济南信息港
娱乐
当前位置:首页 > 娱乐

假冒狆行网银血洗客户涉数千万资金7z7z

发布时间:2019-06-15 03:55:23 编辑:笔名

为什么是中行:动态E令容易被攻破利用, 密码单一防火墙脆弱,上银行无须密码即可开通银行

理财周报 冀欣/文

近一个月内众多中行银客户先后经历惊魂300秒,账户内资金瞬间被钓鱼站洗劫一空。中国互联信息举报中心监测数据显示,近期银盗窃侵财型案件举报甚多,特别是假冒中国银行站大幅增加,数量已多达近70个。针对中行银的高智能诈骗案呈高发态势,并以惊人速度向全国蔓延。

一时间,人人自危。中行陷入舆论风暴眼,不得不面对安全性的质疑和考验。

假冒中行银诈骗案件井喷

2011年1月13日,南京的王言(化名)先生突然收到一条短信:尊敬的银用户,你的中行E令将于次日过期,请尽快进行升级,给您带来不便请谅解,详询95566(中国银行)。

而王先生正是中国银行的银用户,王先生向道:银行的客户经理平时也常发短信提示用户办理各项业务,所以王先生虽然发现是来自一个陌生,但也并没有产生怀疑,随即利用电脑,根据短信提示的内容登录短信内的中国银行的址,并未发现异常,便根据页提示,输入自己的用户名、密码以及随机产生的中行E令(动态口令)等信息,在页面显示升级成功。王先生在退出页面后猛然发觉不对,再次登录时,发现自己账户内的100万元已经被全部转走。

无独有偶,来自深圳的黄先生也遭遇了同样的经历。其账户内存款被分四次转出,只剩下零头。而绍兴的一位商人则被同样的手段骗取资金接近200万元。

上述几位受害者告诉理财周报,近期江苏浙江地区此类案件高发近乎猖獗。全国范围来看,涉案金额应已接近1个亿,保守估计少也超过4000万元。超过百万元的大案并不鲜见。

究竟在这短短的一个多月里,有多少客户的资产遭到假冒中国银行钓鱼站的侵蚀,暂难获得准确数据。但是事态的严重性已从公开信息中得到证实,据不完全统计,仅1月10日-20日之间,江苏省此类案件就发生上百起,浙江省也有近50起,涉案总金额巨大。据金山络云安全中心统计数据显示,近期已有超过5万名用户访问过中国银行的仿冒站。

据了解,上述案件中犯罪分子的作案手法如出一辙。受害人均收到陌生号码发送的短信,提示其银行银动态口令将于次日过期,让其尽快登入中国银行站进行升级。一旦事主登录短信内留下的站,所输入的银用户名、密码、动态口令等就会被钓鱼程序窃取,其银账户内款项在几分钟内被迅速转走。

E令设计被疑潜藏安全漏洞

有关钓鱼站的诈骗相信都早有耳闻,不少银行也都会面对此类的困扰,但是为什么如此集中于中国银行,很多人都在疑问。

中国互联信息举报中心主任助理郝志超曾在接受采访时有所言明:中行的银系统还是有问题的,它的动态E令被犯罪分子利用了。中国互联信息举报中心已经敦请中国银行进一步完善银业务流程,不给犯罪分子可乘之机。

E令到底存在怎样的问题?

中国金融认证中心相关负责人告诉,目前用户端银安全工具主要包括:数字证书、动态口令、验证三种。得到广泛使用并且安全保quo;)之中。用户在登录银行站进行交易时,在电脑上插入Ukey,就相当于向银行亮出络身份证。

UKey硬件本身有一个PIN码,相当于我们银行卡的密码,当用户在电脑中插入UKey时,只有在输入PIN码以后才能使用。同时,UKey证书中不仅包含用户的身份信息,还包含另外一段由用户独有的特殊数据信息,在学术上叫做私钥,只由用户自己所特有,而且每个用户持有的都不相同。用户每次在银中交易时,交易的关键信息都会送入USBKey,在USBKey中进行电子签名。简单来说,只要USBKey在用户手中,黑客就很难拦截这个密码,即使得逞也难以完成转账。招商银行、工商银行等目前采取的就是以USBKey为主的安全工具。

而中国银行选择的是用动态口令保护用户银安全。动态口令就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式在用户处产生一个随机变化的密码,同时银行处也能产生一个相同的密码,用户使用这个密码登录银时,两个密码相比较,若匹配则表示已通过验证,用户可进行下一步的操作。

中行E令,实际上就是电子动态口令生成器,是由中国银行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成,根据专门的计算法则,每隔60秒会自动更新一个动态口令,要求用户在60秒内输入,以保障银操作安全。然而此轮银诈骗,绝大部分案例都以中行E令为幌子,众多用户质疑号称动态安保的中行E令此时已形同虚设。

中行工作人员对此回应称,中行对个人银账户的安全防范是获得国家有关部门认可安全可靠的。诈骗发生,主要是用户登录假站,被骗取密码和动态口令所致,跟银本身的设计没有什么关系。

论坛开发成小程序
如何在微信开微店
鼻窦炎