脆弱的银行卡 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2005年11月08日 13:36 新经济导刊 | |||||||||
短信、网银、ATM,在为我们提供方便的同时,也成了不法分子诈骗的“梦幻组合”,谁该为此承担更多的责任 本刊记者 覃旭 向林在北京过“十一黄金周”的第二天心情很是不爽,因为一大早就被一个手机短信
据了解,“十一”期间收到类似短信的人不下于数十万人,向林夫妇是幸运的,警惕性让他们没有损失自己的财产。据公安部门介绍,因为相信这类短信损失财产的消费者不下百人,仅北京警方在短短十几天就接到110报警上万次,确认的损失金额高达440万元之巨。一时短信诈骗成灾,银行卡安全成为焦点话题:谁来保证我们的存款和安全? “看好你的银行卡,锁住你的个人信息。”这不是电影里的台词,是专家的警告,因为蒙面大盗不在万里之外,他就在你的手指旁。 短信蒙客瞄上银行卡 “银行卡从出世之日就被黑手盯上了。”赛迪顾问公司曾建平博士接受记者采访时说,银行卡给消费者带来便利的同时,也带来了风险。 “从时间上看,短信蒙客出现的时间要比网银大盗早,它的技术水平要低下得多,”其实,在前几年前电话和短信诈骗几乎人所共知,受骗上当的主要是老年人,短信蒙客利用老年人警惕性弱的心里进行诈骗,技术含量低下,只能诈骗离退休人群等边缘化群体。这个阶段随着社会宣传力度加大老年人信息量的加大而迅速结束。 但是这次短信诈骗为何如此轻易得手?并且如此大面积成灾?一时间人们普遍或者担心或者质疑电信银行等管理部门失职。其实,从骗术的特色来看,主要的是此次诈骗对诈骗技术进行了升级,与警方和银行等颇具公信力的部门挂在一起,并且还利用节假日信息沟通服务不畅的特点,解除消费者的戒备心,增加消费者的紧张心里,缩短其思考时间。如果仅仅就手机短信诈骗,让消费者一眼就可以识别,“但是这次它是与电话与银行卡联系在一起,让消费者从感觉上有信任感,从形式也没大的问题,诈骗成功率自然就高多了。”曾建平告诉记者,利用新技术诈骗实际上有一个升级过程。此案告破后,厦门警方证实,这种诈骗手法源于台湾,今年初进入大陆内地。 台湾人张某今年初与内地人潘某、黄某等人,成立“股份制”的专业诈骗公司。他们靠手机短信“群发器”传输信息,其手法与“中奖短信”雷同,但是他们此次借鉴了国外某些诈骗的经验,在行骗的环节上加上了电子网络,并且伪装警方、银行客服中心或者银行监管部门,接传输设备相连之后,所有电话都是转到他们手里的几部话机,他们内部分工明确,犯罪的专业化程度也越来越高,诈骗方式具有相当高的技术含量。 “诈骗已经升级了。葛优演的黎叔在《天下无贼》里说的话很有预见性:我最讨厌打劫,没有技术含量。今天的窃贼也不再是以前那种头脑简单的毛贼,也是智能化了。尽管在本案里的那个犯罪嫌疑人才初中毕业,但是他的工具和操作流程是由外面的高人指挥的,而我们的金融监管与银行和通讯运营商对银行卡的安全升级措施研究实践还没有及时跟上。”曾博士介绍说。 更具杀伤力的诈骗 “骗子此次行骗用了一些技术手段,模拟银行服务方式,利用持卡人对电子化技术的不了解和不熟悉,盗窃客户的账号及密码,因为网上对客户身份不识别,信息不对称。”曾建平分析道。网络大盗利用新技术手段进行网上诈骗手法更狠。这次骗局受害者没有看见那只黑手,但是听到了骗子的声音。而在将来越来越多的中级骗局里,受害者连声音也无法听到,那就是在消费者不经意间,你的银行账号密码都发到居心叵测者手里了,银行卡里的存款就被人以貌似合法的方式转走了。 “从本月起只要输入“工行.cn”,便直接登录了工商银行网上银行。”这是银行针对恶名远扬的“网络钓鱼”者采取的防范新招。 “网络钓鱼”已经钓到不少了消费者银行卡里的存款,而受害者还不知道咋回事。