郑岚予

　　2011年伊始，中行网银就被卷入了网银引发的风暴眼，对于曾经荣获“最佳网上银行”的中行来说，格外刺目。短短一个月内，众多中行网银客户先后经历可怕惊魂300秒，账户内资金瞬间被钓鱼网站洗劫一空。据不完全统计，从1月10日至今，仅浙江一省就发生100多起同类诈骗，用户损失少则数万，多达数百万。

　　在中行网银频频集中被盗事件中，用户人人自危，很多人都表示将不敢再使用中行网银，甚至有人为保障安全已将中行账户中资金悉数取出。由于在木马钓鱼的作用下，犯罪分子能和用户的电脑实现同步，号称动态安保的“中行E令”此时已形同虚设，不少用户也在质疑这项服务的必要性。据了解，目前，国有商业银行中，只有中行大范围使用动态口令牌，工行、建行、农行、邮储银行等商业银行，多以与计算机硬件连接的U盾或K宝为主。

　　尽管中行目前亡羊补牢，新加了一道手机交易码防火墙，但一推出就引起颇多争议，日前有南京的用户在口碑理财网投诉称，为何柜面人员对手机交易码如此不熟悉，相关口径与现实有如此大的差距？中行内部的信息传递如此落后，是否也证实其内部管理的落后？

　　中行E令漏洞饱受质疑

　　1月18日，杭州的李辉（化名）先生突然收到一条手机短信：尊敬的网银用户，你的中行E令将于次日过期，请尽快进行升级，给你带来不便请谅解，详询95566(中国银行)。而李先生正是中行网银用户，虽发现是来自一个陌生手机，但也并没产生怀疑，随即利用电脑，根据短信提示的内容登录短信内的中行网址，亦未发现异常，便根据网页提示进行操作，在页面显示升级成功。李先生在退出页面后猛然发觉不对，再次登录时，发现自己账户内的200多万元已经被全部转走。

　　无独有偶，就在1月27日，深圳一客户的中行网银1.6万元钱被不明身份的人卷走，只剩下4.5元。而绍兴的一位商人则被同样的手段骗取资金接近200万元。近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看涉案金额应已过亿，保守估计也要超过5000万元。

　　在这短短的一个多月里，有多少客户的资产遭到假冒中行钓鱼网站的侵蚀，目前难以获得准确数据，但据金山网络云安全中心统计数据显示，近期已有超过5万名用户访问过中行的仿冒网站。

　　据了解，上述案件中犯罪分子作案手法如出一辙。受害人均收到陌生手机号码发送的短信，提示其银行网银动态口令将于次日过期，让其尽快登入中行网站进行升级。一旦事主登录短信内留下的网站，所输入的网银用户名、密码、动态口令等就会被钓鱼程序窃取，其网银账户内款项在几分钟内被迅速转走。

　　有关钓鱼网站的诈骗并非首次出现，开通网银的银行都会面临此类困扰，但为何大规模地集中在中行？中行所引以为傲的E令设计是否存在安全隐患？中国互联网信息举报中心主任助理郝志超曾在接受媒体采访时表示：“中行的网银系统还是有问题的，它的动态E令被犯罪分子利用了。”

　　中行选择的是用动态口令保护用户网银安全。中行E令，实际上就是电子动态口令生成器，是由中行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成，根据专门的计算法则，每隔60秒会自动更新一个动态口令，要求用户在60秒内输入，以保障网银操作安全。然而此轮网银诈骗，绝大部分案例都以中行E令为幌子，众多用户质疑号称动态安保的中行E令此时已形同虚设。

　　中行电子银行部总经理蒋昕表示，犯罪分子并不是攻破了中行网银的安全机制，客户在中行门户网站上进行网银交易，安全是有保证的。但少数客户安全防范意识不强，被诱骗登录假冒网站后不加识别即输入网银认证关键信息，最终导致资金被盗。

　　对于这种解释，大多数人表示难以接受。中行网银的安全保障体系，目前多数银行采取多因素、多渠道的认证方式，安全级别设置也较高。但是中行网银在大规模的钓鱼案件发生时，只可选择动态口令这一项安全工具，安全防护措施相对简单，不久前才刚刚进行了改进，增加了短信认证这一环节，遭到了不少客户的质疑。

