“密码泄漏”和“冒充站点”都是网上银行的安全隐患
网上银行的安全隐患进一步证明,比尔·盖茨关于“传统商业银行要在21世纪灭绝”的预言过于乐观
银行卡上的工资到账之后,公司的员工张先生第一时间通过网上银行确认工资总额,而同一办公室的李小姐和刘小姐对于网上银行的使用却抱着迟疑的态度。
李小姐表示由于对安全存疑,坚决不使用网上银行;刘小姐试图注册网上银行时,因为注册密码必须都是数字而停止,她认为都是数字的密码非常不可靠,她们都选择下班后到ATM机上查询。
在中国,网上银行成为传统银行业务的延伸已经吸引了250万的用户,但是也有相当一部分人群因为安全隐患的存在而对网上银行“望而却步”。
比尔·盖茨曾经预言:“传统商业银行是要在21世纪灭绝的一群恐龙。”他甚至说,银行业是必需的,银行是不必要的。传统商业银行的网上金融变革将改变比尔·盖茨的预言。
而网上银行的安全隐患进一步证明,比尔·盖茨的预言未免过于乐观。
1600万日元不翼而飞
用户的担心并不是没有道理。
在日本,“1600万日元突然从自己的账户中不翼而飞”的网络银行案件再次给网络银行的使用者提了醒---网络银行的安全问题并不如想象中那样简单和容易解决。
日本两位嫌犯今年以来以东京为中心、利用一个名为“KeyLogger”的特殊软件在100多家网吧非法窃取了他人的网络银行ID和密码,并涉嫌通过非法访问美国著名的“花旗银行”,以虚假身份将大约1600万日元划入了自己的账户。
据了解,此次事件中用于非法窃取ID和密码的软件是“KeyLogger”。其实这种特殊软件并没有多高明,它的功能非常单一,通过常驻系统来监视键盘输入,并将所输入的文字全部作为日志保存在文本文件中。
由于部分用户网络银行的安全意识淡薄,随意在公用电脑,诸如网吧输入账号和密码,导致案犯有机可乘。
业内人士认为,作为银行来说,银行的ID和密码也非常脆弱。如果有随机数表,就可以防备此类事件。随机数表是指为每个客户指定各不相同的数字列表,申请时将该随机数表分配给客户。
根据日本相关机构对网络银行站点进行的调查结果显示,网络银行登录画面上所要求的认证输入,很大一部分仅要求输入客户编号等登录ID和密码,有的银行竟然只要求4位数字的密码。这样一来密码存在泄漏或被窃取的可能性就非常大。
作案方法
在网吧等场所有可能被盗取密码,但熟悉网络银行安全性的专家指出:“登录认证检测有可能会成为作案者校验并窃取密码的功能”。方法很简单,连续地在ID和密码栏中输入随机数字,如果能够登录,就说明这个数字是正确的密码。
在传统银行业务中,密码输入一定次数仍然错误就会被停止服务,但是在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。
除了用软件窃取密码这样的事件以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。
比如,可以首先向客户发送一个“本行网站正在进行促销活动!”等内容的虚假邮件,然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
谁来保护1.4亿用户
对于中国网上银行的发展,业内普遍认为,中国的网上银行起步于1996年2月;1997年中国银行建立了自己的网页,同年推出网上银行“一网通”,成为国内第一家上网的银行。
目前中国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网络银行业务的分支机构达50余家,企业与个人客户超过1000万户。
1998年,招商银行率先在国内推出“一网通”领跑网上金融业以来,四大商业银行迅速跟进,网上银行业务呈蒸蒸日上的态势。AC尼尔森公司最近的调查结果显示,中国的网上银行用户已由2000年下半年的90万人增加到2002年底250万,到2005年,这一数字将达到1.4亿。
然而未来的1.4亿网上银行用户的安全问题谁来保证?如何来保证?
一般来说,电子货币与现金相比应该更为安全。但是,电子货币一旦出问题,损失也将是巨大的。据调查,目前国内80%的网站存在安全隐患,20%的网站有严重的安全问题。
虽然迄今国内还没有某家银行网站被黑客人侵的案例,但多数客户仍心存顾虑,不敢在网上传送自己的信用卡账号等关键信息就是基于支付信息安全的原因,这就严重制约了网上银行的业务发展。
需要警惕的是,中国就发生过多起证券交易系统(还称不上是开放的互联网,只不过是局域网而已)被侵入,犯罪分子盗卖盗买他人股票、挪用盗取他人股票账户资金的恶性计算机犯罪。
由于网络安全问题始终未能得到很好的、完全的解决,利用互联网犯罪的案例有可能增多。网络窃贼的作案方法、作案工具有数十种之多,其中包括:释放计算机病毒使计算机系统瘫痪;通过可以发现网站软件程序薄弱之处的“扫描器”、窃取密码的“嗅探器”破译关键密码、窃取核心技术或信息;通过破译密码修改计算机系统内账户数据,制造混乱或达到窃取资金的目的。
制约电子商务
网上银行的安全隐患同样限制了电子商务的发展,使电子商务在一段时期内仍然停留在“网上订购,网下交易”的状态。
安全问题涉及许多方面,但主要体现在支付上。银行应尽快具备安全支付的条件,离开银行,便无法完成网上交易的支付,从而也谈不上真正意义的电子商务。
业内人士还指出,要保证电子商务的顺利进行,必须分析一下什么样的网上支付运作机制适合国情,能满足要求。网上的要求是互联、互通、互操作,而不是关起门来做自己的事,要想确定支付运作流程,必须在宏观上根据用户需求确定构架,用户和服务支持者需要联合起来把需求说清楚,才能规范模型、机制和功能。
中国银行业已经开通了安全认证服务,通过向电子商务参与方发放数字证书来确认各方的身份,保证网上支付的安全性,对防范支付风险将起到积极的作用。但网上支付和网上银行要走的路都还很长。
海狼网
短网址: 版权所有,任何形式转载需本站授权许可。 严禁建立镜像网站.
【诚征荣誉会员】溪流能够汇成大海,小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员:每位荣誉会员每年只需支付一份订阅费用,成为《看中国》网站的荣誉会员,就可以助力我们突破审查与封锁,向至少10000位中国大陆同胞奉上独立真实的关键资讯,在危难时刻向他们发出预警,救他们于大瘟疫与其它社会危难之中。