黑客假冒网上银行 血洗数千万资金

据经济之声《天天315》报道,今天是3月15日,国际消费者权益日。中央人民广播电台经济之声推出,国际消费者权益日金融消费维权,特别行动《今天3・15》。

  有人说3・15是消费者的节日,因为这一天是一年当中消费者权益最受关注的一天。那么对消费者来说,是最值得期待的一天。但是这一天又缺少节日所应当有的欢乐和快乐,各种侵害消费者权益行为的集中暴光,以及消费者维权的艰难,又让这个节日的气氛显得有些沉重。那么从衣食住行到旅游娱乐,从电信服务到金融理财,各个消费领域侵害消费者权益的行为此消彼涨层出不穷。而最近一段时间金融消费领域的侵权行为尤其突出,炒股被忽悠,网银有诈骗,存款变成保险,保险理赔难等等,各种各样的投诉不断出现。

  为此中央台经济之声推出国际消费者权益日金融消费维权特别行动《今天3・15》,聚焦股市、网银、理财、保险等领域,连线东西南北地方电台,曝光金融消费领域的陷阱,揭开金融消费背后的内幕。

  最近几年网上银行的出现,确实给大家的生活带来方便和快捷,但是随着网上银行的日益普及,潜在的风险也开始浮现出来。

  最近网上银行诈骗案件不断发生,多家银行的网站都被假冒,尤其是在去年11月份,犯罪分子假冒银行网站骗取消费者登录在获得用户的资料之后,登录网银转走客户的资金,不少消费者蒙受了损失。

  惊魂60秒,黑客冒充网银血洗数千万资金,警方破案大快人心,而黑客又将魔爪伸向农村,面对钓鱼网站为什么安全厂商集体失语?受骗用户能否得到赔偿,敬请关注网银诈骗案。

  消费者经历:黑客冒充网银诈骗 数十万资金不翼而飞

  北京的张先生是一位生意人,平时经营着一家养生馆,然而一个月前一条突如其来的短信,打破了他原来简单规律的生活。

  张先生:那天我正在店里给员工进行检查,忽然间一条短信,上面说尊敬的网银用户您的中行E令将于次日过期,请尽快登录中行网站www.bocbank.com详情咨询95566。

  E令是中国银行网上银行的一种动态口令牌,用过的朋友都知道这是一个钥匙链大小的电子产品,内置电源、密码生成芯片,外面有显示屏,根据专门的算法,每隔60秒自动更新动态口令,网银用户使用网银时需要依次输入开户时设置的用户名、密码以及E令所显示的动态密码,以此来确保用户的帐户安全,张先生接到这个短信后也没有多想,立刻拨通了自己妻子的电话,叮嘱相关事宜。

  张先生:当时也没想那么多,一是店里正忙着,再者我们也是中行老客户了,平时经常接到中行的短信。这张卡平时没什么用,主要是跟朋友转转账,生意上进点货买点东西什么的钱也不多,一般保持在十多万块钱左右,随用随充。我给老婆转发了短信,打电话一说,让她下午帮我改个密码,晚上回家她说办好了,我一听也没往心里去。

  时隔几天,张先生需要购进一批店内用品,当他用这张中行卡给朋友转帐的时候,发现原本账上的10万多块钱不翼而飞。

  张先生:没了,给我老婆打电话,她说当时按照网站的中行的页面,按照提示进行操作的输入用户名跟密码,然后E令输入进去,说后来升级成功了,再后来也没动过里面的钱。我当时脑子翁了一下,点了根烟琢磨半天,确实也没动过那里面的钱,打电话问中行,说是诈骗短信,让我赶紧报案。

  无独有偶,上海的周女士也是接到同样短信之后,登录了假冒的银行网站结果80多万元被盗取,上海第一财经频率发来的报道:

  前几天周女士在外出途中,手机收到一个陌生号码发来的短信,短信称她的中行网银的口令卡需要升级,并且这个短信提供了一条所谓升级需要的网址,而且还提供了中行95566咨询电话,周女士在没有咨询95566的电话下,直接利用自己随身携带的笔记本电脑,登录了对方提供的网址。

  登录这个网站之后根据所谓升级的要求输入了她自己中行的卡号、密码和网银口令卡,这些信息全部被不法分子所获取,最后导致她卡内80多万现金被全部转走。

  实际上周女士登录的并不是中行网银的官方网站,而是一个十分逼真的钓鱼网站,这个网站显示的页面与内容和真正的官网一模一样,只是网址跟真实的网址稍稍有些区别。

  中行网银实际的网址是www.boc.cn,他提供的网址boc1.cn,网址跟真实的网址有一定的相似度。

  与张先生、周女士受骗经历非常相似,其他受害者先是都收到短信,非常正式的通知机主尽快通过登录网站对E令进行升级,并且说可以致电95566中行总部进行咨询。但是受害者通常不会注意发短信的号码却不是95566。骗子留下的钓鱼网站的域名乍一看也和中行的网站非常相似,这些假冒网站登录以后,表面上完全和中行的官方网站一样,当用户输入真实的用户名、密码以及E令卡上显示的口令的时候,网站就会在瞬间通过后台链接到真正的中国银行的网站进行转帐。

