农民破获“U盾”盗窃案30万元
今年4月14日,北京市西城区法院受理了一起网上银行盗窃案。受害人李女士表示,由于经常使用网上银行,出于安全考虑,特意购买了工行的“U盾”,认为“有盾无忧”。结果,2010年9月2日,李女士发现自己的网银被盗,一个月前转出一万余元。同样的,服装厂老板肖在网上准备转账的时候,电脑突然一片空白,然后查了一下余额,发现少了29万。
这两起网上银行盗窃案是同一个人干的,只有一个25岁的初中学历的农民,居。冼文慧承认他通过木马程序控制了用户的电脑。用户一旦将u盾插入电脑,就利用u盾拔出前的时间差,快速登录对方网银,将钱转走。整个过程不到30秒就可以完成。冼文慧承认,在短短几个月内,他已经破解了20多个u盾用户的账号、密码和u盾密码,并成功盗取了4次(其中两次因金额较小而未被举报)。
根据中国工商银行网站的官方描述,“U盾是工商银行颁发的客户证书,获得国家专利,是工商银行提供的办理网上银行业务的高级安全工具。u盾是网上银行电子签名和数字认证的工具.确保网上交易的保密性、真实性、完整性和不可抵赖性。”
事后,媒体采访尊文慧时,他淡淡地说“没有技术含量”,“银行使用u盾有漏洞,总能找到出路”。
银行提供的电子签名似乎远没有他们说的那么安全。
网上银行被盗的情况加剧了
类似的问题不止一个。数据显示,2010年,全国城镇人口中,个人网银用户比例为26.9%,比2009年增长6个百分点,网银普及率进一步提高。随着业务的快速增长,网上银行的安全问题日益突出。钓鱼和木马已经鱼贯而出,网上银行成为钓鱼和电话诈骗的重灾区。
瑞星发布的《2010互联网安全报告》显示,2010年新增“钓鱼网站”175万个,比上年增长1186%。人数最多的十大“钓鱼网站”中,半数以上是假冒的购物网站和银行网站,犯罪目标直接指向网银用户。
2006年至2010年,有人在北京调查了36起网上银行盗窃案及相关案件。很多被盗银行账户都使用了u盾等电子签名,被称为“最强安全性能”。其中,利用编程等先进手段偷钱的案件只有9起,占25%;然而,有13例(36%)是由特洛伊木马程序窃取的。剩下的就是用普通手段偷密码,用网上银行转账偷钱。
更让人吃惊的是,32名被告中,大专学历14人,高中学历10人,初中学历8人,后两者占总数的56%。看来破解网银密码并不是一项大多数人认为高学历的人就能掌握的先进技术,甚至有人嘲笑为“没有技术含量”。虽然有些夸张,但也反映出网上银行系统还有很多漏洞。
用户权利保护:只有一个成功案例
“在网上银行产生的各种纠纷中,由于取证困难,用户维权极其困难。目前只有一个成功的投诉案例。”上海潘阳律师事务所律师、上海市律师协会信息网络高技术业务委员会副主任刘春泉律师告诉记者《IT时报》。
刘春泉唯一提到的案例是2005年发生的“洪荣耀”案。有人以“洪荣耀”的名义伪造身份证,在农业银行温州分行开设网上银行业务,获得了网上银行的客户证书和密码。注册成功后,犯罪嫌疑人将借记卡中的钱转到其他账户
“当时中国农业银行犯了一个低级错误。当犯罪嫌疑人伪造的身份证号与存款人身份证号完全不同时,农行工作人员为用户开通了网银,所以银行负主要责任。”刘春泉律师说:“根据民法原理,谁主张,谁举证,目前网上银行盗窃案件大多,要么是因为u盾系统被攻击,要么是因为密码被盗等。用户无法举证,所以胜诉概率几乎为零。”
早在2006年,就有400多名储户的工行网银被盗,受害者自发成立了工行网银受害者联盟,向工行投诉。由于他们无法证明证据,银行以客户泄露密码和个人信息导致资金损失为由不承担责任。
北京《法制日报》记者已经调查了北京所有法院。多年来,所有与网上银行相关的案件都被用户起诉过,但没有一个胜诉。北京中广田伟法律服务办公室主任郑路也表示,在现实中,普通人和律师普遍没有先进的计算机知识,甚至无法判断计算机是否安装了木马,因此他们很难证明银行的网上银行系统存在漏洞。
在解密的背后,银行为了盈利建立了自己的“电子签名”
除了郑路认为人们和律师没有先进的计算机知识,很难获得证据之外,网上银行盗窃案件难以获得证据背后还有一个很大的未知原因。早在2005年4月,中国就实施了《电子签名法》。该法规定,电子签名需要第三方认证,依法设立的第三方认证机构需要提供认证服务。按照这个规则,各大银行的网银U盾或类似的电子签名认证必须由第三方认证机构提供。
据了解,我国依法设立并批准的第三方认证机构有30多家,但银行认证服务大多由中国金融认证中心(CFCA)提供。CFCA市场部总经理郭宏杰告诉《IT时报》,就银行数量而言,94%的银行采用了中国金融认证中心的认证,但就用户数量而言,国内顶级银行并没有完全使用第三方认证。据报道,工行和建行采用了两种电子签名认证,一种是银行自己的认证,另一种是CFCA的第三方认证。中国农业银行、中国银行和招商银行都使用自己的认证系统。
“银行自己推U盾认证,相当于银行是运动员
,又是裁判员。一旦银行和用户之间发生纠纷,银行自己的电子签名认证系统难以保证会为用户提供完全公正的服务。”刘春泉表示。问题是为什么有第三方的认证机构,几大银行弃而不用?刘春泉认为其背后是利益之争。目前,以招行USB-KEY为例,售价60元一个,银行的用户是几千万数量级的,以1/10的用户使用USB-KEY为例,这笔就是几千万甚至上亿元的收入,大大超过了其研发投入。而如果采用第三方认证机构,则意味着这部分利润将被第三方机构所获得,银行显然不愿意。
“虽然《电子签名法》不是强制的,但无论是按照电子签名法还是相关的管理条例,我们都建议采用第三方机构来认证。”郭宏杰告诉记者,“目前我们与一些银行正在接触商谈,也有的表示愿意推进第三方认证。”
专家建议引入保险为网银失窃护航
网上银行账户被盗以后,经常“扯不清”是谁的责任,针对这种情况,刘春泉律师建议网银失窃的比例毕竟较低,银行应该和保险公司合作,以转移风险,从源头上解决纠纷。据了解,目前太平洋保险公司已经和交通银行、民生银行推出银行账户盗窃保险。该险种保险期限为一年,针对民生银行网银的保险,保费有5元、10元、40元、70元四个档次,相应的保额为5万、10万、50万以及100万,交通银行则只有一档“5元保5万”的险种。
TIPS
相关阅读
标签: #网银被盗最新动态
