銀行“既做運(yùn)動(dòng)員又做裁判員”難稱公平
網(wǎng)上支付����、轉(zhuǎn)賬匯款、繳費(fèi)購物��,網(wǎng)上銀行無疑給生活帶來了極大的便利�����,與此同時(shí),網(wǎng)上銀行的安全性也一直困擾著用戶�����。釣魚網(wǎng)站����、木馬竊取信息導(dǎo)致儲(chǔ)蓄賬戶資金被盜的案件時(shí)有發(fā)生,按說老百姓的錢存在銀行���,結(jié)果被盜了���,銀行多少得負(fù)一定責(zé)任。而經(jīng)《IT時(shí)報(bào)》記者調(diào)查發(fā)現(xiàn)����,由于舉證困難�����,同時(shí)一些銀行使用由自己頒發(fā)的電子簽名���,“既做運(yùn)動(dòng)員��,又做裁判員”�����,從而導(dǎo)致這類案件中用戶起訴銀行獲勝的概率接近為零���!
IT時(shí)報(bào) 劉超
現(xiàn)狀調(diào)查 網(wǎng)上銀行沒那么安全
農(nóng)民破解“U盾”盜竊30萬元
今年4月14日���,北京市西城區(qū)法院受理了一項(xiàng)網(wǎng)上銀行盜竊罪案件。受害人李女士表示由于經(jīng)常使用網(wǎng)上銀行����,為安全考慮,她特意購買了工行的“U盾”���,本以為“有盾無憂”����。結(jié)果2010年9月2日���,李女士發(fā)現(xiàn)自己的網(wǎng)銀被竊����,1個(gè)月前已經(jīng)轉(zhuǎn)出1萬余元。同樣�����,服裝廠老板肖先生在使用電腦剛要進(jìn)行網(wǎng)上轉(zhuǎn)賬時(shí)���,電腦突然白屏����,隨后查詢余額發(fā)現(xiàn)29萬元不翼而飛�。
這兩起網(wǎng)上銀行盜竊案出自同一人之手,僅有初中文化程度的25歲農(nóng)民琚文輝�。琚文輝坦承自己通過木馬程序控制用戶電腦,一旦用戶將U盾插入電腦��,他便利用U盾還未拔下的時(shí)間差����,迅速登錄對方的網(wǎng)銀,把錢轉(zhuǎn)走���,整個(gè)過程不到30秒就可以完成���。琚文輝坦承自己在短短的幾個(gè)月內(nèi),已經(jīng)破解了20多位U盾用戶的賬號��、密碼和U盾密碼��,并4次盜竊得手(其中兩次因金額少���,未報(bào)案)�。
根據(jù)中國工商銀行網(wǎng)站的官方描述����,“U盾是工行推出并獲得國家專利的客戶證書USBkey,是工行為您提供的辦理網(wǎng)上銀行業(yè)務(wù)的高級別安全工具�����。U盾是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具……確保網(wǎng)上交易的保密性����、真實(shí)性、完整性和不可否認(rèn)性��?�!?/p>
事后當(dāng)媒體采訪琚文輝時(shí),他卻淡淡地說出“其實(shí)沒什么技術(shù)含量”����,“銀行U盾在使用上有漏洞,總能想出辦法”����。
看來,銀行提供的電子簽名遠(yuǎn)沒有口中說的那么安全��。
網(wǎng)銀被盜愈演愈烈
類似的問題不止一例��。數(shù)據(jù)顯示����,2010年全國城鎮(zhèn)人口中,個(gè)人網(wǎng)銀用戶比例為26.9%��,比2009年增長了6個(gè)百分點(diǎn)��,網(wǎng)絡(luò)銀行的滲透率進(jìn)一步提高�。在業(yè)務(wù)激增的同時(shí),網(wǎng)銀的安全問題也日益突出��,釣魚、木馬魚貫而出�,網(wǎng)銀日漸成為釣魚、電話詐騙的重災(zāi)區(qū)��。
根據(jù)瑞星發(fā)布的《2010互聯(lián)網(wǎng)安全報(bào)告》��,2010年新增“釣魚網(wǎng)站”175萬個(gè)����,比上年增長1186%�。在上當(dāng)人數(shù)最多的十個(gè)“釣魚網(wǎng)站”,超過一半仿冒購物網(wǎng)站和銀行網(wǎng)站���,作案目標(biāo)直接指向網(wǎng)銀用戶��。