　　而针对中行网银主推的安全工具动态口令，有中国金融认证中心专家认为，动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在1分钟内都会有效。而就是这短短的一分钟，让不法分子有了可乘之机。上述几位受害者也纷纷表示了对动态口令的不满：一分钟的时间做什么都足够了，动态口令这种安全工具本身就有问题。

　　而中行的内部员工也认为，将短信提示、权限设置和口令牌分开更安全，即现在将三者集于一身，全部依赖口令牌，有了口令牌，手机号码可以随便改，限额可以改，那短信提示和权限设置不是形同虚设吗？

　　中行E令非主流将被抛弃

　　中行被推到了舆论的风口浪尖上，人们都希望中行能作出一个担责的解释，遭到钓鱼网站诈骗的部分中行客户，已经开始向中行申请索赔，理由是中行网银系统存在漏洞以及在保护客户资金安全工作上的失职，但持续无果。中行用户人人自危，很多人都表示将不敢再使用中行网银，甚至有人为保障安全已将中行账户中资金悉数取出。

　　其他各大银行也风声鹤唳，纷纷重点开展网银使用的安全风险警示。同为钓鱼网站诈骗的受害者，来自北京的徐小姐表示，中行网银的问题其实存在了很久，去年“3.15”时就听说过类似投诉。2010年12月各地此类案件已非常普遍，但并未引起中行的重视，直到2011年1月20日才进行了系统改进，这样的反应速度实在令人费解。中行相关负责人对此回应，网银用户遭到犯罪分子欺诈，主要是防范意识不强，和网上操作的不规范造成，银行有义务配合警方破案，但是不应当承担赔偿。

　　中国金融认证中心的相关负责人表示，通过手机短信，银行用户上当受骗进入钓鱼网站进行交易，这一欺诈主体不是银行、也不是银行网站，银行应做的是尽到警示、提醒的责任，避免用户上当受骗。

　　北京亿赛通技术公司的副总张晶在接受时代周报记者采访时说，中行是否存在防护漏洞很难讲，因为如果客户登录的是正常的中行网页是不可能被钓鱼的，银行方面最多承担宣传不力的责任，“你在假的中行网页输入了token的变码，等于是你自己把保险箱的钥匙给了别人，箱子被盗了责任在谁呢？若真追究责任，“网监部门和电信部门是有一定责任的。”

　　但张晶对于“利用token变码进入网银这种方式”并不推崇，“这种技术并不是现在的主流方向”。尽管本次密集的中行钓鱼网站诈骗事件造成的金额巨大，影响恶劣，但张晶表示，这只是银行业个别的现象，而其结局完全是可控预防的。首先应该采用接触式的物理硬件做认证比如“ukey”，其次可以格外关注客户异常行为，“比如某人一般是在北京做交易，突然他到深圳做了一笔交易，这就是异常行为，对于这种行为，需要用短信等方式再次确认。”

　　中行网银专家表示，要保证网上银行账户的安全，最重要的还是要不断加强自我保护，注重安全防范的预警意识。首先，自己的卡号和密码在任何情况下都不要透露给陌生人。其次，要将网上银行的登录密码、支付密码与证书密码设为不同的数字和字母组合，并经常更改。此外，尽量不要在网吧等公共场所使用网上银行，这些电脑上一般都安装有监控软件，用户在网上银行的操作会被记录下来，密码和卡号自然很难保证不被泄密了。另外要注意的是，直接关闭浏览器窗口并不能完全退出网上银行，应通过网上银行界面上的“退出”按钮来正常退出，否则的话，别人不需登录就能访问用户账户。

　　有关理财专家对时代周报记者建议，手机号码必须到柜台签约绑定，或者第一次和现在已设置了手机号码的可以不到柜台签约，但更改号码一定要到柜台书面签约。一些高风险的操作比如更改密码、更改限额、添加无金额限制的转账可信任账户等，通过口令牌和手机短信双重认证来进行，这样才是真正的实现双重安全认证。

　　但即使中行内部的员工也有人表示，“现在用中行的网银提心吊胆的，我已经不敢将钱转到卡上了，放在保证金账号内好像更安全。”亦有不少网友投诉称，中行网银网页慢、脚本老出错，要重新去柜台排队登记手机号码。短信延迟20多分钟，收到后就过期无效了，还说过期的短信验证码当日不能用。那么多网银，我还可以选择别的嘛。