八招防御网银风险 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

如果说，三年前在中国，使用网上银行还象谈论最新的好莱坞大片一样是一种时尚。那么三年后的今天，起码在城市，穿着拖鞋坐在家里，一手端着咖啡，一手轻点鼠标完成一笔转账或股票交易，正变得越来越平常。
方便、快捷的交易特点如同一种致命诱惑，促成了过去几年中国的网银客户象春草一样疯长。来自艾瑞市场咨询的预计，2006年中国网上银行用户规模已经达到7100万户，其中，个人客户7000万。这意味着20个人里，就有一个人在使用网上银行。如果限定在城市范围，上述比例则更高。
与此同时，尽管各家银行不断对其网银进行升级加强，但网银盗诈事件仍时有发生，网银的安全性正成为那些网银的使用者和潜在客户担忧的主要问题。盗诈背后，究竟应归咎为银行的技术系统不过关，还是客户自己的粗心大意，亦或监管的缺位，正成为一个急待理清的问题。
银行是否还要保留大众版？
目前，网上银行一般都区分大众版和专业版。而据统计，目前90%以上的案件大部分发生在 大众版 网上银行。资深网银专家、艾瑞市场咨询分析师柳龙涛向记者指出，除了在服务内容方面不同以外，两者的区别在于专业版采取了数字证书和U盾等技术。
在他看来，专业版好比一个黑箱，个人信息好比打开这把黑箱的钥匙。箱子里有一把，箱子外客户有一把。其他人除非从客户手中拿到这把钥匙打开箱子，否则是没有其他办法进入的。 在技术方面，我们可以说是和世界接轨的。 刘龙涛说。
一位银行业人士向记者表示，目前的主要问题是：网上银行最安全的防线（数字证书）没有得到普及，绝大多数用户仍然是大众版 卡号＋口令 的使用者。数字证书的使用者网上银行被盗的可能性极小，即使出现被盗，第三方数字证书认证机构也明确了愿意承担赔偿责任。
上述人士称，虽然大众版的服务内容有限，但开通比较简单。与之相比，专业版的开通则需要相对比较烦琐的程序，且有一定的收费（如用户购买工行的U盾需要花60-70元）。因此大众版可最大限度的吸引潜在客户，有利于网银的进一步推广。但不可否认，其安全性确实要低一些。
记者浏览各家银行网站注意到，对于数字证书和USB Key的使用，各家银行一般仅为建议采用，并非一个强制方案。一位网银客户向记者称，他觉得既然没有强制申请，说明银行能保证自己的资金安全，也就对数字证书没怎么重视。
统计显示，中国目前的网上银行用户中，数字证书使用者在5%以下。一位律师向记者称，数字证书没有普及显然不是个人问题。因为如果银行在明知没有数字证书的情况下，用户在网上的账号、密码可能被盗，仍然为95%的用户提供网上支付服务，银行应当难辞其咎。
客户自身未养成良好的习惯
不过，即便如此，大部分的银行资金盗诈案件仍源于客户自身的过失。艾瑞市场咨询分析师柳龙涛向记者称，事实上，在网络世界中，客户在很多方面都有可能将自己的个人资料遗失，或者遭遇盗窃，而这些就有可能被窃诈者通过网银去转移其账户资金。
他举例说，比如有的客户粗心大意，在一些虚假网站（钓鱼网站）上注册了自己的个人信息材料；打开一些不明邮件，被其中的木马病毒盗取了个人信息；喜欢用自己的生日作为密码等等。
他还特意强调了一些非技术的因素。比如从一些已经发现的网银案件来看，不乏熟人做案。 熟人最了解你的性情习惯，在这方面，注意保护个人信息，尤为重要。 柳龙涛说。
客户应对自己的不良习惯负责，而另一方面，银行也要尽到充分的提示义务。
监管缺位
在银行和客户之外，网银的安全性问题，实际上也反映了监管的缺位。这表现在对于网上银行仍缺乏专门的针对性的法规。对于网银产业链上的各个主体，如银行、网络技术公司、金融认证机构、客户等缺乏系统的权责安排。
业内一位人士指出，这实际上跟我国目前整个的监管体制和监管水平相关。如何在保障安全和促进网银发展之间寻求平衡，以跟上现代金融革命的步伐，显然是一个极具挑战性的课题。
在这些问题得不到系统解决的情况下，客户的网银资金安全问题，依然是始终悬挂在其头上的一把达莫克里斯之剑。
◆资料链接
何为USB Key？
USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性，是一种目前网上银行应用较广泛的身份认证产品，一些银行的U盾、优KEY等都是这种产品。
它的使用方法是，用户登录时在电脑上插入USB Key，然后输入PIN码，如果验证通过，则可以进行相关交易。
USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏，只要USB Key本身不被盗用即安全。但USB Key在实际使用中也有一定风险，由于PIN码是在用户电脑上输入的，如果用户不及时取走USB Key，那么黑客可以通过截获的PIN码来取得虚假认证，仍然存在安全隐患。（谢晓冬 实习记者 唐轶男）