“去年底,我的邮箱收到了‘工行的安全警报’的邮件,通知我说,由于在网上银行登陆输入错误,可能账号和密码被不法分子盗用,要我尽快点击工行网站,进入金融E通道修改密码。他提供的网站看来与中国工商银行一样,实际上有个I与1的区别。我准备按要求操作,习惯性一看发信地址,不像银行发的,再加上我自己经常上网对网络还懂得一二,没有理睬这个来路不明的邮件。”在银行采访时大厅里一个张姓储户告诉记者,钓鱼者四处放线。事实上,总共有三大银行被假冒,并且还蒙住了不少没有认真查看的浏览者。 “钓鱼者钓鱼办法有了一定的技术含量,骗子建立假冒的网上银行,起的域名和建的网页内容都模仿真正的网上银行,麻痹用户,钓出用户账号和密码等信息,再通过真正的网上银行或者伪造银行卡盗窃资金。这样的诈骗手段显然已经升级了。”何伟分析说,升级后的网络诈骗危害性更加厉害。 一个广为流传的案例就是去年底的四川广汉的陈先生登陆了一个网站,随后,他的电脑多了一个程序,任务管理器显示该程序正在运行,而且无法删除。不久,在毫不知情的情况下,其账户中的股票被卖掉,给他造成了上万元的损失。原来这是网络病毒“证券大盗”搞的鬼。当然,有同样遭遇的投资者不是个别,据说达到了数十人。最让技术人员吃惊的是,盗窃信息后,病毒就将自己完全删除,不留任何痕迹。所以中级骗术被消费者冠于专业名称:2003年的“期货精灵”,2004年的“证券大盗”“网银大盗”,这些不见真面目的大盗在网络平台上潜伏,随时伏击消费者。 据专家介绍,类似的案件是有木马病毒作怪。用户下载这些网站的某些程序后,该程序会自动修改WINDOWS注册表,只要用户在登录系统时输入账号与密码,该程序将记录用户敲击键盘的动作,然后自行关闭防火墙,将窃取的信息发送至作案者的邮箱。作案手法极为隐蔽,对消费者的存款威胁极大。 来自国际反网络诈骗组织的报告显示,中国已经成为仅次于美国,世界上第二大拥有仿冒域名及网站的国家,占全球域名仿冒总份额的12%。 该打谁的板子? “这么多的垃圾短信、黄色短信、诈骗短信都是怎么发出来的?不是通过电信部门的吗?他们为何不把关?”短信诈骗成为灾难后,人们在提高警惕性之余也在反思这类短信是如何泛滥成灾的,一个不可以忽略的环节就是电信运营部门提供了技术服务平台,消费者普遍质疑的是:电信运营商除了追求经济效益是否还得考量社会责任? 而根据中关村某短信群发代理公司总经理李民的解释,“我们与运营商都签有协议的,我们两边是按照协议规定进行利润分成。我们每发一条给运营商交的钱有的一分多有的二分多,我们从客户那里收的就是七八分,如果量多价格可以谈,实际上我们的利润就是来自差额。” 在这个由运营商、服务提供商、商家、消费者、受骗者等组成的商业生态链里,前三个环节是获得利益的,作为短信发射终端的电信运营商应该是利益的最大获益者,“他们难道除了考虑收益就不负管理之责吗?”是社会普遍的质疑之声,电信运营商成为这一事件的议论焦点。 “我们作为商家不好监测别的商家发送的信息到底是普通商业短信或者骗人短信,也不能够去检查人家的内容,他们买卡了当然是想发就发,想什么时间发都可以,我们无从判断他们的短信是否搞诈骗。”采访中,在北京丰台某通讯公司从事短信工作的翟小姐告诉记者,商业短信业务不错,但是监控短信内容实在不易。 根据中国移动数据部部长叶兵介绍,每天在线用户1.5亿,每天短信的流量在6.7亿条。当然在如此海量的信息里自然包含有一些垃圾短信黄色短信和欺骗性短信。从技术层面来说,目前很难区分出信息的良莠。而同为运营商的中国联通有不同见解,增值服务数据部门的蔡佶副总介绍,从技术角度出发,区分短信的性质还是可以实现的。 “其实,不良短信的收入大约在几十亿元的规模,而在总收入中所占比重不是很大,其利润收入与巨大的市场规模相比还是比较小,运营商也一直在努力,从去年六七月开始,他们就一直在整顿治理sp公司。