曾有人對北京地區(qū)2006年至2010年5年間的36起網(wǎng)銀失竊及相關(guān)案件做過調(diào)查����,在被盜竊的銀行賬戶中�,很多人已經(jīng)使用了號稱“安全性能最強(qiáng)”的U盾等電子簽名。其中����,利用編程等高深手段竊財(cái)?shù)闹挥?起,占25%;而利用木馬程序盜竊的有13起��,占36%���。其余為利用一般手段盜取密碼�����,通過網(wǎng)上銀行轉(zhuǎn)賬竊財(cái)���。
而更讓人驚訝的是32名被告人當(dāng)中,大學(xué)文化的有14人���,高中文化的10人�����,初中文化的8人���,后兩者占總?cè)藬?shù)的56%?��?磥砥平饩W(wǎng)銀密碼并不是大多數(shù)人所想象的高學(xué)歷者才能掌握的高深技術(shù)�����,甚至有人謔稱為“沒什么技術(shù)含量”��,雖然有些夸張�,但也反映了網(wǎng)銀系統(tǒng)還存在諸多漏洞。
用戶維權(quán):僅有一例成功
“在因網(wǎng)上銀行產(chǎn)生的各類糾紛中�����,由于取證困難����,用戶維權(quán)極難�����,目前投訴成功案例僅一個(gè)��?���!鄙虾7貉舐蓭熓聞?wù)所律師、上海律協(xié)信息網(wǎng)絡(luò)高新技術(shù)業(yè)務(wù)委員會(huì)副主任劉春泉律師告訴《IT時(shí)報(bào)》記者����。
劉春泉所指的唯一案例是發(fā)生在2005年的“洪榮堯”案件����。有人假冒“洪榮堯”名義偽造身份證在農(nóng)業(yè)銀行溫州分行開通了網(wǎng)上銀行業(yè)務(wù)�,并獲取了網(wǎng)上銀行的客戶證書和密碼。注冊成功后�,犯罪嫌疑人將借記卡內(nèi)的錢通過網(wǎng)上銀行轉(zhuǎn)至他人賬戶。由于被冒領(lǐng)的款項(xiàng)無從追回��,法院最終判決銀行負(fù)主要責(zé)任�����,賠償用戶90%的損失���。
“當(dāng)時(shí)農(nóng)行犯了低級錯(cuò)誤�����,在犯罪嫌疑人偽造的身份證號碼與儲(chǔ)戶的身份證號碼完全不同的情況下���,農(nóng)行工作人員給用戶開通了網(wǎng)上銀行,所以銀行負(fù)主要責(zé)任���?���!眲⒋喝蓭煴硎荆骸案鶕?jù)民事法律原則,誰主張���,誰舉證�����,目前大部分網(wǎng)上銀行被盜案例�����,或是因U盾系統(tǒng)受到攻擊,或是因密碼被盜等等�����,用戶是無法舉證的�,因而打贏官司的概率幾乎為零?��!?/p>
早在2006年���,曾有400多位儲(chǔ)戶的工行網(wǎng)上銀行被盜��,受害者自發(fā)成立工行網(wǎng)銀受害者聯(lián)盟投訴工行��,由于無法舉證����,銀行以客戶自己泄露密碼和個(gè)人信息導(dǎo)致資金損失為由��,不承擔(dān)責(zé)任�,此事不了了之。
北京《法制日報(bào)》記者曾對北京地區(qū)所有法院做過調(diào)查�����,歷年來凡是跟網(wǎng)銀有關(guān)的案例����,用戶起訴銀行,沒有一例獲勝����。北京中廣維天法律服務(wù)所主任蘆爭也表示,在現(xiàn)實(shí)中����,一般百姓和律師們普遍不具備高深的電腦知識�,甚至連電腦是不是被種了木馬都弄不清���,讓他們?nèi)ヅe證證明銀行的網(wǎng)上銀行系統(tǒng)本身有漏洞�,實(shí)在勉強(qiáng)���。
背后解密 銀行為謀利自建“電子簽名”
除了蘆爭所談到的百姓和律師不具備高深的電腦知識���、難以取證外,網(wǎng)上銀行被竊案件取證難背后還有一大不為人知的原因���。早在2005年4月���,我國就已經(jīng)實(shí)施了《電子簽名法》���,根據(jù)該法�,電子簽名要進(jìn)行第三方認(rèn)證��,需要由依法設(shè)立的第三方認(rèn)證機(jī)構(gòu)提供認(rèn)證服務(wù)�。按照此規(guī)則����,各大銀行的網(wǎng)上銀行U盾或類似的電子簽名認(rèn)證必須由第三方認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)���。
