银行“既做运动员又做裁判员”难称公平
网上支付、转账汇款、缴费购物,网上银行无疑给生活带来了极大的便利,与此同时,网上银行的安全性也一直困扰着用户。钓鱼网站、木马窃取信息导致储蓄账户资金被盗的案件时有发生,按说老百姓的钱存在银行,结果被盗了,银行多少得负一定责任。而经《IT时报》记者调查发现,由于举证困难,同时一些银行使用由自己颁发的电子签名,“既做运动员,又做裁判员”,从而导致这类案件中用户起诉银行获胜的概率接近为零!
IT时报 刘超
现状调查 网上银行没那么安全
农民破解“U盾”盗窃30万元
今年4月14日,北京市西城区法院受理了一项网上银行盗窃罪案件。受害人李女士表示由于经常使用网上银行,为安全考虑,她特意购买了工行的“U盾”,本以为“有盾无忧”。结果2010年9月2日,李女士发现自己的网银被窃,1个月前已经转出1万余元。同样,服装厂老板肖先生在使用电脑刚要进行网上转账时,电脑突然白屏,随后查询余额发现29万元不翼而飞。
这两起网上银行盗窃案出自同一人之手,仅有初中文化程度的25岁农民琚文辉。琚文辉坦承自己通过木马程序控制用户电脑,一旦用户将U盾插入电脑,他便利用U盾还未拔下的时间差,迅速登录对方的网银,把钱转走,整个过程不到30秒就可以完成。琚文辉坦承自己在短短的几个月内,已经破解了20多位U盾用户的账号、密码和U盾密码,并4次盗窃得手(其中两次因金额少,未报案)。
根据中国工商银行网站的官方描述,“U盾是工行推出并获得国家专利的客户证书USBkey,是工行为您提供的办理网上银行业务的高级别安全工具。U盾是用于网上银行电子签名和数字认证的工具……确保网上交易的保密性、真实性、完整性和不可否认性。”
事后当媒体采访琚文辉时,他却淡淡地说出“其实没什么技术含量”,“银行U盾在使用上有漏洞,总能想出办法”。
看来,银行提供的电子签名远没有口中说的那么安全。
网银被盗愈演愈烈
类似的问题不止一例。数据显示,2010年全国城镇人口中,个人网银用户比例为26.9%,比2009年增长了6个百分点,网络银行的渗透率进一步提高。在业务激增的同时,网银的安全问题也日益突出,钓鱼、木马鱼贯而出,网银日渐成为钓鱼、电话诈骗的重灾区。
根据瑞星发布的《2010互联网安全报告》,2010年新增“钓鱼网站”175万个,比上年增长1186%。在上当人数最多的十个“钓鱼网站”,超过一半仿冒购物网站和银行网站,作案目标直接指向网银用户。
曾有人对北京地区2006年至2010年5年间的36起网银失窃及相关案件做过调查,在被盗窃的银行账户中,很多人已经使用了号称“安全性能最强”的U盾等电子签名。其中,利用编程等高深手段窃财的只有9起,占25%;而利用木马程序盗窃的有13起,占36%。其余为利用一般手段盗取密码,通过网上银行转账窃财。
而更让人惊讶的是32名被告人当中,大学文化的有14人,高中文化的10人,初中文化的8人,后两者占总人数的56%。看来破解网银密码并不是大多数人所想象的高学历者才能掌握的高深技术,甚至有人谑称为“没什么技术含量”,虽然有些夸张,但也反映了网银系统还存在诸多漏洞。
用户维权:仅有一例成功
“在因网上银行产生的各类纠纷中,由于取证困难,用户维权极难,目前投诉成功案例仅一个。”上海泛洋律师事务所律师、上海律协信息网络高新技术业务委员会副主任刘春泉律师告诉《IT时报》记者。
刘春泉所指的唯一案例是发生在2005年的“洪荣尧”案件。有人假冒“洪荣尧”名义伪造身份证在农业银行温州分行开通了网上银行业务,并获取了网上银行的客户证书和密码。注册成功后,犯罪嫌疑人将借记卡内的钱通过网上银行转至他人账户。由于被冒领的款项无从追回,法院最终判决银行负主要责任,赔偿用户90%的损失。
