http://www.sina.com.cn 2004年12月22*** 08:34 21世紀經濟報道 : g2 x$ U7 w3 S0 ~' `, c
q0 C9 L- p/ Y; g, W4 W1 ?+ t 本報記者 曾強 上海報道0 }( P' m, `) V: o0 x: H, L& i
" F% k# G2 l5 w: v. e3 ?
/ [8 j+ B: v9 Z9 Y0 ~2 e8 d- u) O1 S2 T3 W
傳統商業銀行在21世紀真的會成為滅絕的恐龍嗎?如果頻頻遭遇「網絡安全」的騷擾,要實現比爾-蓋茨的大膽預言為時尚早。
' G, e! R% y0 W0 x+ p
1 v1 l" b3 H7 _7 H, s! i$ o/ b# c1 Y
( M) b9 |; N8 r- R8 m+ P9 ?# N+ ^, ]9 d, l
12月以來,中國銀行、中國工商銀行、中國農業銀行、中國銀聯先後發現仿冒主頁的 # o/ e+ p6 d. `1 T% F1 J
8 @2 o; @3 @) H( t. X
「假網站」,儘管各銀行和機構很快將假網站封掉,但仍然引起儲戶大面積恐慌。 ! `, _% m& U9 p- l1 R# `
+ x( B5 f' G0 j9 _6 L: C1 S% m
" }( j: |( X: N, m0 [( U) l& d5 Y+ b
而類似的事件,此前在香港以及國外都屢見不鮮。「網上銀行欺詐事件在國際上是增長最快的安全事件之一。」
" d7 b$ t1 a5 ~. A% ^0 y4 ?1 {; A V/ Z4 r& P! P! E
( F" O( G" o) M$ D6 m* y4 G1 ]" v! L
. N/ A( i+ ~' A5 f5 t) F1 q
12月17***,國家計算機網絡應急技術處理協調中心負責人在接受記者採訪時表示,「花旗銀行和美國的電子商務網站eBay被仿冒最多。」
" Z6 M2 a) N( n4 S) A$ |; U& a" G- M/ N* L
- v9 A5 n% e$ u6 R7 N# e5 I$ Q8 l9 `& R1 k
而金融業人士認為,隨著人民幣業務對外資逐步放開,中外銀行將在網上銀行業務上展開赤身肉搏。. F+ D) X; G6 {/ x
. ?/ h8 o) l2 I4 A2 ]3 t
3 L$ e U+ R& m6 t. J
% u H2 b4 I# {, V0 _/ a) n 「由於營業網點先天不足,外資銀行從進入中國伊始便極其重視電子銀行業務。」上海銀監局辦公室主任張榮芳表示。
' V* V- f; Q& M# E" h
0 W* g9 k% b T! \( H
. l4 p+ `6 B: @% \5 o7 [3 M6 p8 v% K J, {+ V6 z
據銀監會統計,目前在國內開展實質性網上銀行業務的有50餘家銀行及分支機構,企業與個人客戶超過1000萬戶,涉及資金達千億元以上。 + |2 @. U# ~6 e/ f: l6 Q4 p
) H" A2 _0 p! }) Z! |4 v' [- H
& f7 a% x) G. J4 T& N% M6 q5 ~! P2 u$ Z
顯然,此次假冒銀行網站事件對電子銀行業務的不利影響,並不會隨著假網站被封而消於無形。" n% F: _, ?5 @: U
# r% ]& z( ~% p5 ^% g5 h7 u; m2 ^) K
0 K F1 n+ `6 R$ J3 [( q
預防性法規滯後?- W4 r9 V* a4 t: M
7 d! R! P; N: j8 _! I/ ^
2 H1 w3 b+ I. F9 q% {# d ~6 K
2 P$ H7 s+ @' V* L+ y T
12月9***,中國銀聯接到舉報,有用戶發現一個域名為www.cnbank-yl.com的假冒網站(真銀聯網站的域名應為www.chinaunionpay.com)。 9 \/ C }; f" u7 l
