专长领域
联系我们
- 姓名:孙汝辉
- 手机:13775940520
- 邮箱:13775940520@163.com
- 证号:13203201210749923
- 律所:江苏万泉律师事务所
- 地址:江苏省徐州市泉山区三环南路27号晴朗谷广场2号楼12层
您当前的位置: 首页> 网络诈骗> 中行网银窃案曝安全漏洞IT蓝图五年曲折路
中行网银窃案曝安全漏洞IT蓝图五年曲折路
来源:徐州网络犯罪律师 网址:http://www.xzlawwlfz.com/ 时间:2015-10-27 14:10:33
近几个月,中行网银以一种意外的方式广受关注。“经过社会各界的共同努力,针对中行网银客户的诈骗案件已得到有效遏制。截至目前,中行已配合公安部门封堵假冒钓鱼网站524个,协助破获90多起网银诈骗案件,打掉3个犯罪团伙,抓获犯罪嫌疑人30多名。”中行相关负责人近日对外界表示。
他所指的诈骗案即去年底和今年初,部分中行网银客户遭到钓鱼网站欺诈,网银账户内款项被转走。事发后,中行已在网银转账业务上增设防线,包括降低单笔转账限额、对所有向他人转账交易全面应用手机交易码认证服务等。“这些措施应该足以防止网银客户再遭钓鱼网站诈骗。”一位从事银行IT外包服务的工作人员称,尽管网银在银行IT系统中只是很小一部分,但其漏洞还是暴露出银行IT系统建设的不足,“还有改进空间。”“过去十年IT系统是银行业第一生产力,但这些年中行IT系统建设可能走了些弯路,包括网银在内的很多业务难免受到影响。”一位接近中行的人士表示。
三个关键环节
目前,对于涉案总金额还没有完全统计,但据媒体报道,仅1月10-20日,江苏省此类案件就发生上百起,浙江省有近50起。与以往电信和网络诈骗案件相比,犯罪分子针对中行网银用户的作案手法并不新鲜。据了解,不法分子的主要作案手法是:制作假冒中行门户网站及网银首页,然后在境内外注册类似中行域名,并用普通手机号假冒中行身份向数千万人群发短信,以中行网银系统升级或动态口令牌过期更换为由,诱骗客户登录钓鱼网站,盗取客户网银用户名、密码、动态口令等安全信息,转移客户资金。
山东的赵先生便遇此一劫。1月2日晚,他接到短信称其中行E令即将过期,请其尽快登入一网站进行升级。“信以为真的我马上在家里登录了对方提供的网站,并根据提示输入网银用户名、密码及动态口令,按了3次升级按钮,网站页面提示升级成功,我便关闭了网页。”
直到1月4日中午,赵先生想把钱转到股市发现只有6000元。“打开中行网银,发现34万转出了。”赵先生无奈地表示,“据我了解,这种网络诈骗,客户的资金一分钟内就会被转走,之后骗子会把钱拆成多笔小金额转入不同账户。”整个过程中,诈骗短信、钓鱼网站和动态口令无疑是三个关键环节。“诈骗短信很好识别,都是私人号码发出的,从这点来说,银行其实也挺冤。”上述从事银行IT外包服务的工作人员表示。
安全机制漏洞
受骗用户自身虽难辞其咎,但上述人士也指出,中行网银安全机制设计确实存在漏洞。“动态口令是通过一个特定的计算方式产生随机密码,银行后台利用同样技术也能产生相同的密码,可在一定程度上保证用户安全登录网银。但缺陷是,银行端可以用这个密码来辨认用户,用户却无法使用密码来辨认自己登录的是否是正确的网站。”上述人士表示。
与此同时,钓鱼网站的“以假乱真”也让用户防不胜防。据了解,与真正的中行网站主页相比,假冒网站的页面颜色、字体、版式等一模一样,两者最大区别在于假网站右侧第一栏按钮名称是“网银E令升级”,而真网站的同样位置则是“登录中行网银BOCNET”。
“2008年测试中行e令时,它的技术并不比U盾落后,问题在于尽管动态口令能提供第一重防线,但网银的第二、三重防线基本形同虚设。另外中行网站的架构比较单一,容易被模仿。”上述接近中行的人士表示。针对上述客户遭钓鱼网站诈骗事件,中行也实施了一连串补救措施:从1月21日起,大幅降低用户单笔转账金额至500元;自动向用户发送交易口令确认码,只有用户确认才能转账成功;大幅提高对客户风险提示和安全教育的密度。
其中最关键的是手机交易码认证服务。“手机交易码配合动态口令,通过双通道、双因素认证来加强网银安全防护。手机交易码短信中含有收款人姓名、收款账号、交易金额等关键交易信息,客户只有确认这些交易信息后输入手机交易码方可完成交易,起到了良好的提示和防护作用。”中行相关负责人表示。
IT蓝图曲折路
