论文部分内容阅读
黑客门:引发全球银行卡市场震荡
6月17日晚,万事达信用卡国际公司宣布,由于一名黑客侵入“信用卡第三方付款处理系统”,包括万事达、维萨、美国运通银行和发现金融服务公司在内的各种信用卡,约4000多万用户的数据资料可能失窃。这是近年来美国发生的最大规模的银行卡客户资料泄密事件。万事达公司承认,目前已接到了至少6.8万名用户的举报,称账户已被人盗用。
受蝴蝶效应的影响,这次泄密事件也直接波及了近2.8万名中国持卡人,其中香港地区就有761名属于高危客户。目前,已证实受到影响的沪上中资银行已有7家,除工农中建四大商业银行外,还有浦东发展银行、招商银行和中信实业银行,一时间各银行如临大敌,纷纷启动紧急预案以挽回影响。有鉴于此,中国人民银行支付结算司负责人表示,央行高度关注美信用卡外泄波及中国持卡人事件,已要求相关的万事达、Visa等信用卡组织妥善处理中国持卡人信用卡信息泄露问题。还要求国内各发卡机构、银行卡清算组织以及提供银行卡数据处理的第三方服务机构要切实加强管理,采取有效措施,确保银行卡持卡人的信息安全。
尽管目前还没有发现美国银行卡客户资料泄密事件对我国银行卡客户造成大规模的现实损失,但业内专家认为,诸如此类事件,如果防范不力,处置不当,势必会引发严重的信用卡信任危机,从而危及整个社会的稳定。近日,中国互联网络信息中心公布的相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。
析成因:信息失密的背后
其实,这种情况的发生绝非偶然。从主观原因来看,客户自身防范意识淡薄,操作失当,留下了致命的隐患。在采访中发现,很多用户都是因为自己的疏忽以及对网络认识不足而导致信息外泄而被盗。不少客户习惯于将密码设为生日、电话号码等一些易被猜测的数字;在公用的计算机上或网吧使用网上银行,用完后还不“退出系统”;在家上网时,喜欢下载一些没有合法来源的软件,上一些小网站,随意打开陌生人发的邮件……殊不知这里面都隐藏着日后盗用其账户和密码的病毒。
当然,最重要的原因则是形形色色的高智能犯罪分子,将黑手伸向了这一财富的新型集散地,使尽浑身招数,进行疯狂的猎食。
从现状来看,无论是国外还是国内,银行卡往往都有一整套安全机制,理论上说十分安全,但事实上没有漏洞是不可能的,“百分之百安全”的神话是不存在的。更何况黑客往往不按常理出牌,正门行不通,总是想法设法寻找系统漏洞,绕道而行。据业内专家分析,黑客也好,网银大盗也好,其窃取客户信息的途径,主要有以下几方面:
以假银行网站链接,骗取客户的卡号(账号)和密码。直接发送假地址或者利用微软IE浏览器的漏洞,从而避开网上银行系统的安全认证,用户输入的账号和密码都会被假网站记录下来。前不久就发生了多起假冒银行网站进行诈骗的的事件。据了解,假冒中行的网站BankoffChina.com与真中行BankofChina.com仅有“f”之差;假冒工行网站“WWW.1CBC.COM”,只是将真网站的ICBC的“I”,变成1234的“1”。
以伪装成来自银行的电子邮件,诱骗客户到假银行网站上验证卡号帐号以获取信息。据媒体披露,不久前,一位张姓客户收到一封从银行的公开网管邮箱里发来的邮件,上面清楚地写道,因为“网络银行系统升级,为确保您网络银行的安全性,请重新输入用户名与密码!我们将重新帮您查核验证!”后面还留出了客户要填写的网络银行登录卡号、密码的填写位置,并要求客户把填好的表格发至另一个假冒的银行官方网管邮箱里。幸亏,这位客户多了一个心眼,向银行客户服务部门打了一个电话,才没有上当。
与上述手法相比,更高级也更隐蔽的手段就是利用木马程序,入侵银行客户的电脑。据了解,这次美国银行卡信息失密事件,就是因为一名黑客利用一种类似电脑病毒的脚本程序侵入了该公司位于亚利桑纳州图森市的分公司——“信用卡记账处理公司”的电脑系统而截获用户信息的。据了解,木马程序一旦发现用户登录银行界面,就记录下其在此期间的所有键盘和鼠标动作,以此窃取客户的信息。据瑞星公司反病毒专家蔡骏介绍,最近截获的窃取银行资料的病毒也大幅增加。曾经一天就有两个偷银行卡密码的病毒“婴孩”(Worm.Baby.a)和“邦威”(Worm.Banwor.a)被截获。据悉,目前危害中国网上银行系统安全的病毒,多出于中国本土,已呈现群簇式泛滥局势,一个病毒出现,紧接着各种各样的变种层出不穷。
当然,骗子也往往会综合利用建立伪造的著名网站、散播木马病毒、通过手机短信等多种手段加强欺骗效果,使得反欺骗形势十分复杂而严峻。据专家预测,在未来的一段时间里,针对股民、网络银行、网上购物用户的银行卡信息窃密将越来越多。正因如此,一家国有银行信用卡中心的负责人坦言,现在最让人担忧的已不是客户的账户发生损失,而是每天大量的客户来电中,透露出来的对信用卡使用安全的不信任情绪。事实上,如果这种现象蔓延下去,势必会对整个银行卡业的可持续发展带来灾难性影响。