+ ~0 o; i6 e1 {# E4 z) R
: ~- d; T, e+ }1 S+ b2 V% ^2 }, o7 j. K5 m; u* B
隨後,銀聯迅速反應,封掉了該網站。然而,第二天記者嘗試登錄假銀聯網站,竟登錄成功——假網站又活過來了? |. S. B/ ?: J7 ?2 g! A) Y
) V5 i' q& `% ] y/ ]8 H9 t& Q- c* J, z' H4 [- u1 @; y
& l0 N% y6 s9 O: h/ q W
官方域名管理機構CNNIC的專家告訴記者,之所以出現「死灰復燃」的問題,可能是因為相關方面在封閉假銀聯網站時,只是封掉了IP地址,而不是域名,因而假網站只需更換—個IP地址便可以迅速「借屍還魂」。
s2 K [1 C8 T6 `7 O
8 Q) \% b" K. }6 ~ V9 p$ W0 _2 t5 D: j
7 S. G, o j' k& q3 T P 而這正是最令「李逵」們頭疼的地方。
8 s; e$ y8 z0 L+ T+ V/ v) c. x# M# E0 o; a# @7 `
2 r/ L+ _( r% L9 Q7 p
/ q }. [5 L0 @, m9 o 據該專家介紹,犯罪分子可以通過黑客軟件很輕易地侵佔盜用他人的IP地址,事後飄然而去,很難追查真正的所在。 * r! t7 b4 V+ B( R' p" W
2 X. ?% }/ ]& f# i
}) M7 v% t; K _- q. f+ A( W
' x+ ?; k& }2 N/ {. U 目前全國有近千家域名申請代鯉機構,就算是封掉目前被舉報的幾家假銀行網站域名,也很難保證下次沒有新的假網站出現。更難對付的,則是來自境外的假冒網站,封查起來十分費力。
$ G% H+ q/ x+ r4 Y
3 [( K0 ]% Q, z& @6 W9 q: Q
0 h+ V9 n9 h0 `7 H! e5 q# l8 T7 O" ^# D
問題是,面對無時無刻不緊盯儲戶帳號密碼的不法之徒,銀行和其他相關國家機構就只能被動封查嗎?
+ ^0 Y1 o0 k* Y J4 g8 V) l& L' N3 A1 p9 ~4 Z0 F: H7 w
* g! X+ N. K, p' }1 [+ v# {& u& x" ^+ p& r0 V
張榮芳告訴記者,現在能接受並使用網上銀行的人群多為年輕儲戶,他們幾乎每天都在跟網絡打交道,正是假銀行網站捕捉的對象,一不留神就會中招。
" Y' H- U) p7 V; A7 ?6 G9 N" W' y; _. p2 K! C* \. l+ k T/ J8 |6 Q
, W! g Q; Q& U- P% B+ T. T
! w" ^6 ~8 f$ ]7 `- i9 m AC尼爾森的調查顯示,目前中國上網最頻繁的人群中,23%的人可望成為網上銀行的用戶,人數不會低於250萬。 % C0 X; {) x! `% K# s
: N$ [3 ?1 V+ a
# [2 [% W* _& C3 \
6 B% ~6 i+ {0 B( y K7 r 前述網絡應急技術中心負責人指出,儘管從法律上講,不法分子能得逞的原因,大多是因為用戶保存帳號密碼不慎,銀行不用承擔賠償責任。但銀行也應該更積極地防範此類事故發生,同時還應該建立完善迅捷的事後應急制度,而不能簡單地只履行告知義務,封掉假網站了事。
+ g: D4 E% {8 U9 w2 ]4 ~6 J" Z. x9 @/ C$ Z6 D
7 _- A, N1 F7 z& q
/ U5 W8 d$ r; P+ l$ W5 \9 K 復旦大學金融學專家告訴記者,作為廣大存款人和消費者的利益保護神,銀監會應派專人負責監管內地所有網上銀行,借鑒國際銀行業最新的監管經驗,尤其是對於越來越多新形式的銀行騙案以及最近的假冒網站事件等作出新的監管辦法。
+ k7 N2 }, x: V! u) @
3 q, ]4 c( `& \5 s' V. k- W" R' {3 ^/ e
