中(zhōng)國(guó)銀行網銀E令形同虛設 手機交易碼再惹争議

　　2011年伊始，中(zhōng)國(guó)銀行網銀就被卷入了網銀引發的風暴眼，對于曾經榮獲“最佳網上銀行”的中(zhōng)行來說，格外刺目。短短一個月内，衆多(duō)中(zhōng)行網銀客戶先後經曆可(kě)怕驚魂300秒(miǎo)，賬戶内資金瞬間被釣魚網站洗劫一空。據不完全統計，從1月10日至今，僅浙江一省就發生100多(duō)起同類詐騙，用(yòng)戶損失少則數萬，多(duō)達數百萬。

　　在中(zhōng)行網銀頻頻集中(zhōng)被盜事件中(zhōng)，用(yòng)戶人人自危，很(hěn)多(duō)人都表示将不敢再使用(yòng)中(zhōng)行網銀，甚至有(yǒu)人為(wèi)保障安(ān)全已将中(zhōng)行賬戶中(zhōng)資金悉數取出。由于在木(mù)馬釣魚的作(zuò)用(yòng)下，犯罪分(fēn)子能(néng)和用(yòng)戶的電(diàn)腦實現同步，号稱動态安(ān)保的“中(zhōng)行E令”此時已形同虛設，不少用(yòng)戶也在質(zhì)疑這項服務(wù)的必要性。據了解，目前，國(guó)有(yǒu)商(shāng)業銀行中(zhōng)，隻有(yǒu)中(zhōng)行大範圍使用(yòng)動态口令牌，工(gōng)行、建行、農行、郵儲銀行等商(shāng)業銀行，多(duō)以與計算機硬件連接的U盾或K寶為(wèi)主。

　　盡管中(zhōng)行目前亡羊補牢，新(xīn)加了一道手機交易碼防火牆，但一推出就引起頗多(duō)争議，日前有(yǒu)南京的用(yòng)戶在口碑理(lǐ)财網投訴稱，為(wèi)何櫃面人員對手機交易碼如此不熟悉，相關口徑與現實有(yǒu)如此大的差距？中(zhōng)行内部的信息傳遞如此落後，是否也證實其内部管理(lǐ)的落後？

　　中(zhōng)行E令漏洞飽受質(zhì)疑

　　1月18日，杭州的李輝（化名(míng)）先生突然收到一條手機短信：尊敬的網銀用(yòng)戶，你的中(zhōng)行E令将于次日過期，請盡快進行升級，給你帶來不便請諒解，詳詢95566。而李先生正是中(zhōng)行網銀用(yòng)戶，雖發現是來自一個陌生手機，但也并沒産(chǎn)生懷疑，随即利用(yòng)電(diàn)腦，根據短信提示的内容登錄短信内的中(zhōng)行網址，亦未發現異常，便根據網頁(yè)提示進行操作(zuò)，在頁(yè)面顯示升級成功。李先生在退出頁(yè)面後猛然發覺不對，再次登錄時，發現自己賬戶内的200多(duō)萬元已經被全部轉走。

　　無獨有(yǒu)偶，就在1月27日，深圳一客戶的中(zhōng)行網銀1.6萬元錢被不明身份的人卷走，隻剩下4.5元。而紹興的一位商(shāng)人則被同樣的手段騙取資金接近200萬元。近期江蘇浙江地區(qū)此類案件高發近乎猖獗。全國(guó)範圍來看涉案金額應已過億，保守估計也要超過5000萬元。

　　在這短短的一個多(duō)月裏，有(yǒu)多(duō)少客戶的資産(chǎn)遭到假冒中(zhōng)行釣魚網站的侵蝕，目前難以獲得準确數據，但據金山(shān)網絡雲安(ān)全中(zhōng)心統計數據顯示，近期已有(yǒu)超過5萬名(míng)用(yòng)戶訪問過中(zhōng)行的仿冒網站。

　　據了解，上述案件中(zhōng)犯罪分(fēn)子作(zuò)案手法如出一轍。受害人均收到陌生手機号碼發送的短信，提示其銀行網銀動态口令将于次日過期，讓其盡快登入中(zhōng)行網站進行升級。一旦事主登錄短信内留下的網站，所輸入的網銀用(yòng)戶名(míng)、密碼、動态口令等就會被釣魚程序竊取，其網銀賬戶内款項在幾分(fēn)鍾内被迅速轉走。