这是一个系统工程,需要各方面配合。”信息产业部研究院从事政策研究的何伟告诉记者。 专门研究电子金融的专家IBM部门副总黎江对此有自己的看法:“如果你收到一封信件,因此信而遭到欺诈,难道因此要把责任归于邮局?”何伟也同时表示,“电信运营商提供的平台是一个服务平台,只是一个渠道,不能因为出现了短信诈骗就把一切责任都推给平台提供商。” 据有关信息灵通人士透露,公安部门目前正在和电信及相关技术部门接洽,希望对相关运营商的行为进行规范。此前,有关部门曾与相关通信公司接洽过,但因经济利益终于未果。根据这位消息人士表示,此此“接洽”的结果比较乐观,有关部门将与电信、技术部门封堵各种不良短信。 银行也是一个大家所关注的点,但是在整个事件里,银行自身的服务体系、安全体系并没有出现大的漏洞,并且这次诈骗事情发生后,银联及中国建设银行等部门反应迅速,及时向客户发布防范提示,消费者对金融部门的反映速度是认可的。 尤其让银行方面松一口气的是,这次大面积的短信诈骗并没有涉及到银行部门的许多技术问题,如攻破防火墙等案例没有发生,此前银行在这个方面花了很大的精力,因为他们认为锁好门是第一位的,当然这个思想是正确的。“这次诈骗实际上还是比较低级的诈骗,没有太多的技术含量,但是,我们的消费者对这个低级的诈骗就已经显得无力识别与防范了,说明我们的银行与储户在信息识别与管理方面还要加强。银行对储户的识别最好不要仅仅凭一卡一折,西方银行要求储户提供全面的真实的个人信息,并且还要求在几个月内补充信息,否则就是不安全客户,出了问题后果自己负责。信息安全一定要通过更多真实的信息来完善,电子化就是解决身份识别与确认的问题。”黎江说。 事实上,这次受骗的消费者多不经常使用电子化产品,他们在自助设备上操作时,有的用户输入数字的时候,不知道哪项是密码哪个是金额,显然不是银行技术问题,而是自助设备的使用问题,是流程问题。银行应该抓紧普及银行自助业务的常识,引导消费者,以免其受骗。作为消费者要有合同意识,需要网上提示服务或者短信提示服务都可以合同形式固定下来,不需要的也可以以合同形式提出来,这样有利于保护自己的合法利益不受侵害。 如何阻击黑手? “网银大盗”、“网络钓鱼”、“假银行网站”等恶性事件不断发生,表明今年众多网络银行诈骗案例的问题从域名开端。为了防范网络钓鱼,保障网络银行安全,中国银行、中国建设银行、中国农业银行和中国工商银行等国内各大商业银行全面启用域名安全防范措施,纷纷启用中文域名作为地址栏入口处的安全屏障。 “前一段已经关闭了那三个模仿真网银网站的钓鱼网站,但是不意味钓鱼者就不会再模仿别的商业银行的网站,此次几大商业银行域名防范应该说是及时的,安装了中文上网官方版软件的网络用户只要在地址栏中输入诸如“农业银行.cn”、“建设银行.cn”等,便可以直达各大银行网站,可以有效地规避因英文拼写错误中了钓鱼者的陷阱。”赛迪顾问公司曾建平博士分析认为,商业银行应该采取更多的安全防范措施。 网上支付日益普及,据统计,到去年年底,我国网上银行的客户已经达2700多万了,交易量40多万亿人民币。调查发现,在现有用户中有70.18%首先考虑要网上支付,65%是转账服务,这说明网民现在使用网络银行时最重要的功能就是做网上支付。网上支付安全确实是关键因素。与此相伴的是,更多的升级病毒瞄准网上支付系统。网上交易还安全吗?消费者还敢在网上买卖股票、查询账户、网上购物......?中国互联网络信息中心2004年公布的相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。网上银行的安全成为国内电子银行业务发展的瓶颈。 