求良策:看住你的秘密
银行卡业的信息安全,对于国家安全、社会稳定、人民生命财产的保护等都具有举足轻重的地位,绝非银行一方之责,需要举全社会系统之力。
消费者自身:自我保护需补课。尽量不使用吉祥数字、出生年月、电话号码等易猜数字作密码,并在密码中适当增添2—3个英文字母,使密码难以破译。分别设置登录密码和支付密码,以防止在登录密码被窃后,将账户资金转到他人账户。网上银行使用完毕后,千万要注意点击“退出登录”选项。不要随手丢弃ATM提款、查询和POS消费的回单,一定要取回妥为保管或处理。不要在网吧及公司公用电脑上进行网上消费,如果确有必要在一些公用的计算机上进行消费操作时,请记住操作完成后一定退出系统。要注意为家用电脑安装防火墙程序,并随时升级,防止个人账户信息遭到黑客窃取。
政府部门:治本作用不可弱化。中国科学院互联网研究中心的吕本富教授认为,从硬、软两方面的技术来看,我国目前使用的信息核心技术都掌握在西方发达国家手中,这在客观上为我国相关的商业机密、保密安全问题留下了隐患。为此,国家应在诸如互联网软硬件建设等方面加大政策扶持,加速发展自主知识产权产品,如下一代互联网等等。要从金融是现代经济核心的高度,借鉴政府网站有专用域名做法,由银行向专门负责域名申请的部门提出,为网上银行设置专用域名,由某权威机构比如银监会负责审批,以最大限度打击假冒网银网站。同时,要借鉴发达国家打击网上金融犯罪的经验,不断补充我国《刑法》上金融计算机犯罪的种类或制定单独的《中国互联网金融犯罪条例》,通过建立健全应对新型金融犯罪的法制体系,做到有法可依,违法必究。
监管部门:重在防范和化解大规模信息泄密事件。人民银行作为政府的银行,银监会作为银行监管部门要切实履行职责,与时俱进地制定和修改银行业的游戏规则,堵塞漏洞,并有针对性地对银行卡业实行全面有效的风险监控,以防患于未然。对突发性、全球化、全国性、全行业性的金融事件,尤其是客户信息失密事件要在第一时间进行预警,并有效组织商业银行加以化解。通过这次对美国银行卡信息泄露事件的反应来看,我国的银行监督管理部门完全有能力在这方面发挥其应有的作用。
商业银行:千方百计做好对自身客户信息的保护工作。在进一步改善用卡环境,加强对终端设施的技术防范,切实从外在环境上保护客户隐私,首先要加强银行卡磁道的技术防范。据业内人士介绍,现在银行卡账户资金信息基本上都是通过磁道读写的,只有确保磁道信息的安全银行卡才能不被随便盗取,因此,要注重开发先进的磁道加密技术,确保通过加密只有通过发卡银行才能有权修改和复制磁道信息,从而为确保客户资金安全建好第一条防线。
其次,要改善身份认证手段。据了解,我国目前的银行卡,几乎无一例外只提供了密码保护这一种“单面墙”式的身份认证制度。业内专家认为,这对于无须配合信用证使用的借记银行卡来说被盗风险往往很大。因此,建议逐步探索推广包括指纹、印鉴、气味、声音等多种身份认证手段,增加不法分子盗取客户资金的技术难度。
再次,要积极开发和运用最先进的密码保护技术。据了解,美国花旗银行日前推出了一项新的服务,银行向其信用卡持有人提供一个名为“虚拟信用卡账户”的软件,安装该软件后,持卡人上网购物时电脑会自动地随机生成一个虚拟信用卡号,从而隐藏了真正的信用卡号,每次网上购物后该虚拟卡号就自动作废,非持卡人因而无法通过网络窃取信用卡资料。据悉,工商银行最近也推出了一种叫USBKEY的网络安全服务。USBKEY作为一种硬件加密系统,在外形和用法上类似可移动磁盘,一旦用户登录网上银行进行网上转账,除了需要密码外,必须在USB接口上插入USBKEY,确认后方可实现操作,相对于“赤裸裸”的密码,随身携带的USBKEY等于给网络交易上了第二把锁。这一尝试无疑值得肯定。
最后,要高度关注第三方的信息安全。据报道,黑客正是进入了为万事达、VISA和美国运通卡等信用卡组织提供服务的机构的信用卡客户资料库,才造成资料外泄的。有鉴于此,我国银行业要吸取美国银行卡信息泄密案的教训,加强对保险公司、商户客户信息安全的监督和检查,发现隐患,及时消除。
此外,要建立健全要对突发性金融事件的应急机制,以应对金融国际化的挑战。据了解,美国信用卡数据遭黑客侵入事件发生后,中行等银行便在第一时间从Visa、万事达卡国际组织获得可能受侵的客户名单,并迅速通过手机、电话、信函等方式,在第一时间联系到持卡人,通报有关情况,为其免费更换新卡,通过最近一期的对账单,就有关情况进行说明,提醒近期在美国用过卡的持卡人注意防范;积极与有关国际信用卡组织沟通情况,跟踪事态进展,随时准备采取进一步的应对措施。有的还利用欺诈侦测系统,加强对所有近期在美国地区使用过信用卡的客户的卡片交易进行监控。
据最新消息,由中国政府倡议建立的应对经济和金融突发事件的紧急对话机制,在日前召开的亚欧财长会议上得到了普遍认同,这无疑是我国银行业应对突发性金融事件挑战的一个积极信号。