银行信贷风险预警:针对网银系统服务器端攻击浮出水面
来源:中国金融网 更新时间:2012-04-13

    针对网上银行交易规模迅猛增长、网上银行用户名和密码被非法窃取时有发生的现状,银监会日前下发了《关于做好网上银行风险管理和服务的通知》,《通知》要求,各商业银行最迟于今年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证,而高风险账户操作应至少包括向非本人账户转移资金单笔超过1000元或日累计超过5000元。  

  双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是网上银行用户知晓并使用,预先注册在银行的本人用户名及口令、密码;附加身份认证则指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。非本人账户中不含与本行签订业务合作等法律协议和客户预先约定的指定账户,包括代收费、第三方支付、贷款还款账户等。

  据不完全统计,我国主要商业银行2006年度电子银行交易金额达到122万亿元,比上年增长了101.48%;其中网上银行交易金额达95万亿元,比上年增长80.79%,网上银行交易笔数11.5亿,比上年增长161%,网上银行客户数量已达到7495万。

  据不完全统计,我国主要商业银行2006年度电子银行交易金额达到122万亿元,比上年增长101.48%;其中网上银行交易金额达95万亿元,比上年增长80.79%。在交易规模迅猛增长的背景下,网上银行用户名和密码被非法窃取的事件时有发生,增加了商业银行声誉风险和法律风险,并影响了公众对网上银行的使用信心。此次银监会出台《通知》,旨在提示各商业银行完善网上银行的安全服务,使老百姓享受到更加安全、便捷和高效的网上银行服务。

  《通知》还特别指出,对于其他电子银行业务类型,商业银行可依据其安全程度确定是否参照网上银行管理,但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。

  银联信分析:

  一、调查显示:我国网上银行用户的忠诚度偏低,安全问题是首要因素

  根据尼尔森公司最新发布的研究报告显示,只有20%的中国受访者称他们非常忠诚于他们最常用的网上银行,这一数据远远低于全球水平。

  方舟市场研究咨询有限公司ARK也在近期针对网上银行的使用情况进行了调查。在向广州的520位市民进行电话访问中发现,使用网上银行的市民比例接近三成,而市民不开通使用的主要原因是“安全问题”。

  中国金融认证中心(CFCA)发布的《2006中国网上银行调查报告》显示,受频频发生的网银事故影响,高达61%的网民不敢使用网上银行。

  二、网络涉银犯罪频发,网银安全引人关注

  自2006年起,关于网络银行的安全问题严重性的报道和争执就有愈演愈烈的趋势。客户使用网上银行导致资金被盗转的报道不时见诸各媒体,诸多受害者还专门组成了网上银行维权联盟,建立了专门的维权网站,并表示将联名起诉相关银行,网上银行的安全再次成为公众关注的焦点。一些受害者呼吁银行和公安机关完善网银系统,集中技术和警力对网银犯罪进行打击。

  目前,网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。

  如钓鱼网站的攻击就是针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页,然后给假网页申请一个酷似官方网址的域名,等待用户由于拼写错误进入欺诈网页,或者通过精心制作的电子邮件,以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗,他们的账号、密码等隐私数据都会立即被发送到不法分子手中。

  其次,智能隐身病毒攻击无孔不入,且升级迅速。近年来针对网络银行用户的木马病毒大幅增长,去年就有多家国内外的银行金融机构和证券机构遭黑客侵入。一旦黑客窃取了用户的网银账户、密码,就可能把账户里的钱转走。相关机构调查结果显示,2006年被截获的新病毒共有23万个,其中90%以上带有窃取个人资料、股票账户密码、网上银行和网游的账号密码等明显的利益目的。如“网银大盗”、“灰鸽子”等就属于此类病毒。6月4日,国家防病毒应急中心联合实验室(China Lab)发出警报,横扫网络的“灰鸽子”木马程序再度重现,并升级为盗取网银账号能力强百倍的“黑鸽子”。

  三是针对网银系统服务器端的攻击也日渐浮出水面。据网络安全专家介绍,过去数个月中,国际上银行信息诈骗手段已经出现了针对网银系统服务器的新方式。诈骗者首先控制一个真正的官方网站,然后诱导客户输入自己的银行信息,但将这些信息存储到诈骗者控制的地点。

  不仅是在中国,网银安全问题同样困扰着世界上其他国家。在过去一年中,世界最大的几家网络银行,如Barclays、LloydsTSB和NatWest,都受到了此类互联网欺诈的冲击。

  三、确保网银安全,各家银行各有高招

  频频发生的网银安全事件,不仅给客户造成了巨大损失,也使网上银行陷入了信用危机。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。

  各大银行为了提高网银的安全性也是费尽心思。有的直接以控件形式安装后,用户可以用IE浏览器登录后进行操作;也有需要用户下载专用网银客户端进行操作的。他们对于WEB登陆的安全措施加密方式大致有三种:一是采用Active X安全控件,如招商银行、中国农业银行、交通银行的个人版登陆采取的就是Active X安全控件;二是采用数字证书和USB key认证的登陆方式,数字证书文件因其成本低,使用方便,因此被众多银行所使用。USB Key证书则因成本问题和设置上的原因被个别银行采用,并且与数字证书共存作为可选项;三是采用动态软键盘。

 四、维护网上银行安全,需要多措并举

  根据最新的调查数据显示,全球32%的网民每周至少使用网上银行两至三次,而其中14%的网民每天都在使用网上银行。网上银行以其不可比拟的便捷优势日益成为风靡全球的银行理财方式之一。因此,我国银行面对安全隐患,绝不可因噎废食,而应当多措并举,强化网银安全。

  首先,强化网上银行安全建设,采取多重防范措施。对于当前中国网上银行系统,加强网银用户的身份认证管理,防止用户资料的泄露,是消除网上银行安全隐患的有效措施。各商业银行应根据银监会的统一部署,尽快实现高风险账户操作双重身份认证,采用多重防范措施,不断强化网上银行安全建设。

  其次,加强公众网上银行安全教育。商业银行应承担起对网上银行客户的安全教育责任,比如教育客户应谨防钓鱼网站,尽量避免在通过“超链接”进入的银行系统上进行操作;对杀毒软件正确使用,将电脑的防火墙设置最高安全级别,及时升级杀毒软件,避免“网银大盗”的侵入;保护好账号密码,以及利用银行的短信、邮件提醒等及时或定期查询自己的详细交易情况,确保交易安全。

  再次,加强网上银行安全防范,及时进行风险提示。商业银行应将扫描查找假冒本行网上银行网站及其它针对电子银行的犯罪活动纳入日常工作程序,定期搜索与本行相关的假冒网站(邮件、电话、短信号码等),检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报。发现风险应立即采取防范措施,并通过本行网站及其他渠道向公众进行通报提示。

  最后,银行业可探索启用专用域名。现在的网址有好几种,www.xxx.com是商业性网站,www.xxx.gov是政府网站,而www.xxx.org则是非政府组织网站。域名不同,代表的意思也不同。银行也可以借鉴政府等网站有专用域名的做法,为网上银行设置专用域名,虽然不能完全避免有类似的域名出现混淆视听,但有可能很大程度上打击假冒网银网站。