江苏商报报道商报记者　金科　报道随着网上银行的普及，越来越多的网银安全问题开始出现。今年6月，几名工商银行网银账户被盗的用户，成立了一家名为“工行网银受害者维权联盟”的网站（www.ak.cn），正式向工行网上银行存在的安全隐患提出了维权的口号。“联合全国受害者发起集体维权的目的是：“理顺我们和工行间的合同关系，对工行网银漏洞给我们造成的损失进行集体诉讼索赔；正常的被盗案件报案流程应该是工行去报案，而不是客户去报案；呼吁公安机关统一案件受理平台，集中技术和警力，对网银犯罪进行专项打击。”该网站相关人士告诉江苏商报。

　　受害人：被盗是银行不作为

　　天津的韩先生是这家网站的最早发起人之一。“当时因为使用了工行网上银行，账户里的钱被盗了，于是在网上发帖投诉，后来发现和我一样遭遇的人很多，于是请朋友做了现在这个网站”。他告诉江苏商报。记者在网站上看到，“受害者列表”一栏里，共有107位工行网银用户留下了自己的姓名以及失窃金额。谈起自己账号被盗的事件经过，韩先生表示，由于在网上卖东西,自己开通了中国工商银行网上银行业务。今年4月4日上午10时左右,他进入网上银行查询余额的时候发现有两笔异常的交易记录，都是网上购物，“可是我本人并不知道这两笔业务的发生。我银行卡里面的2000元钱被人分2次划走了！钱指向了北京云网无限网络技术有限公司,我从网上查到他们公司的网址，并打他们的客服电话核实2笔交易，他们说交易的确发生过，而且2000元已经被消费得还剩6元。”韩先生所说的云网公司，是我国比较著名的一家卡类销售商，犯罪分子已把他卡里的钱全部换购成了游戏点卡。但无论云网还是工行，对韩先生被盗事件，都没有赔偿的意思。“我认为出现这个漏洞是银行的不作为”，韩先生告诉江苏商报。事后，韩先生通过网上检索，发现了大量工行网银因存在漏洞而出事的文章，“去年2005年，《重庆晨报》曾经报道过，万洲一位职高生利用自编的软件测试网络安全，发现可以进入中国工商银行网站，任意提取客户资料。并且对银行和记者做了现场的演示，可工行不以为然，才造成今天不可收拾的局面！”根据韩先生提供的报道，银行当时所作的改进就是禁止浮动窗口覆盖在网页上面。在韩先生看来，银行的不作为还包括，在申请网上银行的过程中，从来没有向他推荐过能更好保护使用安全的U盾，也没有告诉他相关的网银使用的风险提示，“我被盗以后跟工行交涉中他们才跟我推销起U盾这个东西，他们早干什么去了？这不仅仅是不作为！是明知故犯！”国家计算机病毒应急处理中心：工行安全认证比较简单韩先生对江苏商报表示：之所以要告工行，是因为他们的网上银行账户页面太简单了。“只要卡号密码就行，说白了就是可以蒙对。”记者在查阅资料后发现，在国家计算机病毒应急处理中心，以及金山、瑞星、江民等杀毒软件公司发布的安全预警中，近期网银大盗类的木马程序，很多都是冲着工行网站而来。例如，7月10日发布的我国出现窃取银行账号密码的网银木马TrojSpy_Banker.YY，该木马会监视IE浏览器正在访问的网页，如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取的信息发送出去。以受害人的名义，记者打入了国家计算机病毒应急处理中心的电话，中心某人士告诉记者，近期确实接到投诉工行的比较多，超过了其他银行，“造成这个原因主要是用户安全防范性太差，另一个原因是工行早先的安全验证比较简单。”

　　工行：一直在加强网银安全防范工作

　　据了解，工行已从本月起停止了大众版网银的交易功能，用户通过自助注册的大众版网银，将不能进行网上对外支付，包括网上购物和对外转账，而只能进行基本的查询功能等。同时，9月1日后，在银行柜台办理的静态密码网银客户的每日交易限额从5000元变为300元。对于需要支付大额资金的用户来说，今后将需要申请专业版网银，并使用“U盾”或动态口令卡等安全工具。“其实工行一直在加强网银安全防范方面的工作，限制普通用户的网银交易，也是更好地确保了他们的资金安全”，江苏省工行电子银行部的某相关负责人对江苏商报表示。根据这位负责人的介绍，如今登录工行网上银行，都需要提供校验码，这主要是防止黑客利用机器人软件去重复的尝试密码，“一旦6次输错，银行将对该账户进行冻结。”在防范密码上，工行采用的是权威公司微软提供的ActiveX控件，客户的用户名、木马等资料，都是从低层的操作系统上获取的，一般的木马程序没有盗取资料的机会。”不过这位人士也承认，盗高一尺，魔高一丈，这种手段无法完全杜绝黑客高手的入侵，在此基础上，工行又推出动态口令卡，“动态口令卡的原理是一个8X10的矩阵，每一块都有3位数字，用户每次登录网银，密码都不一样。而最安全的办法还是使用U盾（电子证书）。“那种比较易查的直接转账性质的盗窃案很少，大量的案件和淘宝等B2C网站有关，犯罪分子通过支付宝转账等形式，变相地完成了类似‘洗钱’的交易，或者类似于韩先生案件中采取网上买卡的形式，给相关部门破案造成了极大的障碍。”受害人与工行之间的另一个分歧是关于赔偿问题，工行相关人士告诉江苏商报，对于客户报上来的损失，银行都是积极配合公安机关的侦查的，但前提是法院必须立案，因为银行没有独立侦察的权力，同时，该人士表示，《商业银行法》并没有规定银行有赔偿义务。(编辑　小娜)