网络银行李鬼频出 诡计变化多端封查困难

[复制链接]
查看: 809   回复: 0
发表于 2004-12-22 20:44:28 | 显示全部楼层 |阅读模式
http://www.sina.com.cn 2004年12月22*** 08:34 21世纪经济报道

  本报记者 曾强 上海报道



  传统商业银行在21世纪真的会成为灭绝的恐龙吗?如果频频遭遇“网络安全”的骚扰,要实现比尔-盖茨的大胆预言为时尚早。



  12月以来,中国银行、中国工商银行、中国农业银行、中国银联先后发现仿冒主页的  

“假网站”,尽管各银行和机构很快将假网站封掉,但仍然引起储户大面积恐慌。



  而类似的事件,此前在香港以及国外都屡见不鲜。“网上银行欺诈事件在国际上是增长最快的安全事件之一。”



  12月17***,国家计算机网络应急技术处理协调中心负责人在接受记者采访时表示,“花旗银行和美国的电子商务网站eBay被仿冒最多。”



  而金融业人士认为,随着人民币业务对外资逐步放开,中外银行将在网上银行业务上展开赤身肉搏。



  “由于营业网点先天不足,外资银行从进入中国伊始便极其重视电子银行业务。”上海银监局办公室主任张荣芳表示。



  据银监会统计,目前在国内开展实质性网上银行业务的有50余家银行及分支机构,企业与个人客户超过1000万户,涉及资金达千亿元以上。



  显然,此次假冒银行网站事件对电子银行业务的不利影响,并不会随着假网站被封而消于无形。



  预防性法规滞后?



  12月9***,中国银联接到举报,有用户发现一个域名为www.cnbank-yl.com的假冒网站(真银联网站的域名应为www.chinaunionpay.com)



  随后,银联迅速反应,封掉了该网站。然而,第二天记者尝试登录假银联网站,竟登录成功——假网站又活过来了?



  官方域名管理机构CNNIC的专家告诉记者,之所以出现“死灰复燃”的问题,可能是因为相关方面在封闭假银联网站时,只是封掉了IP地址,而不是域名,因而假网站只需更换—个IP地址便可以迅速“借尸还魂”。



  而这正是最令“李逵”们头疼的地方。



  据该专家介绍,犯罪分子可以通过黑客软件很轻易地侵占盗用他人的IP地址,事后飘然而去,很难追查真正的所在。



  目前全国有近千家域名申请代鲤机构,就算是封掉目前被举报的几家假银行网站域名,也很难保证下次没有新的假网站出现。更难对付的,则是来自境外的假冒网站,封查起来十分费力。



  问题是,面对无时无刻不紧盯储户帐号密码的不法之徒,银行和其他相关国家机构就只能被动封查吗?



  张荣芳告诉记者,现在能接受并使用网上银行的人群多为年轻储户,他们几乎每天都在跟网络打交道,正是假银行网站捕捉的对象,一不留神就会中招。



  AC尼尔森的调查显示,目前中国上网最频繁的人群中,23%的人可望成为网上银行的用户,人数不会低于250万。



  前述网络应急技术中心负责人指出,尽管从法律上讲,不法分子能得逞的原因,大多是因为用户保存帐号密码不慎,银行不用承担赔偿责任。但银行也应该更积极地防范此类事故发生,同时还应该建立完善迅捷的事后应急制度,而不能简单地只履行告知义务,封掉假网站了事。



  复旦大学金融学专家告诉记者,作为广大存款人和消费者的利益保护神,银监会应派专人负责监管内地所有网上银行,借鉴国际银行业最新的监管经验,尤其是对于越来越多新形式的银行骗案以及最近的假冒网站事件等作出新的监管办法。



  作为金融机构运行规则制订者,中国人民银行应进一步修订落实《网上银行业务管理暂行办法》,可以考虑将目前银行一些可有可无的做法,做些强制性的规定。如银行应该为网站提供更明确可靠的防伪技术,让客户容易辨别真伪,以及时防堵假冒网站这些情况。



