网上银行安全事故频发 理财反恐战争打响

　　去年12月7日，互联网上出现了一个假的中国银行网站，行标、栏目、新闻、地址，样样齐全。内蒙古呼和浩特一市民，因登录了这个假网站，卡里的2.5万元莫名其妙地不见了。随后不久，假中国工商银行、假银联、假农业银行的网站相继出现，一时间网上银行安全话题成了网上热议的焦点。其实，近两年来，我国有关网上银行安全的事故和危及网上银行安全的隐患并不鲜见。2003年下半年，香港先后发现有不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际的网站。2003年12月至2004年2月初期间，长沙发生国内首例利用木马病毒盗 窃网络银行资金案，多名受害人的招商银行和民生银行的账户及密码被盗，造成8万余元损失。网上银行的安全事故频发，一方面与用户安全意识淡薄有关，另一方面也与网上银行本身存在的安全隐忧分不开。

　　美丽的网上理财家园

　　网上银行包括两种类型：一种是以互联网为背景的由传统银行开拓的网上银行；另一种是在传统银行之外兴起的以互联网络技术为依托的、一种设在互联网上的、没有任何实质分支机构的虚拟银行。我国网上银行主要是前一种。网上银行具有网上购物、网上支付、网上自动转账、贷款查询、集团理财、客户服务、网上缴费等功能。自20世纪90年代中期由美国几家银行联合在互联网上成立了全球第一家网上银行以来，世界各国的金融机构都在考察互联网所提供的契机，把传统的银行业务开到互联网上。有资料显示，发达国家有85%的主要银行已经或正在设立网站，在欧洲，已在互联网上建立网址的银行有150多家，美国2005年网上银行业务量会超过50%。我国网上银行业务起步较晚，从1998年第一笔网上银行业务交易成功至今，我国正式建立网站的商业银行达到了40多家，开展网上交易型网上银行业务的商业银行有30家。网上银行个人客户超过了4000万，企业用户已达60万，2004年网上银行交易量超过40万亿元，是2003年的两倍。越来越多的人利用互联网选择个人财务产品、账户管理以及支付账单，表明了消费者对该媒体的信赖感增强。中国金融认证中心(CFCA)的调查显示，目前中国上网最频繁的人群中，23%的人可望成为网上银行的用户。可见，我国网上银行的前景是十分乐观的。

　　有专家预测，2005年，我国的网上银行用户数将飙升到1.4亿户，网上银行将成为商业银行为高端客户提供服务的主要方式。以中国工商银行为例，工行在推出网上银行、电话银行、手机银行等全套的电子银行业务的同时，借助自己已有的实体网点优势，以实体银行的信誉、信用和基本功能为平台，延伸虚拟网点，从而达到“1+1>2”的效果。据最新统计，到2004年11月末，工商银行已拥有超过1000万的个人网上银行客户和11万余户企业网上银行客户，600余户“B2C”特约商户以及近百户”B2B“特约商户，在线支付交易额累计突破50亿元，成为我国电子商务最大的在线支付服务提供商。

　　而南京海关和中行、交行、招行等8家银行合作推出的网上纳税系统，更是网上银行成功应用的一例。利用网上银行，办理报关业务从企业预录入报关单到银行扣划税款，直至货物放行，一般仅需30分钟。企业缴纳税费时，从发出支付指令至收到支付成功回执，只需两三分钟。据了解，2004年前4个月企业通过省中行实施网上付税就达7亿元。一些个人用户也频繁使用网上银行。以招行为例，只要在银行开立了普通存折或一卡通账户，即可通过网络方便地处理个人账务。

　　袭击警报频响

　　网上银行建立于计算机网络基础上，安全风险同时关系到网上银行交易的双方，就银行来说，涉及到资料秘密及信用，而客户则涉及到资金安全、隐私权。在现有的技术水平下，网上银行面临远远高于传统银行的交易风险和操作风险。这使得针对网上理财的恐怖袭击频频发生。

　　密码认证袭击。目前，大多数网上银行采取的是“ID和密码”这一传统认证手段，由于这一认证手段的脆弱性，如果用户在网吧等场所使用网上银行时就有可能被盗取密码。因为登录认证检测有可能会成为作案者校验并窃取密码的机会。在传统银行业务中，密码输入一定次数仍然错误就会被停止服务，但是在网络银行中，企图非法窃取密码的作案者如果采用可以改变登录ID的方法，即便登录失败，网站也不会将密码视为无效。

　　假冒站点袭击。一些作案者能够很容易地假冒银行网站，如果客户不注意是很难发现的。作案者可以首先向客户发送一个“本行网站正在进行促销活动”等内容的虚假邮件，然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后，如果显示出一个“服务马上就要停止”的画面，或者把客户访问重新引导到正规站点上，客户当时是很难察觉的。这样一来，就存在有人进行非法资金转移的可能性。而虚假销售网站也对登录者构成风险。这类网站以低价出售市面热销商品，目的是盗取客户银行或银行卡上的信息，如在网络游戏中低价贩卖武器装备，就可借机盗取用户账号。

