中新网3月1日电 新闻晚报消息,继去年年底的工行假网站疯狂敛财事件后,近日,一个网址为www.lcbc.com.cn/index.jsp的假工行网站又侵入了人们的生活;无独有偶,中国银行也在互联网上发现了一个“盗版”。短短几天内,四大国有银行半数“中招”,这在中国银行史上都是极为罕见的。针对网络银行的安全问题,今天上午,上海交通大学的施建俊博士建议:银行应有专业域名。
中行刚发用户警示工行又遇“李鬼”网站
今天上午,记者登录中国银行网站英文版,在主页的新闻栏目(BOCNews)中,第一条就是中行的一个警示,其内容大致是:中国银行于上月25日接到了用户反映欺骗性网站的来信。据查,这一欺骗性网站(网址是www.banochi.net)是在北美地区注册的,跟中国银行以前的英文网站非常相似。目前中行正在采取措施消除这一欺骗性网站造成的影响。
“请所有用户使用中行网站时要确定网址的准确性。”昨天上午,中国银行总行有关人士向媒体透露。
就在中国银行忙着“打假”的同时,中国工商银行的有关人员也为另一桩假冒银行事件焦头烂额。
近日,一个网址为www.lcbc.com.cn/index.jsp的网站开始进入人们的视线,由于和工行网站只有一个字母的差别(工行网站为www.icbc.com.cn),因此有极大的欺骗性。据北京一媒体报道,网友小姚从一个名为“利好交易网”的网站,点击进入了工行网上支付系统,他在输入了自己的卡号和密码后却无法登录。小姚说,他当时发现这个工行网站和去年被媒体曝光的那个假网站有些像。因为害怕对方盗取钱财,他赶紧跑到附近的工行,取出卡里的大部分钱,只留下71元。几个小时后,小姚再次查询余额,发现卡里只剩下1元钱,70元钱已经不翼而飞。小姚相信就是那个工行网站骗走了自己的钱。
银联发“网络身份证”提供交易保证
假银行网站将不少消费者们骗得团团转,但在专家看来,这些黑客其实只是耍了三角猫的伎俩。
“实际上假网站这种欺骗手段十分低级”,银联下属的中国金融认证中心总经理李晓峰说,出现这类事件的主要原因是用户对于网上银行的正确使用还不是特别了解,对于网上银行的安全问题没有足够的防范意识。“如果客户能够正确使用,提高安全意识,类似假网站骗钱的事件完全可以避免。相对于假网站,真正高级的欺骗手段是通过病毒程序盗取密码。”
对于这类事件的防范,李晓峰表示,中国金融认证中心作为独立于交易行为第三方,推出了CFCA网上银行数字证书,并与十多家银行、16家证券商、13家基金商建立业务联系,将通过建立第三道防线———网上银行数字证书,避免网上银行被盗事件的发生。“十届全国人大常委会第十一次会议表决通过了《电子签名法》,信息产业部审议并通过《电子认证服务管理办法》,确定了一个权威性公信力的第三方作为安全电子认证中心存在的法律地位。”
“在现实生活里,派出所会给我们发身份证,在虚拟的网络世界里,由第三方提供的数字证书就是一张网上数字身份证。”李晓峰做了个形象的比喻。
“网上银行数字证书能为电子商务双方三个保证。”李晓峰介绍,一是能保证交易双方身份真实确定;二能保证交易数据完整、不可篡改;三能保证交易后双方不能抵赖。自2000年6月投放第一张网上银行数字证书至今,中国金融认证中心共发出证书40余万张,为国内20余家商业银行提供认证,证书发行量全国最大。
专家说法:网银安全问题银行很被动
措施一 启用专用域名
“假冒网站防不胜防,与其防,不如治。”上海交通大学电子工程系施建俊博士说:“现在的网址有好几种,像www.xxx.com是一个商业性网站,而www.xxx.gov是政府网站,www.xxx.org则是非政府组织网站。域名不同,代表的意思也不同。”施博士建议:是否可以借鉴政府网站有专用域名做法,由银行向专门负责域名申请的部门提出,为网上银行设置专用域名,由某权威机构比如银监会负责审批。“虽然这并不是包治百病之方,还是可能有类似的域名出现混淆视听,但这确实有可能很大程度地打击假冒网银网站。”另外,施博士补充说,虽然从表面上看,为银行设置专用域名会造成一定的“浪费”,但是相比起网络银行因其本身脆弱的安全性可能导致的损失,“这笔浪费也是值得的”。
措施二 规范搜索引擎
