两家是免费开通及使用。信报记者 徐娅萍

自我防范应对九招

对于正在使用的大众版及专业版的用户而言，在现有的银行提供的的安全保障条件下，应该通过有效的方法来降低自己的使用风险。在使用中应该切实注意如下九点：

一、普通版用户若有大笔金额的转帐或资金流动需求，一定要升级为专业版使用。若无如前需求就不要使用网上查询的功能，不仅容易被盗，还让盗贼过足网上购物的瘾。

二、按照银行卡上的准确银行网址登录，最好不要使用超级链接进行登录。　

三、每次登录网银欢迎页面时查看页面上的“上次登录时间”和实际登录情况是否相符，便于及时发现异常情况。特别是在每次使用网上银行后，不要只关闭浏览器，请点击页面右上角的“退出登录”结束使用。

四、密码设置应避免使用与自己在其它网上服务中相同的用户名和密码。同时，网上银行登录密码和用以对外转账的支付密码设置不要一样。

五、不要在公共场所（如网吧、公共图书馆等）使用网上银行，避免因计算机被安装有恶意监测程序导致存款被盗。

六、在任何时候及情况下，不要将自己的账号、密码告诉别人；不要相信任何通过电子邮件、短信、电话等方式索要卡号和密码的行为。

七、如果个人资料有任何更改（例如，联系方式、地址等有变动），应尽快通知银行。

八、定期下载安装更新操作系统及浏览器的安全程序、补丁和个人防火墙。此外，将计算机中的hosts文件修改为只读。

九、安装并及时更新杀毒软件，养成定期更新杀毒软件的习惯。