基金打造电子交易安全盾牌迎战网络钓客 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2005年10月23日 10:57 21世纪经济报道 | |||||||||
见习记者 郭晓靖 广州报道 在一个网络钓客出没的时代,我们的基金交易还安全吗? 李小姐是个基金投资者,她打开电脑看到某基金公司开通网上交易的通知。这个消息并不让她惊奇,因为越来越多的基金公司开通网上交易业务。
但是这块业务却为另外一个群体带来振奋,他们就是网络钓客。 “大鱼”的隐患 从2003年4月7日华安基金管理公司携手民生银行,推出国内第一个基金网上交易系统之后,钓客们的目标就多了一个。而招商基金2004年网上交易获得了巨大的成功。招商基金第四季度网上交易次数占总交易次数的80%,而交易额则达到了50%以上,甚至已经远远超过了柜台交易的数量。 基金电子交易的快速发展,使之逐渐成为网络钓客眼中的大鱼。 在国外,确实有基金在电子交易过程中被钓客攻击。国内的基金电子交易无论从交易数量还是从规模上看比国外要小得多,暂时还没有这方面的现实案例。 但有知情人士透露,在国内确实有人将基金视为大鱼,并尝试钓鱼上钩。值得庆幸的是,目前国内还没有钓客成功得手,但是安全隐患确实存在。“目前最主要的风险存在于交易前后。”易方达基金前电子商务专员黄少寅认为。 在客户进入基金网上交易之前,木马程序可能会通过各种方式被植入客户的电脑。例如,有时页面突然弹出的窗口被无意点击后,木马程序可能就已经被植入。在这样的情况下,客户为交易而设置的密码和数字证书就可能被窃。 根据2004年生效的《中华人民共和国电子签名法》的有关规定,“收件人按照发件人认可的方法对数据电文进行验证后结果相符的”,数据电文“视为发件人发送”。如果钓客成功盗取了客户的密码和数字证书等资料,并向银行和基金公司提供,那么其后果将由客户自身承担。 当然,现在银行交易的改进会有助于安全防范。有些银行会提供一个像小U盘一样移动数字证书,只有用户插上它后才能完成大宗交易。 另外,在交易之后,如果客户没有及时退出“网上交易”或者关闭浏览器,在离开时可能被他人进行交易。一般银行会对页面有一定的时间限制,如果在一定时间内,没有任何操作的话,过时后的再次操作必须重新输入信息。 钓客阴谋暂难得逞。 相对于交易前后的风险,交易过程中反而相对安全。据黄少寅介绍,国内的基金公司比较多采用的是非对称加密技术。如果不是接入服务商,就很难解密。因此一旦进入交易过程,钓客想攻克就比较困难。 尤其是基金公司如果向银行要求,对客户购买基金的银行卡作出特殊规定,禁止用此卡提现和购物,只能通过基金公司特定的固定账号进行转账。钓客们就更难钓鱼上钩。 长盛基金技术部总监陈伟也认为基金目前还不像银行那样成为钓客们的主要目标。因为银行的客户量和交易数量较基金公司要大得多,因此目标比较大。 由于基金交易一般使用数字证书来加以保护。因此,就算钓客取得密码但没有数字证书,也只能小额取钱,损失不会很大。 陈伟说,长盛基金目前电子交易主要针对直销客户,数额还不大。大部分交易仍由银行或券商来代销,占了销售额的80%-90%。在这种情况下,交易安全由代销机构的安全保障系统加以防范。而基金公司所做的直销电子交易,其安全由基金公司保障。由于直销比重相对较小,因此出现安全问题的概率也比较小。 多方保护 “现在钓客想钓基金,很可能也只是损人不利己。”虽然,黄少寅对目前基金电子交易的安全性表现出来的自信可以让很多人放心。但是谁也不知道这种安全能维持多久。基金公司的未雨绸缪并非多此一举。 长盛基金采用非对称加密技术等为主要的防范方式。客户登录银行页面后进行交易,银行用公钥加以加密,基金公司再以私钥加密。而私钥只掌握在基金公司手中。 而银华基金则采取了固定账号的防范方式。资金在基金公司和客户之间流转时,基金公司将所有划出的资金转到客户开户时预留的银行账号,而且要求银行账户为客户本人的实名账户。并且禁止客户在通过网上交易改账号,如需改账号必须亲自去柜台。在这样的业务流程中,钓客们很难找到下手的环节。 另外,该公司的服务器与客户浏览器进行数据传输时,经过加密来保证数据传输安全。进入支付环节后,会被转到相关银行的支付页面,资金由银行的安全机制加以保护,基金公司并不获取客户支付密码的信息。 银华基金这种固定账号的方式使用较为普遍。基金公司一般只允许客户挂一个账户。如果允许客户挂多个账户,钓客就可以伪造身份证的方式另挂账户,从而进行转账。 即使在这样的情况下,如果客户因疏忽而被钓客盗取了固定账户的基本资料,同样可能被钓客们得手。因此,客户的自我保护意识就显得尤其重要。 目前银行一般会向客户提供数字证书和密码两种方式。虽然数字证书的安全级别高,由于使用起来不如直接输密码方便,而且很多用户对此也不是很懂,因此安全级别较低的密码反而使用普遍。 “想要安全就要不怕麻烦。”黄少寅对此发出了如此感慨。 如果客户使用数字证书,钓客们将很难对此进行攻克。因为数字证书是一个小程序,一般装在自己的电脑中或用U盘将之下载到将要使用的电脑上。 另外银行也会设置多重密码来加以保护。例如在认证身份时为一个密码,在进行交易的时候又是另一个密码。钓客们所做的页面往往在要求用户输入交易密码后,称“卡的密码不正确”并要求重输,从而骗取用户的银行卡的密码。 因此,长盛基金技术总监陈伟认为,客户有必须看清域名是否正确,不要轻易输入密码。 新浪声明:本版文章内容纯属作者个人观点,仅供投资者参考,并不构成投资建议。投资者据此操作,风险自担。 |