网上交易的安全链条由银行、消费者和商户网站等要素组成,那么在共同建立安全的网上交易环境中谁是主力?每个要素应该承担何种责任? 银行毫无疑问是阻击网络黑手的主力,因为从金融服务的职能与业务流程来说它居于中心地位,要实现网上支付的安全功能,银行卡的技术安全性是基本条件。 “网上支付到底安全还是不安全?网上支付肯定是安全的,我们行这些年来没有出现一起被盗窃的事情,要攻破我们的网络得万年。”供职于中国民生银行个人银行部的曾桢很自信地告诉记者,网银安全无疑。 根据中国工商银行电子银行部副总经理陈静娴介绍,他们除了有一系列措施保证网络安全以外,网络银行还采取交易安全的措施,区分客户的等级,设计两种不同方式的保护措施,第一种对普通客户来说,银行设计了登陆号加密码的认证方式,用户号码加双重密码,首先是登陆密码,另外在在线支付的时候有一个支付密码。因此,使用这种个人网上银行的时候,客户具有的条件:养成很好的安全使用的习惯,有一定的操作水平,能够及时下载系统的补丁,使用正版杀毒软件等等,同时也要有一个意识,尽量使自己的银行卡的密码、网上银行的密码与其它网站的密码等设置成不同的密码,不要使其他密码攻破以后带来网上银行密码的泄露。 第二个类型认证方式是使用IC卡和USB卡物理介质的证书认证方式。用证书验证客户的身份,确保客户为银行真正的客户,防止其他客户非法使用。证书具有不可复制性,仅由客户自己保管和使用,因此用了客户证书以后,即便是有假网站、病毒感染、黑客入侵,不慎泄露银行卡和其他资料,只要物理证书不丢失,仍然能确保资金从网上银行不会盗取。 “我们在这里负责任地说,工商银行企业网银已经运行了五年,个人客户证书也推出了两年,累计办理了几亿笔的资金转账业务,从没有出现过一笔资金被冒用或者被盗用的问题。”陈静娴在论坛上说。 从实践上讲,网上支付也是安全的。用数字证书做网上交易,无论在国际还是在国内,到目前为止,没有发生过一例因为安全机制问题造成交易争议或者交易损失的。我们虽然在网上经常看到关于网上支付安全的种种案例或者说关于网上支付不安全的报道,但是这些报道的案例中,没有采用安全的手段。中国金融认证中心助理总经理曹小青在前不久在“2005首届中国网上支付发展论坛”上分析认为,在结论上与陈静娴的一致。 调查数据显示,或者是宣传不够,许多客户对网银了解不够,不知道用用户名和密码潜在的风险,也不知道数字证书安全到什么程度。“可见如果不是具有良好的习惯,在使用网上银行的时候是存在一定风险的,这需要消费者自己注意。”何伟提醒消费者。 “我们的安全机制可能还是完善的,并没有出现是安全机制的问题大面积被攻破的案例,只是因为执行安全机制的过程中,存在一些管理环节的问题,实践中如果恰当执行了完善的安全机制,无论电子商务也好还是网上银行也好,都能保证支付交易的安全性。”黎江说。 据专家介绍在实际执行环节里面,可能发生比较多的问题还是用户的身份认证。网上支付认证手段分析表明,身份确认是信息安全的薄弱环节。认证手段,通常来看有几种,一是用户名和密码,用户名和密码是不安全的,特别是在网上,只用用户名和密码非常容易出安全故障。而证书认证是比较安全的,也是很方便的。 “电子卡、银行卡、网银卡都要注意身份的双向识别,大家对身份识别一时要增加更多的可靠信息,银行要让储户多提交真实可靠的信息,消费者一定要把自己更加多的、真实的信息提供给银行,便于通过网银、手机等办理业务的时候,银行识别客户,也便于客户识别银行与骗子。”黎江提出建议。 作为消费者与客户,良好的消费习惯与对自助设备的了解也是确保存款安全的一个重要措施。我们在许多银行里或者其他金融机构经常可以看见有安全提示,其中就有明确提示,每种业务有何种风险,并且善意提醒或者建议大家如何防范,尤其在安全使用网上银行业务方面做得更细。 |