+ { k. a7 W! b) r, G! O, b 作為金融機構運行規則制訂者,中國人民銀行應進一步修訂落實《網上銀行業務管理暫行辦法》,可以考慮將目前銀行一些可有可無的做法,做些強制性的規定。如銀行應該為網站提供更明確可靠的防偽技術,讓客戶容易辨別真偽,以及時防堵假冒網站這些情況。- l! i6 ~9 E; V# U+ S. d
8 s2 B8 j" c, m, ~4 h' J: [ i' f% Q
5 p0 W! B* ?& m% o2 `/ H8 B 據記者瞭解,中國人民銀行最近一次有關落實《網上銀行業務管理暫行辦法》有關規定的通知出自2002年4月23***。至今已有兩年半,而網上銀行恰恰是在最近兩年才蔚然興起。 # B5 I7 }/ G) Y3 a1 a# i
* S3 I3 K- V9 ?" o
|7 w& B2 B6 y' I* m$ c, s2 p
- `+ L5 ~/ m& }8 N 另外,該復旦大學專家認為,銀行方面還可以做的有,持續提醒電子銀行客戶注意認可機構本身或其代理或業務夥伴絕不會透過電郵要求客戶提供敏感的密碼資料;提供一些方法讓電子銀行客戶確保他們鏈接的網站為認可機構的正式網站,絕對不要以電郵內提供的鏈接方式登陸電子銀行網站;定期搜尋互聯網,以檢查是否有第三方網站的域名可能以假亂真等等。" {9 j+ {$ b1 L/ s, l
9 d, V; j/ T$ F s3 L5 v
7 X) u" C# D% g7 q2 F
4 J' F! r5 J3 @& ^7 Q, F1 i 同時,對於國內的域名管理機構,一旦發現跟銀行業域名相關或類似的域名非法註冊,一定要通過域名註冊公司進行調查和監控是否存在非法目的。* q* P1 z' t/ l6 F2 V; ?
! l: O# Q6 @$ Q4 r" O% s+ v' @2 {3 S, }% u5 ` x# u$ E
0 X7 d6 e" v6 k: [* h
「洋銀行」經驗* P, H2 z O7 r. b6 d* E7 l
4 L! |) K; u* Q! O1 s! ~8 z
! Z9 h5 |2 o/ K) s D
! x2 G% o& \) ?2 U4 s% h6 [+ | 「網上銀行欺詐也是國際性難題。在國外,也沒有完全有效的技術手段。單純靠技術不能完全破解防範網上銀行欺詐難題,需要各方面的廣泛合作。」國家計算機網絡應急技術處理協調中心負責人表示。
, V0 n' R+ f" p, k- B# K/ {4 x& F& U/ w5 w/ a+ M, v
. A# S/ F" s/ n }% X. W2 o
Z2 k) {* J2 t8 ?$ d# e 在預防假冒銀行這方面,洋銀行受害更早,因而已先行一步。
" h" i8 E. @( i! B. R2 w8 f- x* z8 U6 Q7 {2 [
! u& ]/ o# t; Z) k' F' d
$ N$ C( c: E' z3 n* S5 R) W 香港上海匯豐銀行有限公司毛小姐告訴記者,匯豐銀行網站的安全區域支持安全套接層協議和128位加密技術。
; f- n" X* Y* r4 v% c+ f5 h6 _8 q* l" L
9 R) h8 n, \+ B6 t, O9 L9 @
5 W3 F0 l7 P- ^: j7 y0 l. Y9 g, h 這種加密技術是互聯網上保護數據安全的行業標準。匯豐銀行網站服務器裝有防火牆,系統也一直處於監控之下,防止未經授權的訪問。「因為不能保證一般郵件的安全性,用戶只能通過我們網站上的安全郵件設施發送電子郵件。」 ' K7 ~; E0 g! |0 y
- O" ]6 L0 [+ \# h- n5 P9 _) ? s" v8 x3 C; T7 ~
0 W9 D/ U% y$ X& C+ L
而記者在匯豐中國網站上看到,匯豐網上銀行登錄頁面的右邊顯著位置,以1/3的頁面提醒客戶高度重視安全性問題,並通過「互聯網安全措施」、「您可使網上理財更安全」、「安全常見問題」、「安全使用須知」等內容向客戶詳細介紹如何正確進行*作,提防被騙,以確保客戶安全地使用網上銀行。- P- v) ~% Y) M& Y! V# I# _