據(jù)了解�����,我國依法設(shè)立批準(zhǔn)的第三方認(rèn)證機(jī)構(gòu)有30多家����,但銀行認(rèn)證服務(wù)目前大部分由中國金融認(rèn)證中心(CFCA)實(shí)施提供�。CFCA市場部總經(jīng)理郭宏杰告訴《IT時(shí)報(bào)》記者,在銀行數(shù)量上�,94%的銀行都采用了中國金融認(rèn)證中心的認(rèn)證,但是從用戶數(shù)來看��,國內(nèi)前幾大銀行均沒有完全使用第三方認(rèn)證�。據(jù)介紹,工行和建行其采用的電子簽名認(rèn)證有兩種�����,一種是銀行自己進(jìn)行的認(rèn)證�,另外一種是CFCA的第三方認(rèn)證�。而農(nóng)行��、中行��、招行采用的均是銀行自己的認(rèn)證系統(tǒng)���。
“銀行自己推U盾認(rèn)證�,這相當(dāng)于銀行既是運(yùn)動(dòng)員��,又是裁判員����。一旦銀行和用戶之間發(fā)生糾紛,銀行自己的電子簽名認(rèn)證系統(tǒng)難以保證會(huì)為用戶提供完全公正的服務(wù)����。”劉春泉表示�。
問題是為什么有第三方的認(rèn)證機(jī)構(gòu),幾大銀行棄而不用����?劉春泉認(rèn)為其背后是利益之爭��。目前,以招行USB-KEY為例�,售價(jià)60元一個(gè),銀行的用戶是幾千萬數(shù)量級的�����,以1/10的用戶使用USB-KEY為例�,這筆就是幾千萬甚至上億元的收入,大大超過了其研發(fā)投入�。而如果采用第三方認(rèn)證機(jī)構(gòu),則意味著這部分利潤將被第三方機(jī)構(gòu)所獲得���,銀行顯然不愿意�。
“雖然《電子簽名法》不是強(qiáng)制的�����,但無論是按照電子簽名法還是相關(guān)的管理?xiàng)l例�����,我們都建議采用第三方機(jī)構(gòu)來認(rèn)證���?!惫杲芨嬖V記者,“目前我們與一些銀行正在接觸商談�����,也有的表示愿意推進(jìn)第三方認(rèn)證�。”
專家建議 引入保險(xiǎn) 為網(wǎng)銀失竊護(hù)航
網(wǎng)上銀行賬戶被盜以后��,經(jīng)?��!俺恫磺濉笔钦l的責(zé)任����,針對這種情況�,劉春泉律師建議網(wǎng)銀失竊的比例畢竟較低,銀行應(yīng)該和保險(xiǎn)公司合作�,以轉(zhuǎn)移風(fēng)險(xiǎn),從源頭上解決糾紛�����。據(jù)了解���,目前太平洋保險(xiǎn)公司已經(jīng)和交通銀行����、民生銀行推出銀行賬戶盜竊保險(xiǎn)�。該險(xiǎn)種保險(xiǎn)期限為一年,針對民生銀行網(wǎng)銀的保險(xiǎn)��,保費(fèi)有5元���、10元��、40元����、70元四個(gè)檔次��,相應(yīng)的保額為5萬��、10萬��、50萬以及100萬����,交通銀行則只有一檔“5元保5萬”的險(xiǎn)種�。
TIPS
網(wǎng)銀用戶五大高危操作
一����、上網(wǎng)購物時(shí)打開陌生人發(fā)來的文件;
風(fēng)險(xiǎn):電腦感染網(wǎng)銀木馬��,使網(wǎng)銀支付鏈接被木馬劫持��。
二����、輕信并訪問短信或郵件中的網(wǎng)銀鏈接;
風(fēng)險(xiǎn):在釣魚網(wǎng)站登錄網(wǎng)銀賬戶時(shí)��,賬戶密碼及動(dòng)態(tài)口令會(huì)直接暴露給黑客���。
三����、使用網(wǎng)銀后沒有及時(shí)拔下U盾����;
風(fēng)險(xiǎn):在電腦中木馬的情況下,插著U盾相當(dāng)于打開了黑客侵入自己網(wǎng)銀賬戶的大門����。
四���、電腦從不打補(bǔ)丁�����;
風(fēng)險(xiǎn):黑客通過“自動(dòng)抓雞器”把木馬植入存在漏洞的電腦�,實(shí)施遠(yuǎn)程監(jiān)視和控制����。
五、沒有為網(wǎng)銀設(shè)置專用密碼��。
風(fēng)險(xiǎn):很多人習(xí)慣“一個(gè)密碼闖天涯”�,無論是網(wǎng)銀、支付����,還是聊天、網(wǎng)游賬戶�����,統(tǒng)統(tǒng)使用同一個(gè)用戶名和密碼。這樣�,一個(gè)賬號被盜就可能導(dǎo)致包括網(wǎng)銀密碼在內(nèi)的所有賬號密碼泄露。因此��,為網(wǎng)銀單獨(dú)設(shè)置專用密碼是非常有必要的�。