“这些年来,中行的IT系统已经成了业务发展的一个软肋,新系统推广了好几年,但遇到不少阻力。”中行一从事软件开发的人士表示。他所说的新系统即IT蓝图项目。该项目始于2004年。按中行早先规划,这项总投资约100亿元的银行IT系统及流程再造工程本应在2008年底完成,但因与外包商塔塔咨询磨合困难等原因,上线一再拖延。2009年初,中行对IT蓝图进行了重新规划,从最初主要依靠外包商转变成“以我为主”自行研发,并与塔塔咨询签订了补充协议,确立了双方的权利义务。
“可以说是FNS(塔塔咨询的前身金融网络服务公司)耽误了中行三年时间,其实很多IT人士当初对这家公司都不认可,因为它缺乏对大型银行数据集中的经验。中行转为自我开发为主后,可能也是在‘BANCS’(FNS的核心银行业务解决方案)原码基础上改进,原有的一些问题可能很难解决。”上述接近中行的人士表示。
不过,改弦易辙后,中行IT蓝图项目明显加速,并于2009年10月在河北省分行正式投产上线。中行2010年半年报显示,去年2月,IT蓝图2.0版本已在河北省分行成功投产。随后以该版本作为基准版,分三批次在西北五行、西南五行、黑吉蒙晋赣皖六行上线投产。“目前已有大约三分之二的分行上线投产,实现了数据上的逻辑集中。”上述在中行从事软件开发的人士表示,预计新系统今年将推广到所有分行,年内还将逐步完成先期投产分行升级工作。“投产以来,系统运行平稳,业务开展也很顺利。”中行河北省分行一支行人士称。不过,也有中行内部人士认为,即便年底新系统推广到所有分行,也难以就此认为IT蓝图项目圆满完成。“还是要看新系统对业务的促进作用,至少目前来说不很明显。”
专家支招防范诈骗:
如何防范网上银行诈骗
春节过后,金融诈骗案件又有抬头的迹象,而且在犯罪手法上渐趋多样化,网上银行诈骗成为一种新类型。有热心网友总结了两种常见的网银诈骗方式:
一是电信欺诈。不法分子冒充国家执法人员,通过电信渠道编造各种理由欺骗客户开通网上银行,然后诱骗客户泄漏其合法的网上银行用户名、登录密码等个人身份认证信息,进而盗划客户账户资金。
二是网络钓鱼。犯罪分子发送欺诈短信,以银行网银系统升级或动态口令牌过期更换为由,诱骗客户登录假冒银行网站和网银,随即盗取客户网银用户登录信息,并迅速窃取客户资金。
其实,无论是电信欺诈还是网络钓鱼,防范起来并不困难。任何国家机关部门、银行都无权向公众索要账号和密码,而且银行绝对不会以“涉嫌洗钱冻结账户”、“对被盗用账号进行保护”、“对存款进行监控”等任何理由,让用户把自己的钱转到某个“特殊”账户里,无论是通过网银、ATM还是直接到营业厅。您只要仔细听听,认真观察,马上就能识别真伪。此外,各家银行发送短信的号码是固定的,如建设银行使用95533、中国银行使用95566、工商银行使用95588等。
而针对钓鱼网站诈骗,客户只要在登录网银时直接输入银行网址或者对网址进行确认,很容易就能识别假冒网站。目前,犯罪分子使用的“钓鱼网站”多是在正规官方网站的基础上,添加字母或修改后缀变成的,如中国银行网银唯一登录网址是www.boc.cn。而目前已发现的假冒网站有www.bocip.tk,www.bocbt.com,www.bocqg.com等。
我们认为,国内网上银行经过十多年的发展,已经形成了一整套比较完善的安全机制,但也需要公众提高防诈骗意识,不给骗子们可乘之机。首先,要保证密码等私密信息不对任何陌生人提供,无论对方怎么反复索要,这是底线;其次,登录正确的银行网址。做到这两点,网银诈骗就可轻松防范。
专家提醒:防范新型电信诈骗陷阱
专家指出,在接到此类电话或短信时不要慌张,要多和家人朋友商量,做到“两看四不要”,这样就能有效识破骗局,远离电信诈骗。“两看”中第一要看发来短信或来电的电话号码。如银行致电或发送短信都会使用专用的客服号码,如果看到普通手机号码发来的短信或来电,不要理会,也不要回拨,若实在拿不准,可在互联网上搜索相关信息;第二要看网址,记牢常用的银行、电子商务网站网址,如网址不对就可以判定是诈骗信息。
“四不要”中第一个“不要”就是不要轻信。对收到的网银系统升级、信用卡高额年费、异地消费、涉嫌洗钱、特价网购商品等不熟悉的信息不要轻信。要克服“未知恐惧”和“贪图便宜”的心理;第二个“不要”是指不要理睬和回复。不要拨打或访问任何不明短信或电话提供的电话号码和网址,如需求证要拨打110或真正的银行客服电话。对于未知的未接电话不要轻易回拨;第三是不要泄露银行账户隐私信息。无论任何机构都无权索要私人的银行卡号、密码等信息,对于此类隐私信息一定要妥善保管,绝不能将网上银行用户名、密码、动态口令等信息告诉陌生人;第四,