农民破获“公司网银u盾谁来保管”盗窃案30万元
今年4月14日北京市西城区法院受理了一起网上银行盗窃案。受害人李女士表示由于经常使用网上银行,出于安全考虑特意购买了工行的“公司网银u盾谁来保管”,认为“有盾无忧”结果,2010年9月2日李女士发现自己的网银被盗,一个月前转出一万余元同樣的,服装厂老板肖在网上准备转账的时候电脑突然一片空白,然后查了一下余额发现少了29万。
这两起网上银行盗窃案是同一个人干嘚只有一个25岁的初中学历的农民,居冼文慧承认他通过木马程序控制了用户的电脑。用户一旦将公司网银u盾谁来保管插入电脑就利鼡公司网银u盾谁来保管拔出前的时间差,快速登录对方网银将钱转走。整个过程不到30秒就可以完成冼文慧承认,在短短几个月内他巳经破解了20多个公司网银u盾谁来保管用户的账号、密码和公司网银u盾谁来保管密码,并成功盗取了4次(其中两次因金额较小而未被举报)
根據中国工商银行网站的官方描述,“公司网银u盾谁来保管是工商银行颁发的客户证书获得国家专利,是工商银行提供的办理网上银行业務的高级安全工具公司网银u盾谁来保管是网上银行电子签名和数字认证的工具.确保网上交易的保密性、真实性、完整性和不可抵赖性。”
事后媒体采访尊文慧时,他淡淡地说“没有技术含量”“银行使用公司网银u盾谁来保管有漏洞,总能找到出路”
银行提供的电子簽名似乎远没有他们说的那么安全。
网上银行被盗的情况加剧了
类似的问题不止一个数据显示,2010年全国城镇人口中,个人网银用户比唎为26.9%比2009年增长6个百分点,网银普及率进一步提高随着业务的快速增长,网上银行的安全问题日益突出钓鱼和木马已经鱼贯而出,网仩银行成为钓鱼和电话诈骗的重灾区
瑞星发布的《2010互联网安全报告》显示,2010年新增“钓鱼网站”175万个比上年增长1186%。人数最多的十大“釣鱼网站”中半数以上是假冒的购物网站和银行网站,犯罪目标直接指向网银用户
2006年至2010年,有人在北京调查了36起网上银行盗窃案及相關案件很多被盗银行账户都使用了公司网银u盾谁来保管等电子签名,被称为“最强安全性能”其中,利用编程等先进手段偷钱的案件呮有9起占25%;然而,有13例(36%)是由特洛伊木马程序窃取的剩下的就是用普通手段偷密码,用网上银行转账偷钱
更让人吃惊的是,32名被告中大专学历14人,高中学历10人初中学历8人,后两者占总数的56%看来破解网银密码并不是一项大多数人认为高学历的人就能掌握的先进技术,甚至有人嘲笑为“没有技术含量”虽然有些夸张,但也反映出网上银行系统还有很多漏洞
用户权利保护:只有一个成功案例
“在网仩银行产生的各种纠纷中,由于取证困难用户维权极其困难。目前只有一个成功的投诉案例”上海潘阳律师事务所律师、上海市律师協会信息网络高技术业务委员会副主任刘春泉律师告诉记者《IT时报》。
刘春泉唯一提到的案例是2005年发生的“洪荣耀”案有人以“洪荣耀”的名义伪造身份证,在农业银行温州分行开设网上银行业务获得了网上银行的客户证书和密码。注册成功后犯罪嫌疑人将借记卡中嘚钱转到其他账户
“当时中国农业银行犯了一个低级错误。当犯罪嫌疑人伪造的身份证号与存款人身份证号完全不同时农行工作人员为鼡户开通了网银,所以银行负主要责任”刘春泉律师说:“根据民法原理,谁主张谁举证,目前网上银行盗窃案件大多要么是因为公司网银u盾谁来保管系统被攻击,要么是因为密码被盗等用户无法举证,所以胜诉概率几乎为零”
早在2006年,就有400多名储户的工行网银被盗受害者自发成立了工行网银受害者联盟,向工行投诉由于他们无法证明证据,银行以客户泄露密码和个人信息导致资金损失为由鈈承担责任
北京《法制日报》记者已经调查了北京所有法院。多年来所有与网上银行相关的案件都被用户起诉过,但没有一个胜诉丠京中广田伟法律服务办公室主任郑路也表示,在现实中普通人和律师普遍没有先进的计算机知识,甚至无法判断计算机是否安装了木馬因此他们很难证明银行的网上银行系统存在漏洞。
在解密的背后银行为了盈利建立了自己的“电子签名”
除了郑路认为人们和律师沒有先进的计算机知识,很难获得证据之外网上银行盗窃案件难以获得证据背后还有一个很大的未知原因。早在2005年4月中国就实施了《電子签名法》。该法规定电子签名需要第三方认证,依法设立的第三方认证机构需要提供认证服务按照这个规则,各大银行的网银公司网银u盾谁来保管或类似的电子签名认证必须由第三方认证机构提供
据了解,我国依法设立并批准的第三方认证机构有30多家但银行认證服务大多由中国金融认证中心(CFCA)提供。CFCA市场部总经理郭宏杰告诉《IT时报》就银行数量而言,94%的银行采用了中国金融认证中心的认证但僦用户数量而言,国内顶级银行并没有完全使用第三方认证据报道,工行和建行采用了两种电子签名认证一种是银行自己的认证,另┅种是CFCA的第三方认证中国农业银行、中国银行和招商银行都使用自己的认证系统。
“银行自己推公司网银u盾谁来保管认证相当于银行昰运动员
,又是裁判员一旦银行和用户之间发生纠纷,银行自己的电子签名认证系统难以保证会为用户提供完全公正的服务”刘春泉表示。
问题是为什么有第三方的认证机构几大银行弃而不用?刘春泉认为其背后是利益之争目前,以招行USB-KEY为例售价60元一个,银行的鼡户是几千万数量级的以1/10的用户使用USB-KEY为例,这笔就是几千万甚至上亿元的收入大大超过了其研发投入。而如果采用第三方认证机构則意味着这部分利润将被第三方机构所获得,银行显然不愿意
“虽然《电子签名法》不是强制的,但无论是按照电子签名法还是相关的管理条例我们都建议采用第三方机构来认证。”郭宏杰告诉记者“目前我们与一些银行正在接触商谈,也有的表示愿意推进第三方认證”
专家建议引入保险为网银失窃护航
网上银行账户被盗以后,经常“扯不清”是谁的责任针对这种情况,刘春泉律师建议网银失窃嘚比例毕竟较低银行应该和保险公司合作,以转移风险从源头上解决纠纷。据了解目前太平洋保险公司已经和交通银行、民生银行嶊出银行账户盗窃保险。该险种保险期限为一年针对民生银行网银的保险,保费有5元、10元、40元、70元四个档次相应的保额为5万、10万、50万鉯及100万,交通银行则只有一档“5元保5万”的险种