「密碼泄漏」和「冒充站點」都是網上銀行的安全隱患
網上銀行的安全隱患進一步證明,比爾.蓋茨關於「傳統商業銀行要在21世紀滅絕」的預言過於樂觀
銀行卡上的工資到賬之後,公司的員工張先生第一時間通過網上銀行確認工資總額,而同一辦公室的李小姐和劉小姐對於網上銀行的使用卻抱著遲疑的態度。
李小姐表示由於對安全存疑,堅決不使用網上銀行;劉小姐試圖註冊網上銀行時,因為註冊密碼必須都是數字而停止,她認為都是數字的密碼非常不可靠,她們都選擇下班後到ATM機上查詢。
在中國,網上銀行成為傳統銀行業務的延伸已經吸引了250萬的用戶,但是也有相當一部分人群因為安全隱患的存在而對網上銀行「望而卻步」。
比爾.蓋茨曾經預言:「傳統商業銀行是要在21世紀滅絕的一群恐龍。」他甚至說,銀行業是必需的,銀行是不必要的。傳統商業銀行的網上金融變革將改變比爾.蓋茨的預言。
而網上銀行的安全隱患進一步證明,比爾.蓋茨的預言未免過於樂觀。
1600萬日元不翼而飛
用戶的擔心並不是沒有道理。
在日本,「1600萬日元突然從自己的賬戶中不翼而飛」的網路銀行案件再次給網路銀行的使用者提了醒---網路銀行的安全問題並不如想像中那樣簡單和容易解決。
日本兩位嫌犯今年以來以東京為中心、利用一個名為「KeyLogger」的特殊軟體在100多家網吧非法竊取了他人的網路銀行ID和密碼,並涉嫌通過非法訪問美國著名的「花旗銀行」,以虛假身份將大約1600萬日元劃入了自己的賬戶。
據瞭解,此次事件中用於非法竊取ID和密碼的軟體是「KeyLogger」。其實這種特殊軟體並沒有多高明,它的功能非常單一,通過常駐系統來監視鍵盤輸入,並將所輸入的文字全部作為日誌保存在文本文件中。
由於部分用戶網路銀行的安全意識淡薄,隨意在公用電腦,諸如網吧輸入賬號和密碼,導致案犯有機可乘。
業內人士認為,作為銀行來說,銀行的ID和密碼也非常脆弱。如果有隨機數表,就可以防備此類事件。隨機數表是指為每個客戶指定各不相同的數字列表,申請時將該隨機數表分配給客戶。
根據日本相關機構對網路銀行站點進行的調查結果顯示,網路銀行登錄畫面上所要求的認證輸入,很大一部分僅要求輸入客戶編號等登錄ID和密碼,有的銀行竟然只要求4位數字的密碼。這樣一來密碼存在泄漏或被竊取的可能性就非常大。
作案方法
在網吧等場所有可能被盜取密碼,但熟悉網路銀行安全性的專家指出:「登錄認證檢測有可能會成為作案者校驗並竊取密碼的功能」。方法很簡單,連續地在ID和密碼欄中輸入隨機數字,如果能夠登錄,就說明這個數字是正確的密碼。
在傳統銀行業務中,密碼輸入一定次數仍然錯誤就會被停止服務,但是在網路銀行中,企圖非法竊取密碼的作案者如果採用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。
除了用軟體竊取密碼這樣的事件以外,「冒充站點」也是網上銀行使用中一個非常重要的安全隱患。
比如,可以首先向客戶發送一個「本行網站正在進行促銷活動!」等內容的虛假郵件,然後誘騙客戶訪問虛假站點。客戶在不瞭解情況時就會向虛假站點發送ID和密碼。客戶發送完畢後,如果顯示出一個「服務馬上就要停止」的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。
誰來保護1.4億用戶
對於中國網上銀行的發展,業內普遍認為,中國的網上銀行起步於1996年2月;1997年中國銀行建立了自己的網頁,同年推出網上銀行「一網通」,成為國內第一家上網的銀行。
目前中國已有20多家銀行的200多個分支機構擁有網址和主頁,其中開展實質性網路銀行業務的分支機構達50餘家,企業與個人客戶超過1000萬戶。
1998年,招商銀行率先在國內推出「一網通」領跑網上金融業以來,四大商業銀行迅速跟進,網上銀行業務呈蒸蒸日上的態勢。AC尼爾森公司最近的調查結果顯示,中國的網上銀行用戶已由2000年下半年的90萬人增加到2002年底250萬,到2005年,這一數字將達到1.4億。
然而未來的1.4億網上銀行用戶的安全問題誰來保證?如何來保證?
一般來說,電子貨幣與現金相比應該更為安全。但是,電子貨幣一旦出問題,損失也將是巨大的。據調查,目前國內80%的網站存在安全隱患,20%的網站有嚴重的安全問題。
雖然迄今國內還沒有某家銀行網站被黑客人侵的案例,但多數客戶仍心存顧慮,不敢在網上傳送自己的信用卡賬號等關鍵信息就是基於支付信息安全的原因,這就嚴重制約了網上銀行的業務發展。
需要警惕的是,中國就發生過多起證券交易系統(還稱不上是開放的網際網路,只不過是區域網而已)被侵入,犯罪份子盜賣盜買他人股票、挪用盜取他人股票賬戶資金的惡性計算機犯罪。
由於網路安全問題始終未能得到很好的、完全的解決,利用網際網路犯罪的案例有可能增多。網路竊賊的作案方法、作案工具有數十種之多,其中包括:釋放計算機病毒使計算機系統癱瘓;通過可以發現網站軟體程序薄弱之處的「掃瞄器」、竊取密碼的「嗅探器」破譯關鍵密碼、竊取核心技術或信息;通過破譯密碼修改計算機系統內賬戶數據,製造混亂或達到竊取資金的目的。
制約電子商務
網上銀行的安全隱患同樣限制了電子商務的發展,使電子商務在一段時期內仍然停留在「網上訂購,網下交易」的狀態。
安全問題涉及許多方面,但主要體現在支付上。銀行應盡快具備安全支付的條件,離開銀行,便無法完成網上交易的支付,從而也談不上真正意義的電子商務。
業內人士還指出,要保證電子商務的順利進行,必須分析一下什麼樣的網上支付運作機制適合國情,能滿足要求。網上的要求是互聯、互通、互操作,而不是關起門來做自己的事,要想確定支付運作流程,必須在宏觀上根據用戶需求確定構架,用戶和服務支持者需要聯合起來把需求說清楚,才能規範模型、機制和功能。
中國銀行業已經開通了安全認證服務,通過向電子商務參與方發放數字證書來確認各方的身份,保證網上支付的安全性,對防範支付風險將起到積極的作用。但網上支付和網上銀行要走的路都還很長。
海狼網