　　网络病毒袭击。据了解，木马病毒“网银大盗”对于用户的计算机程序没有任何影响，却专门盗取网上银行用户账号和密码。前不久，一种称为“超级网银大盗”的病毒又惊现网络，与“网银大盗”只盗取一家网上银行用户号码不同，此次变种更厉害，能盗取大部分网上银行的账号、密码、验证码等。反病毒专家证实，存在安全隐患的网上银行支付系统达32家。瑞星提供的案例显示，2004年9月，网上一种名叫“快乐耳朵”的病毒可以窃取银行的用户账号和密码，有知名券商已遭遇了这种尴尬。

　　银行先要拿起“枪”

　　网上支付的安全性问题事关网上银行发展的前景，同时也决定电子商务发展的进程，解决好安全问题时不我待。尽管确保网上银行安全绝非银行一家之责，而需各方努力方能突围。但作为服务的提供商，特别是为将来的中外资银行竞争考虑，国内银行的责任更显重大。

　　据了解，外资银行在我国为节约成本、提高竞争力，不采取广设网点的策略，而是利用自身的高新技术优势、经验优势，纷纷积极拓展网上银行业务。2002年8月，东亚银行经中国人民银行批准，开展了个人网上银行业务，此后，汇丰、恒生也获准在我国内地开展个人网上银行业务。2003年初，花旗银行获人行批准，对公司和个人同时提供网上银行服务。网上银行业务逐步成为外资银行在我国广开业务的有利途径。中资银行虽面临西方国家绝对的技术优势，庞大的实体营业网络的作用大打折扣，且存在种种瓶颈和风险，但从长远的战略角度出发，对网上银行的发展依然倾注了极大的精力，正在一步步争取具有和国际同行一较高下的实力。如招商银行的“一卡通”早已成为我国金融电子产品的知名品牌；工商银行网站获得了2002年度“全球最佳银行网站”的荣誉，且2003年12月推出的“金融＠家”个人网上银行业务颇受欢迎。

　　目前，我国各商业银行致力于网上银行的技术进步，也推动了网上银行安全性能的提高。去年，中国银行采用了国内自行开发的、具有非对称密钥算法的智能IC卡或电子钥匙(US-BKEY)，以配合PKI技术和业务手段来确保网上银行的安全。去年4月，招商银行推出其在网上银行领域的又一领先产品“移 动数字证书”，使招行网上个人银行的使用范围大大扩展，只要有电脑、能上网的地方(包括公共场所)都可以安全地进行转账汇款、投资理财操作。目前，中国银行业已开通了安全认证制度，而工行上海分行已于去年12月11日对电子银行系统进行了全面升级改造，还请来了微软助阵。

　　2000年，由中国人民银行牵头，13家商业银行共同出资成立了中国最具权威的CA机构———中国金融认证中心(CFCA)。CFCA的建成成为中国PKI技术发展的推动力，大量的商业银行和银联组织以及其他金融机构将在CFCA的PKI基础框架下实施电子商务和网络金融业务。在“网银大盗”、假冒银行网站等事件接连发生后，中国金融认证中心(CFCA)立刻联合16家商业银行共同发起的“放心安全用网银”联合宣传年活动。中国金融认证中心作为独立于交易行为第三方，推出了CFCA网上银行数字证书，并与十多家银行、16家证券商、13家基金商建立业务联系，将通过建立第三道防线———网上银行数字证书，避免网上银行袭击事件的发生。不过，正所谓“道高一尺，魔高一丈”，可以肯定的是，就像当今世界的反恐战争一样，网上银行的“反恐”战争也将不见硝烟地长期打下去。夏志琼

　　网上理财葵花宝典

　　第一势：通过正确程序登录银行网站，切莫使用搜索引擎或网站链接间接进入。

　　第二势：尽可能用移 动数字证书，移 动证书一般放置于IC卡或USBKEY中，使用移 动数字证书时插在计算机上，不用时拔走。

　　第三势：不要在公用计算机上安装文件数字证书。一定要为文件数字证书作备份，但备份不要放在计算机硬盘上，要放在可移 动存贮介质上(U盘，个人移 动硬盘)，以免外人拷走机器内的文件数字证书相关程序。

　　第四势：拒绝任何通过电子邮件、电话和短信等方式索要账户和密码的行为。对于来历不明的邮件，尤其是发件人不认识，标题怪异不能理解的邮件，最好是一删了之，根本不看。

　　第五势：不要从不知名的网站上下载数据；不要在不知名的网站上输入个人隐私信息。

　　第六势：不要用生日、办公电话、家里电话直接做密码，一定要做变换记忆。用自己喜欢的一段歌词或者一段诗歌作密码是一个简单易记得好方法。

　　第七势：最好采用系列密码控制自己的各个账户，不要一个密码管所有的事。

　　第八势：定期查阅银行户口结余及交易记录，发现异常或差错，立即与银行联系；

　　第九势：为电脑安装防火墙程序并经常升级，防止个人账户信息遭到黑客窃取。