  银行回应:诈骗并非中行网银系统被攻破,因此不承担责任

  金山公司网络安全专家李铁军告诉记者说,E令卡的60秒动态口令原来是为了防止犯罪分子盗取密码而设置的,最初的设想是即使卡主人动态密码被旁人无意当中发现,等到别人再来上网登录转帐的时间内动态密码早已经更换了,因此理论上是安全的,但是目前网络黑客和钓鱼网站并不通过人工操作转帐,而是通过电脑程序,这样一来,原本防贼的60秒钟的时间,在不法分子的面前反倒是显得太充裕了。

  张先生:虽然我被骗子骗了,但受害事主那么多,遍布全国,这说明犯罪分子利用了E令的漏洞。骗子以银行的名义骗我,银行没有进行应有的提醒,银行是不是应该承担点责任?现在我也不知道,如果有人起诉,我一定会跟着起诉。

  张先生也认为这个环节疏忽,应该被认为是E令的设计漏洞。

  带着张先生的投诉和疑问,记者拨通了中行的咨询电话,电话一接通,就传来了中行针对此类网银诈骗的提示:

  中行网银唯一登录网址为www.boc.cn……

  随后中行工作人员告诉记者,目前针对这些诈骗中行已经配合公安机关侦破了多起案件,同时在网银转帐时加设了手机确认环节有效的遏制了这类案件的发生,但是这类案件的发生是由于用户受到了诈骗而并非是中行网银系统被攻破,因此中行不承担责任。

  工作人员:这种网银的诈骗案件,客户联系到我们这边处理,这边的工作人员会反馈给客户,只要涉及到诈骗案件,由公安机关那边来处理。银行会全力协助公安机关进行侦破。

  专家:E令在设计上存在漏洞 根本上改进才能治本

  本月11日,深圳市南山区法院,对一起由钓鱼网站导致银行用户财产损失的案件宣判,银行方胜诉,用户承担损失的全部责任,法律专家包华(音)律师认为,关于银行和储户,由于第三方不法侵害的损失谁来负责的问题,法律上应以过错原则为判定标准。

  包华:要分清楚银行和储户之间谁有过错。银行和储户之间曾经签过一个关于网上银行使用的一份协议,根据这份协议的内容,大家可以去翻一翻,银行方面有一二三四五多项内容,对于储户来说,他也是有相应的义务的。比如,应该保护好自己的帐号密码。在刚才这个案例中,我们明显的感觉到,是储户没有尽到谨慎义务,导致自己的帐户遭他人窃取。在这种情况之下,中行在协议上的履行角度上,是没有过错的。

  金山网络安全专家李铁军认为,相比E令,现在很多银行推行的数字证书登录方式,则更为安全,而E令从网银方式的设计上,确实存在着漏洞,不从根本上改进,恐怕治标不治本。

  李铁军:建议把这样的系统淘汰掉,更安全的网上登录方式应该是数字证书。当用户去到银行申请到移动版数字证书之后,这些个人的身份信息,包括银行的登录密码信息会存储在U盘上,这个U盘会随着用户自己带着,到哪去用时,插入这个U盘就可以了。像刚才的钓鱼网站,U盘是没有办法盗走。银行使用动态口令系统,可能是出于自己运营成本方面的考虑。

  有人会问,现在各大安全厂商不是口口声声说专治木马,专防钓鱼网站吗?为什么面对网银漏洞,安全厂商集体熄火了呢?李铁军说:

  李铁军:防止和阻击那些钓鱼网站的方法,是收集这些地址加进黑名单之后,才能拦截,这个制作钓鱼网站制作一个虚假页面,成本非常低,大量的钓鱼网站有可能在比较短的时间内频繁的出现。本地安装的安全软件,不能做到百分之百,非常及时的拦截。

  黑客将魔爪伸向农村

  消费者应遇事不慌 仔细核对信息

  目前公安部门和银行各方称,已经通过努力有效遏制了诈骗,但通过梳理会发现网络黑客和犯罪分子远没有停下脚步,并把魔爪伸向了农村。2011年1月13日,南京出现第一起百万级冒充中行转帐诈骗案,受害者王先生损失一百万元。2月23日,中行发布消息称,后台网银并未被黑客攻陷,对于网银客户中行已经尽到应有义务。2月25日,中行称协助公安机关侦破案件90余起,打掉犯罪团伙3个,案情已经得到有效控制。3月7日消息称,江苏出现农村信用社E令诈骗,犯罪分子用同样手段将魔爪伸向广大农村地区,江苏省公安厅已经启动紧急机制。

  身边的人都说,每年我们的节目都让人心里一紧,从最开始的商家卖假货、虚假广告,到后来揭露的家乐福价钱戏法,再到如今的黑客技术等高科技诈骗犯罪的猖獗,消费者所处的社会环境怎么越变越坏了呢?其实面对警惕性不断提高的消费者,不法商家和犯罪分子当然会不断推出花样翻新的手段,而正是消费者、媒体、司法机关和整个社会的努力揭露和打击不断升级的欺诈行为和高科技犯罪,才让更多的骗局公布于众,让不法分子认罪伏法。从这个意义上来说,3・15依旧是一个神圣而严肃的日子。今后的每一天,我们仍然要面对可能发生的各种欺诈和不法侵害。

信息安全准确性

“信息安全维他命”出了几道安全意识趣味测验,很有迷惑性啊,有空可以去看看:http://vitamins.isvoc.com

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s