八招防御网银风险
第一招：客户应核对网址。客户在登录网上银行时，最好要留意核对自己所登录的网址与自己和银行签订的协议书中的法定网址是否一致。
第二招：客户应妥善保管好自己的密码。客户切不要把自己的出生日期、家庭电话号码以及自己的身份证号码等作为密码，建议选择有代表性的数字和字母混合的方式设定密码，以提高密码破解的难度。
第三招：客户应做好交易的记录。客户应对自己在网上银行办理的每一笔转账和支付交易等业务做好详细的记录，并定期查看自己的 历史交易明细 和定期打印自己的网上交易业务对账单。
第四招：客户应管好数字证书。客户应避免在公用的计算机上使用网络银行交易，以防止自己的数字证书等相关机密资料落入不法分子的手中，从而让自己的网上身份识别系统遭到不法分子的蓄意破坏，使自己的网上账户被他人盗用。
第五招：客户应对异常的动态提高警惕。假如客户不小心把自己的银行卡卡号和密码输入了陌生的网址上，并出现了类似于 系统维护 等提示语，客户应立即拨打银行的客服热线进行确认，一旦发现自己的资料已经被盗，必须马上修改自己的相关密码并去银行进行银行卡挂失。
第六招：客户应安装防病毒软件。银行客户应为自己使用的电脑安装防火墙和防病毒软件，并经常为自己的电脑升级。
第七招：客户应堵住软件漏洞。为了能够更好地防止不法分子利用软件中的漏洞进入自己的计算机窃取资料，在使用网络银行、网络游戏时必须开启杀毒软件的实时监控，并启用个人防火墙，且杀毒软件必须经常升级，下载补丁程序。
第八招：每次使用网上银行个人服务后，请选择 退出登录 选项退出，以防数字证书等机密资料落入他人之手。（谢晓冬 唐轶男整理）
网银安全维权之路
网上银行遭遇投诉的事件屡见不鲜。在北京、上海、广东、江苏等经济发达地区，网银账户被盗导致存款被转走、冒领的受害者数量多达上千人。而关于网银被盗问题的讨论也演变为一场网银用户的维权之争。
浙江：首例网银被盗案储户获全额赔付
2005年2月2日，洪荣尧的手机短信显示，其借记卡内少了102500元，遂向警方报案。经调查，有人以 洪荣尧 的名义持假身份证到中国农业银行温州市分行开通了网银业务，获取了网银客户证书及密码。其后，此人通过网上银行成功将洪荣尧借记卡内的十万余元资金分两笔转划至他人账户，后领取了该款。
浙江省永嘉县人民法院一审认为，银行未能认真核实验明办理网上银行注册人提供资料的真实性，导致原告存款被他人冒领。法院据此判决：中国农业银行永嘉县支行赔偿储户存款并支付利息，经再审维持原判。
北京：用户告银行被判自己 买单
2005年9月工商银行北京海淀西区支行储户杨先生的银行账户被人通过网上银行支付系统盗取6万元，因此将银行告上法庭。该行在法庭上辩称，杨先生的6万多元是其账户通过工行的网上银行系统汇款发生的。交易是在对方凭杨先生的账号、密码登录网上银行系统后发出指令，他们依据该指令办理的。2006年9月，法庭最终以用户不能提供充分证据证明其存款消失是因工行过错导致而败诉。
在法院审理此案的同时，一些有类似经历的工行客户自发成立了 工行网银受害者集体维权联盟 ，表示要集体维权诉讼。该联盟多次向工行递交要求赔偿的声明，并向银行监管部门、消协发送公开信，据称一些联盟成员已得到工行先行垫付部分损失款项的承诺。目前，此维权行动仍在继续，且参与人数越来越多。
上海：16万元消失储户银行均称无错
3月10日，上海市民蔡先生发现，其建行上海分行的2个账户上共计16万余元不翼而飞。经调查，蔡先生的款项被人通过网上银行，分数次转入云南的一个账户。蔡先生表示，自己并未向他人泄漏网上银行密码，也从来不使用公众场所电脑登录网银。而且，在与银行交涉中，蔡先生被告知此类事件以前也发生过，并说网银用户应选用USBKEY或动态口令等更有效的安全措施。蔡先生纳闷：为何银行之前从未向他做过这样的安全警示呢？而建行方面表示，那段时间该行网银系统没有出现问题，可能是客户电脑被病毒或黑客攻击所致。
目前，此事已有司法机关介入。建行表示将配合公安部门的调查，并会根据需要，提供犯罪嫌疑人的银行资料、作案时的IP地址等。
综观这些案例，储户若无法提供充分证据证明自己的损失是因银行过错导致的，其诉求一般无法得到法院支持。律师也认为，如储户不小心泄露了自己的银行卡和密码，或被别人看到，出现盗转事件；或储户所使用的电脑遭遇黑客，其银行卡和密码被黑客盗走，银行不承担责任。而如果银行网络系统确实存在瑕疵，不能安全保护储户的个人信息，出现盗转事件，银行就应承担责任。但储户在这方面取证困难，因此律师建议，诉讼时应使用举证责任倒置原则，由银行举证证明其网银安全。