网银U盾并非牢不可破。近日媒体披露,一位只念完初中的无业青年只需30秒,便攻破某网银U盾窃取30万元,银行标榜最安全的U盾方式也躲不过木马的魔掌。在日前举行的“2011放心安全用网银联合宣传年”启动仪式上,央行科技司负责人透露将修订网银安全规范。公安部相关负责人也表示,将联合多个部门建立联动机制,进行网银犯罪信息的共享。
网银成钓鱼木马诈骗重灾区
如今,网购和网上支付日渐成为主流。《2010中国电子银行调查报告》数据指出,2010年全国城镇人口,个人网银用户比例为26.9%,比2009年增长了6个百分点;全国个人网银用户中,活跃用户比例达到80.7%,比2009年增长了4个百分点;交易用户平均每月使用次数高达5.6次,高于2009年的4.8次。
在业务激增的同时,网银的安全问题也日益突出,钓鱼、木马鱼贯而出,网银日渐成为钓鱼、电话诈骗的重灾区。根据瑞星发布的《2010互联网安全报告》显示,“钓鱼网站”已经成为最为泛滥的网络安全威胁。2010年,新增“钓鱼网站”175万个,比上年增长1186%。在欺骗人数最多的十个“钓鱼网站”,超过一半仿冒购物网站和银行网站,作案目标直接指向网银用户。
公安机关指出,一些不法分子冒充银行实施网络诈骗,此类诈骗手法将传统的短信诈骗与钓鱼网站相结合,如客户信以为真,访问相应网址,就极有可能下载安装后门程序,导致网银帐号被盗。
银行多措并举欲消除隐患
国内外网银的身份认证技术从安全性由低到高主要分为三个层次:一是网银推广初期采用的静态密码技术,二是动态密令技术,三是基于PKI体系的数字签名技术。随着技术的发展,黑客能够实现与用户电脑的同步操作,而动态密令技术又给黑客提供了足够的截获、登录、转账的时间。
2011年年初,央行出台了《网上银行系统信息安全通用规范》,对网银技术、管理和业务三个方面有针对性地提出的要求。央行支付结算司人士日前透露,以后央行将形成年度检查的制度化要求,从根本的制度保障和制度实施运作上提高了网银安全保障水平。4月12日,近四十家商业银行举办“放心安全用网银联合宣传年”,再次为电子支付领域提供公众教育,进而有效地推动网银业务的健康快速发展。
作为规避安全风险的一项措施,自2011年2月起多家银行开始下调网银转账限额。据了解,建行个人网银盾日累计转账金额由500万元下调为100万元,而使用动态口令卡和证书转账,也从以前的20万元下调到3000元。农行将个人网上银行K宝客户单笔转账限额从不设限到调整为100万元,日累计限额500万元。中行原来单笔转账限额为100万元,现改为10万元;原来每日累计转账限额为200万元,现改为20万元。4月11日,招商银行大众版网银一卡通支付限额,由此前的单笔/单日累计最高5000元下调至单笔/单日最高500元。
规避风险避免“劫持”消费者
关于调低通过第三方支付进行的网上支付交易限额,银行方面给出解释,关键是为了降低网上支付交易风险、保障持卡人资金安全。
然而,加强安全是否只有下调限额一条路?这是否以安全的幌子掩饰利益分配呢?
从过往诸多案例来看,采取双重认证的专业版网银U盾并非牢不可破,黑客完全可以绕过网银自身的安全系统,通过远程操作直接窃取用户密码。为此,网购爱好者们抱怨连连,签约银行专业版网银或购买U盾或U宝之类的移动证书,会有25至100元的费用支出,银行真正应该做的是免费开放专业版网银。
金融专家也纷纷发表评论,一些银行相继降低网银单日交易金额,很可能是在与第三方支付平台合作中的利益分成出现分歧,银行方面借此向第三方支付平台施加压力,目的在于保有自身利益。一旦第三方支付平台无法满足银行要求,银行将逐渐引导持卡人转向使用专业版网银。
规避网银诈骗风险不应“绑架挟持”消费者,银行真正应该做的是在技术、规则、创新业务等方面不断完善,加强和公安部门的合作,共同提防和打击网银诈骗。
而对于消费者自身来说,提高安全意识也很关键。消费者应尽量设置复杂的账号密码,经常更新计算机杀毒软件,及时杀毒,定时清理电脑内的木马程序,弥补系统漏洞。不要在图书馆、网吧等公共场所使用网银,如遇到短信请第一时间咨询银行客服。对于使用U盾的网上银行用户,在完成网上银行操作后应当立即拔下U盾,以避免给犯罪分子可乘之机。