　　有(yǒu)關釣魚網站的詐騙并非首次出現，開通網銀的銀行都會面臨此類困擾，但為(wèi)何大規模地集中(zhōng)在中(zhōng)行？中(zhōng)行所引以為(wèi)傲的E令設計是否存在安(ān)全隐患？中(zhōng)國(guó)互聯網信息舉報中(zhōng)心主任助理(lǐ)郝志(zhì)超曾在接受媒體(tǐ)采訪時表示：“中(zhōng)行的網銀系統還是有(yǒu)問題的，它的動态E令被犯罪分(fēn)子利用(yòng)了。”

　　中(zhōng)行選擇的是用(yòng)動态口令保護用(yòng)戶網銀安(ān)全。中(zhōng)行E令，實際上就是電(diàn)子動态口令生成器，是由中(zhōng)行推出的一種硬件動态口令牌。它由内置電(diàn)源、密碼生成芯片和顯示屏等組成，根據專門的計算法則，每隔60秒(miǎo)會自動更新(xīn)一個動态口令，要求用(yòng)戶在60秒(miǎo)内輸入，以保障網銀操作(zuò)安(ān)全。然而此輪網銀詐騙，絕大部分(fēn)案例都以中(zhōng)行E令為(wèi)幌子，衆多(duō)用(yòng)戶質(zhì)疑号稱動态安(ān)保的中(zhōng)行E令此時已形同虛設。

　　中(zhōng)行電(diàn)子銀行部總經理(lǐ)蔣昕表示，犯罪分(fēn)子并不是攻破了中(zhōng)行網銀的安(ān)全機制，客戶在中(zhōng)行門戶網站上進行網銀交易，安(ān)全是有(yǒu)保證的。但少數客戶安(ān)全防範意識不強，被誘騙登錄假冒網站後不加識别即輸入網銀認證關鍵信息，最終導緻資金被盜。

　　對于這種解釋，大多(duō)數人表示難以接受。中(zhōng)行網銀的安(ān)全保障體(tǐ)系，目前多(duō)數銀行采取多(duō)因素、多(duō)渠道的認證方式，安(ān)全級别設置也較高。但是中(zhōng)行網銀在大規模的釣魚案件發生時，隻可(kě)選擇動态口令這一項安(ān)全工(gōng)具(jù)，安(ān)全防護措施相對簡單，不久前才剛剛進行了改進，增加了短信認證這一環節，遭到了不少客戶的質(zhì)疑。

　　而針對中(zhōng)行網銀主推的安(ān)全工(gōng)具(jù)動态口令，有(yǒu)中(zhōng)國(guó)金融認證中(zhōng)心專家認為(wèi)，動态口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動态口令在1分(fēn)鍾内都會有(yǒu)效。而就是這短短的一分(fēn)鍾，讓不法分(fēn)子有(yǒu)了可(kě)乘之機。上述幾位受害者也紛紛表示了對動态口令的不滿：一分(fēn)鍾的時間做什麽都足夠了，動态口令這種安(ān)全工(gōng)具(jù)本身就有(yǒu)問題。

　　而中(zhōng)行的内部員工(gōng)也認為(wèi)，将短信提示、權限設置和口令牌分(fēn)開更安(ān)全，即現在将三者集于一身，全部依賴口令牌，有(yǒu)了口令牌，手機号碼可(kě)以随便改，限額可(kě)以改，那短信提示和權限設置不是形同虛設嗎？

中(zhōng)行E令非主流将被抛棄

　　中(zhōng)行被推到了輿論的風口浪尖上，人們都希望中(zhōng)行能(néng)作(zuò)出一個擔責的解釋，遭到釣魚網站詐騙的部分(fēn)中(zhōng)行客戶，已經開始向中(zhōng)行申請索賠，理(lǐ)由是中(zhōng)行網銀系統存在漏洞以及在保護客戶資金安(ān)全工(gōng)作(zuò)上的失職，但持續無果。中(zhōng)行用(yòng)戶人人自危，很(hěn)多(duō)人都表示将不敢再使用(yòng)中(zhōng)行網銀，甚至有(yǒu)人為(wèi)保障安(ān)全已将中(zhōng)行賬戶中(zhōng)資金悉數取出。