“当时农行犯了低级错误,在犯罪嫌疑人伪造的身份证号码与储户的身份证号码完全不同的情况下,农行工作人员给用户开通了网上银行,所以银行负主要责任。”刘春泉律师表示:“根据民事法律原则,谁主张,谁举证,目前大部分网上银行被盗案例,或是因U盾系统受到攻击,或是因密码被盗等等,用户是无法举证的,因而打赢官司的概率几乎为零。”
早在2006年,曾有400多位储户的工行网上银行被盗,受害者自发成立工行网银受害者联盟投诉工行,由于无法举证,银行以客户自己泄露密码和个人信息导致资金损失为由,不承担责任,此事不了了之。
北京《法制日报》记者曾对北京地区所有法院做过调查,历年来凡是跟网银有关的案例,用户起诉银行,没有一例获胜。北京中广维天法律服务所主任芦争也表示,在现实中,一般百姓和律师们普遍不具备高深的电脑知识,甚至连电脑是不是被种了木马都弄不清,让他们去举证证明银行的网上银行系统本身有漏洞,实在勉强。
背后解密 银行为谋利自建“电子签名”
除了芦争所谈到的百姓和律师不具备高深的电脑知识、难以取证外,网上银行被窃案件取证难背后还有一大不为人知的原因。早在2005年4月,我国就已经实施了《电子签名法》,根据该法,电子签名要进行第三方认证,需要由依法设立的第三方认证机构提供认证服务。按照此规则,各大银行的网上银行U盾或类似的电子签名认证必须由第三方认证机构来提供认证服务。
据了解,我国依法设立批准的第三方认证机构有30多家,但银行认证服务目前大部分由中国金融认证中心(CFCA)实施提供。CFCA市场部总经理郭宏杰告诉《IT时报》记者,在银行数量上,94%的银行都采用了中国金融认证中心的认证,但是从用户数来看,国内前几大银行均没有完全使用第三方认证。据介绍,工行和建行其采用的电子签名认证有两种,一种是银行自己进行的认证,另外一种是CFCA的第三方认证。而农行、中行、招行采用的均是银行自己的认证系统。
“银行自己推U盾认证,这相当于银行既是运动员,又是裁判员。一旦银行和用户之间发生纠纷,银行自己的电子签名认证系统难以保证会为用户提供完全公正的服务。”刘春泉表示。
问题是为什么有第三方的认证机构,几大银行弃而不用?刘春泉认为其背后是利益之争。目前,以招行USB-KEY为例,售价60元一个,银行的用户是几千万数量级的,以1/10的用户使用USB-KEY为例,这笔就是几千万甚至上亿元的收入,大大超过了其研发投入。而如果采用第三方认证机构,则意味着这部分利润将被第三方机构所获得,银行显然不愿意。
“虽然《电子签名法》不是强制的,但无论是按照电子签名法还是相关的管理条例,我们都建议采用第三方机构来认证。”郭宏杰告诉记者,“目前我们与一些银行正在接触商谈,也有的表示愿意推进第三方认证。”
专家建议 引入保险 为网银失窃护航
网上银行账户被盗以后,经常“扯不清”是谁的责任,针对这种情况,刘春泉律师建议网银失窃的比例毕竟较低,银行应该和保险公司合作,以转移风险,从源头上解决纠纷。据了解,目前太平洋保险公司已经和交通银行、民生银行推出银行账户盗窃保险。该险种保险期限为一年,针对民生银行网银的保险,保费有5元、10元、40元、70元四个档次,相应的保额为5万、10万、50万以及100万,交通银行则只有一档“5元保5万”的险种。
TIPS
网银用户五大高危操作
一、上网购物时打开陌生人发来的文件;
风险:电脑感染网银木马,使网银支付链接被木马劫持。
二、轻信并访问短信或邮件中的网银链接;
风险:在钓鱼网站登录网银账户时,账户密码及动态口令会直接暴露给黑客。
三、使用网银后没有及时拔下U盾;
风险:在电脑中木马的情况下,插着U盾相当于打开了黑客侵入自己网银账户的大门。
四、电脑从不打补丁;
风险:黑客通过“自动抓鸡器”把木马植入存在漏洞的电脑,实施远程监视和控制。
五、没有为网银设置专用密码。
风险:很多人习惯“一个密码闯天涯”,无论是网银、支付,还是聊天、网游账户,统统使用同一个用户名和密码。这样,一个账号被盗就可能导致包括网银密码在内的所有账号密码泄露。因此,为网银单独设置专用密码是非常有必要的。