施博士认为,在网银安全问题上,银行确实很被动。银行惟一能采取的办法就是投入大量的人力物力,不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名,甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实,即使是几个银行联合起来打假,平摊的只是成本,技术始终是个难题。最重要的是,银行不是执法单位,一旦发现问题也不能立即处理。
“不过,只要通过正常途径登录,网络银行的安全性绝对可靠。”施建俊说,另外一个办法就是,由各大搜索引擎及网络实名联合,从技术上对假冒银行网站进行过滤,确保网银安全,这在技术上有一定难度,但并不是不可能实现的。
银行对策
建设银行:双密码保网银安全
“建设银行网上银行的登录方式不同,即使消费者登录假银行,也不必担心账户资金被盗用。”
中国建设银行上海分行电子银行部黄文菁介绍,建设银行网上银行分为简易版和专业版,网银用户登录时只需输入身份证号及网银密码,建设银行推荐用户网银密码设置与信用卡密码设置不同,等于上了“双密码”保险,即使登录假银行,黑客根据盗取到的密码,只能查询账户明细账单及进行网上缴费等小金额交易,以300元为上限。
“这样就能有效地将消费者可能发生的损失降至最低。”专业版用户如进行大宗转账仍需至柜台签约,每笔网上交易需从数字证书下载平台下载证书,消费者还可通过账户变动通知通过短信随时掌握自己账户内资金变化情况,一旦发现有异,可立即通过网上银行、电话银行或至柜台办理账户挂失。
黄文菁同时表示,由于网络域名可由私人自行提出申请,银行方面无权管理,如何杜绝类似“假冒银行”事件发生,银行方面也很无奈,同时提醒消费者,尽量不要使用搜索软件搜索网上银行网址,使网络假银行有可趁之机。
工商银行:给网银再上锁
“尽管几个月内两次遭盗版,中国工商银行仍是网络安全最好的银行之一。”中国工商银行上海分行办公室张小姐说,工商银行推出了USBKEY服务以保网络安全。简单来说,USBKEY就是一把网络钥匙,这是由微软开发的一种硬件加密系统,工行也是国内惟一一家使用USBKEY的银行。USBKEY在外形和用法上类似可移动磁盘(俗称u盘),一旦用户登录网上银行进行网上转账,除了需要密码外,必须在USB接口上插入USBKEY,确认后方可实现操作,相对于“赤裸裸”的密码,随身携带左右的
USBKEY等于给网络交易上了第二把锁。但张小姐同时表示,目前USBKEY在网上银行用户中的使用率并不高。
提醒:安全使用网银
1.避免使用搜索引擎
从正规银行网点取得网络银行网址并牢记,登陆网银时尽量避免使用搜索引擎或网络实名,以免混淆视听。
2.设置混合密码、双密码
密码设置应避免与个人资料相关,建议选用数字、字母混合密码,提高密码破解难度并妥善保管,交易密码尽量与信用卡密码不同。
3.定期查看交易记录
定期查看网银办理的转帐和支付等业务记录,或通过短信定制账户变动通知,随时掌握账户变动情况。
4.妥善保管数字证书
避免在公用计算机上使用网银,以防数字证书等机密资料落入他人之手。
5.警惕电子邮件链接
网上银行一般不会通过电子邮件发出“系统维护、升级”提示,若遇重大事件,系统必须暂停服务,银行会提前公告顾客。一旦发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。
部分银行官方网址
中国工商银行www.icbc.com.cn
中国银行www.bank-of-china.com
中国建设银行www.ccb.cn
中国农业银行www.95599.cn
光大银行www.cebbank.com
华夏银行www.hxbank.com.cn
民生银行www.cmbc.com.cn
招商银行www.cmbchina.com
交通银行www.bankcomm.com
浦东发展银行www.spdb.com.cn
福建兴业银行www.cib.com.cn
北京银行www.bankofbeijing.com.cn
广东发展银行ebank.gdb.com.cn
中信实业银行sh.citicib.com.cn
(戴凌云倪佳)