中行网银客户资金频遭洗劫 专家称其设计有漏洞

　　其中一客户百万资金瞬间被转；有专家认为中行动态口令设计有漏洞

　　新快报讯 近一个月内众多中行网银客户先后经历“惊魂300秒”，账户内资金瞬间被钓鱼网站洗劫一空。中国互联网信息举报中心监测数据显示，近期网银盗窃侵财型案件举报甚多，特别是假冒中国银行网站大幅增加，数量已多达近70个。针对中行网银的高智能诈骗案呈高发态势，并以惊人速度向全国蔓延。

　　假冒中行网银诈骗案频发

　　2011年1月13日，南京的王言(化名)先生突然收到一条手机短信称其中行E令将于次日过期，请尽快进行升级。王先生正是中国银行的网银用户，他随即利用电脑，根据短信提示的内容登录短信内的“中国银行”的网址，输入自己的相关信息，在页面显示升级成功。王先生在退出页面后猛然发觉不对，再次登录时，发现自己账户内的100万元已经被全部转走。

　　究竟有多少客户的资产遭到假冒中国银行钓鱼网站的侵蚀，暂难获得准确数据。但是事态的严重性已从公开信息中得到证实。据不完全统计，仅1月10日-20日之间，江苏省此类案件就发生上百起，浙江省也有近50起，涉案总金额巨大。据金山网络云安全中心统计数据显示，近期已有超过5万名用户访问过中国银行的仿冒网站。

　　中行称其与网银设计无关

　　中国互联网信息举报中心主任助理郝志超曾在接受采访时表示：“中行的网银系统还是有问题的，它的动态"E令"被犯罪分子利用了。中国互联网信息举报中心已经敦请中国银行进一步完善网银业务流程，不给犯罪分子可乘之机。”

　　中国金融认证中心相关负责人告诉记者，中国银行选择的是用动态口令保护用户网银安全。这种动态密码的原理在于：它通过特定的计算方式在用户处产生一个随机变化的密码，同时银行处也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码相比较，若匹配则表示已通过验证，用户可进行下一步的操作。然而此轮网银诈骗，绝大部分案例都以“中行E令”为幌子。

　　中行工作人员对此回应称，中行对个人网银账户的安全防范是获得国家有关部门认可安全可靠的。诈骗发生，主要是用户登录假网站，被骗取密码和动态口令所致，跟网银本身的设计没有什么关系。

　　E令设计被疑藏安全漏洞

　　中国金融认证中心专家认为，动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在1分钟内都会有效。而就是这短短的一分钟，让不法分子有了可乘之机。但是国内主流银行中唯一与中行同样使用动态口令的光大银行网银，类似遭遇钓鱼网站攻击的事件却少有。

　　业内一位不愿具名的专家透露，问题不在动态口令，而在于中国银行动态口令的设计存在一个明显漏洞。

　　他表示，光大银行的动态口令生成器命名为阳光令牌，用户在登录时需要输入随机口令，转账时还需要再度输入事先设置的转账密码，两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账，一旦遭遇钓鱼网站拦截或口令牌遗失，客户账户安全就难以保障。

　　网银用户遭欺诈权责难定

　　记者了解到，遭到钓鱼网站诈骗的部分中行客户，已经开始向中国银行申请索赔。中行相关负责人对此回应，网银用户遭到犯罪分子欺诈，主要是防范意识不强，和网上操作的不规范造成，银行有义务配合警方破案，但是不应当承担赔偿。

　　北京某律师事务所工作人员表示：虽然从这些案件的作案方法上来看，银行网银系统应该是确实存在某种漏洞，因为银行交易系统存在安全性能问题致使消费者账号信息被窃取而丢失财产，则银行未尽到协议中约定的安全交易保障义务，应当根据其过错程度承担相应民事责任。然而实际操作中，在判定是客户端原因还是银行系统原因时，鉴于技术问题的高壁垒，用户在举证上明显处于不利地位，采取协商赔偿的方式可能更好。 （据《理财周报》）