  据记者了解,中国人民银行最近一次有关落实《网上银行业务管理暂行办法》有关规定的通知出自2002年4月23***。至今已有两年半,而网上银行恰恰是在最近两年才蔚然兴起。



  另外,该复旦大学专家认为,银行方面还可以做的有,持续提醒电子银行客户注意认可机构本身或其代理或业务伙伴绝不会透过电邮要求客户提供敏感的密码资料;提供一些方法让电子银行客户确保他们链接的网站为认可机构的正式网站,绝对不要以电邮内提供的链接方式登陆电子银行网站;定期搜寻互联网,以检查是否有第三方网站的域名可能以假乱真等等。



  同时,对于国内的域名管理机构,一旦发现跟银行业域名相关或类似的域名非法注册,一定要通过域名注册公司进行调查和监控是否存在非法目的。



  “洋银行”经验



  “网上银行欺诈也是国际性难题。在国外,也没有完全有效的技术手段。单纯靠技术不能完全破解防范网上银行欺诈难题,需要各方面的广泛合作。”国家计算机网络应急技术处理协调中心负责人表示。



  在预防假冒银行这方面,洋银行受害更早,因而已先行一步。



  香港上海汇丰银行有限公司毛小姐告诉记者,汇丰银行网站的安全区域支持安全套接层协议和128位加密技术。



  这种加密技术是互联网上保护数据安全的行业标准。汇丰银行网站服务器装有防火墙,系统也一直处于监控之下,防止未经授权的访问。“因为不能保证一般邮件的安全性,用户只能通过我们网站上的安全邮件设施发送电子邮件。”



  而记者在汇丰中国网站上看到,汇丰网上银行登录页面的右边显著位置,以1/3的页面提醒客户高度重视安全性问题,并通过“互联网安全措施”、“您可使网上理财更安全”、“安全常见问题”、“安全使用须知”等内容向客户详细介绍如何正确进行*作,提防被骗,以确保客户安全地使用网上银行。



  汇丰银行亚太区主席艾尔敦曾提到,“若客户在计算机收到讯息,建议他们进入一个网页,并输入个人资料。只要他们不这样做,不进入那个网页,他们就没有危险。”



  恒生银行常务董事莫伟建对记者强调:“恒生银行不会向客户发出要求提供个人资料的电邮。一般客户也不能自动在网上转帐给非指定的第三者。若他们有这样的要求,需亲身到分行办理授权才可以。”



  金山公司一位反病毒专家告诉记者,这种假冒骗术与木马病毒具有共性,都是以骗取用户个人资料为目的,属于互联网安全威胁的一个类别。而此前,国外相关安全公司已把这种“网络钩鱼”程序列入电脑病毒的监控范围。



  在如何防范方面,上海各商业银行“行动很快”。



  张荣芳告诉记者,上海很多商业银产的网上银行客户主要定位为小型企业。上海周边有30万家小型企业,点多面广,且很多金融业务只需通过网络就完全可以实现。



  “为了避免因储户*作出现的风险。上海很多商业银行开始专门给小型企业负责人做网上银行使用培训,合格者才能得到证书。”



  而在假银行网站风波过后,上海各大银行纷纷谋划通过“升级改造”优化各自的电子银行业务。据悉,工行上海分行已于12月11***对电子银行系统进行全面升级改造。



  行动更迅速的是中国银行上海分行,该行办公室黄琛告诉记者,上海分行最近正在升级的一套系统已接到总行要求,被融入到中国银行计划实施的另一套将用于整个中行的升级系统中去。



  张荣芳也表示,只要登录的是真正的银行网站,储户便大可放心地处理各种业务,“各大银行在网络银行上的投入常人难以想象,也是犯罪分子不可能仿效的。其实,他们只能通过误导用户登录虚假网站,骗取帐号密码。不过,这一招防不胜防,储户要多留个心眼。”
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则