- V8 [% l% J% _5 |
! @# g" Y" X& X! V% u {1 R; l5 U' N6 |$ ~ O* a3 W8 j5 G7 f; L' j: g
匯豐銀行亞太區主席艾爾敦曾提到,「若客戶在計算機收到訊息,建議他們進入一個網頁,並輸入個人資料。只要他們不這樣做,不進入那個網頁,他們就沒有危險。」
9 Y, ^( z% o. ~4 Q5 ~5 s
5 {% Q. ]" D6 ^( @3 F
+ g: F2 Z+ c3 H, ]; A
% I6 m& L2 p+ r( B" i9 u; ?( G 恆生銀行常務董事莫偉建對記者強調:「恆生銀行不會向客戶發出要求提供個人資料的電郵。一般客戶也不能自動在網上轉帳給非指定的第三者。若他們有這樣的要求,需親身到分行辦理授權才可以。」 " v! [/ `4 ?0 h& i9 N' T; j
+ r# |4 |% I! Z1 C2 j7 U" e# A. z+ W1 T9 q7 u
! w) G( V/ g/ M. I& g/ c 金山公司一位反病毒專家告訴記者,這種假冒騙術與木馬病毒具有共性,都是以騙取用戶個人資料為目的,屬於互聯網安全威脅的一個類別。而此前,國外相關安全公司已把這種「網絡鉤魚」程序列入電腦病毒的監控範圍。 d1 S$ y2 |/ R, Q, m
( {7 r# b+ P8 }0 f( x
( [; S, G' ?) C. S* ^% Q2 u4 U# Q: |* {% P8 Z% r
在如何防範方面,上海各商業銀行「行動很快」。
9 y! B0 `% V5 K8 ~2 F
: k0 }7 D) v: e# z1 K; w) Q, }$ i c8 C- B4 L
d3 D/ ]; D: }2 \# ]' h/ j8 @8 K 張榮芳告訴記者,上海很多商業銀產的網上銀行客戶主要定位為小型企業。上海周邊有30萬家小型企業,點多面廣,且很多金融業務只需通過網絡就完全可以實現。3 @& b5 [( G q! n) I0 h. G8 s
1 A5 B0 B6 q4 j8 Q4 Y4 ?2 _& p
; {2 H" P& J3 |& F" p' G2 E; Z7 h8 X. ^" b& L9 i3 N) S
「為了避免因儲戶*作出現的風險。上海很多商業銀行開始專門給小型企業負責人做網上銀行使用培訓,合格者才能得到證書。」' U5 g5 J' Q o. r" }& I& @& M
* F' I4 A4 p$ Z! z, ?8 y0 [( ~( |- U3 Y
! Y+ E2 B8 s7 Y
& w; e& X- c$ v3 Z6 h, D 而在假銀行網站風波過後,上海各大銀行紛紛謀劃通過「升級改造」優化各自的電子銀行業務。據悉,工行上海分行已於12月11***對電子銀行系統進行全面升級改造。 8 t, i8 c; M. m0 g; a; u4 V0 P
& T5 y% n2 l5 Y, Q/ k' T# d! ?* W. r1 X& l5 u5 N
1 {8 q/ q+ X! G. L0 [2 K! a 行動更迅速的是中國銀行上海分行,該行辦公室黃琛告訴記者,上海分行最近正在升級的一套系統已接到總行要求,被融入到中國銀行計劃實施的另一套將用於整個中行的升級系統中去。 9 |, D5 R! v/ F7 W) A
+ m, C- o3 q* G% |, @
( Z) @; I2 Q0 Z3 Y* g# g$ o# f( P: G/ P, ?- O" p- d: _
張榮芳也表示,只要登錄的是真正的銀行網站,儲戶便大可放心地處理各種業務,「各大銀行在網絡銀行上的投入常人難以想像,也是犯罪分子不可能倣傚的。其實,他們只能通過誤導用戶登錄虛假網站,騙取帳號密碼。不過,這一招防不勝防,儲戶要多留個心眼。」 |
|
發表於 2004-12-22 20:44:28
提升卡
沉默卡
变色卡