九乡新闻网荒野四大美女你早说啊:惊魂300秒:假冒中行网银血洗客户涉数千万资金(2)
来源:百度文库 编辑:九乡新闻网 时间:2024/07/14 01:26:24
2011年02月21日 07:41
来源:理财周报
字号:T|T
6人参与 打印 转发
中行工作人员对此回应称,中行对个人网银账户的安全防范是获得国家有关部门认可安全可靠的。诈骗发生,主要是用户登录假网站,被骗取密码和动态口令所致,跟网银本身的设计没有什么关系。
可能并非如此。
先来看看中国银行[3.23 0.00%]网银的安全保障体系,目前多数银行采取多因素、多渠道的认证方式,安全级别设置也较高。但是中国银行网银在大规模的“钓鱼案件”发生时,只可选择动态口令这一项安全工具,安全防护措施相对简单,不久前才刚刚进行了改进,增加了短信认证这一环节,遭到了不少客户的质疑。
再来看看中行网银主推的安全工具动态口令。中国金融认证中心专家认为,动态口令虽然一次一变,但这种变化仍然存在一定的时间周期,通常动态口令在1分钟内都会有效。而就是这短短的一分钟,让不法分子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满:“一分钟时间足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就有问题。”
但是国内主流银行中唯一与中行同样使用动态口令的光大银行[3.84 0.26%]网银,却一直在用户中获得不错的美誉度,类似遭遇钓鱼网站攻击的事件也少有。
业内一位不愿具名的专家透露,问题不在动态口令,而在于中国银行动态口令的设计存在一个明显漏洞。
他表示,光大银行的动态口令生成器命名为阳光令牌,用户在登录时需要输入随机口令,转账时还需要再度输入事先设置的转账密码,两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账,一旦遭遇钓鱼网站拦截或口令牌遗失,客户账户安全就难以保障。
中行紧急行动再次暴露隐患
层出不穷的诈骗案件也引起了中国银行的重视。如今,他们已在网银转账业务上增设防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送交易口令确认码,只有用户确认后,才能转账,这种方法确实在一定程度上遏制了此类案件的蔓延,尤其是大额诈骗案件。
但是涉案金额较小的假冒中行网银案件依然层出不穷。上文所述黄先生表示,如果中行不从根本上改进其网银的设计,仅仅采取降低单笔转账金额的方法,依然是治标不治本。
不可否认,增加转账过程中的短信认证环节确实发挥了很大的作用。可是紧随其后的是花样翻新的犯罪手段,中行网银的另一漏洞浮出水面。
福州的张先生在2月14日亲身经历了类似的诈骗案件,然而有所不同的是,在中行已经降低网银转账单笔最高限额至500元并增加了一道防火栓后,他账户内的2万余元依然一次性通过手机银行被窃走。
张先生十分不解,自己从未开通过手机银行,为何犯罪分子能借助这种渠道完成转账,中行工作人员回应称,中行手机银行可以直接在网上银行登录页面上开通,犯罪分子盗取网银后直接开通了手机银行,在没有手机验证码的情况下依然成功转账。
123 
免责声明:本文仅代表作者个人观点,与凤凰网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。