2019-10-11 来源:安全付 作者:Memory
一、用户风险防范意识较差
绝大部分案件是由于网银用户风险防范意识较差,没有采取必要的措施才导致“网银大盗”屡屡得手。用户安全意识的提高是有效控制网银安全案件的一个最重要的因素。综合说来主要有以下几种不良习惯会导致网银被盗风险加大:没有良好的保密意识,轻易将卡号、口令及其他信息透露给他人或被他人偷窥个人资料;防范意识薄弱,对犯罪分子设置的各种盗取密码口令的骗局缺乏警惕性;电脑中未安装杀毒软件,或未对杀毒软件经常进行升级:在公用机器上使用网上银行;登录网银时不仔细辨认网站真伪。但是,用户的安全意识提高是一个长期的过程,需要持续不断的宣传和各方的共同努力。
二、相关的提示信息不够充分
首先,许多用户并不知道在存折、银行卡之外,还有一个不需要物理介质就能进行账户资金操作的渠道一网银大众版或网上支付,而且在有的银行当中,这一渠道的开通并不需要本人亲自到柜台办理,只需知道卡号、密码、身份证号码即可;其次,除了个别银行对网银有明确的安全风险提示或说明外,大部分银行都只介绍网银大众版的便捷性,对有可能存在的风险缺乏应有的说明。
在用户开通网上银行的过程当中,有的银行柜员对于大众版网银与专业版网银的不同安全级别未能做出充分必要的说明,尤其是对于数字证书的介绍比较浅显和模糊,导致用户未能充分认识到数字证书的重要作用。例如在四川一例网银失窃案中,当事人虽然是由于电脑中毒才导致资金被盗,但她在申请办理网上银行业务时,虽曾了解到可以办理安全性更高的数字证书业务,但银行工作人员却告知她“做大业务才需要,一般转账数百元的不用办理”。在银行的这种提示下,用户对数字证书形成不了应有的正确意识,数字证书的应用不普遍就成为理所当然的事了。
三、网上银行的安全机制需要进一步完善
绝大多数的网银不安全案件都集中在网银大众版上。通过卡号、口令 个别银行需要个人证件号码就可以开通网银大众版,并不同程度地具有一定的账户资金转移功能支付、缴费。相对于以往直接盗取银行卡或伪造银行卡作案的方式,网银大众版降低的作案的难度,提供了一条脱离物理卡片就可以盗取用户账户资金的通道;同时,把银行的风险由网银用户扩大到所有个人用户,从总体上扩宽了银行面临的风险面;此外,这种直接使用卡号和密码的网银大众版本身又成为了不法分子盗取卡号和口令的重要渠道,即网银大众版不仅是盗取资金的渠道,同时也是盗取卡号、口令,滋生更多风险的温床。
交易限额的风险控制方式存在局限性。虽然许多银行都不同程度地规定了单笔交易、当日累计交易额、总累计交易额等来控制网银风险,但事实上大部分的网银案件中,不法分子都是通过多笔小额交易的方式作案。相对于柜面交易的时间、人力成本来说,互联网上单次交易的成本几乎可以忽略不计。而且互联网交易的不见面性使这种非正常的多笔小额交易很难及时察觉。因此,交易限额的方式很难有效控制风险。通过手机短信通知或系统及时判断账户异常状态等是相对更有效的风险控制方式。
网上支付的安全性有待提高。一些银行对大众版网银有比较严格的风险控制,如仅开通了查询功能,而没有缴费或支付功能,但对于网上支付机制却没有加以严格的控制。许多银行的网银和网上支付是两套独立的系统,两者采用的是不同的安全机制,其他人在知道用户卡号和口令的情况下,虽然无法通过网银进行转账,但却可以通过网上支付功能进行消费。此外,还可以通过电话银行、手机银行等其他多种渠道对用户的资金进行操作。账户资金的安全性取决于安全机制最低的环节。因此,银行在网.上支付环节安全机制降低就成为用户账户资金的风险点。
内部管理存在疏漏。由于银行对网银开户人的资料审查不严格,业务流程不规范,导致他人有机会假冒用户身份开办网银并盗取资金。或者银行内部工作人员与外部人员相互勾结,盗取用户资料私自替用户开办网银,再利用网银窃取用户资金。
四、电子支付安全风险的防范
网上银行的一些不安全隐患确实存在,但只要采取了足够的技术手段和管理措施,网银交易的安全性是可以确保的。网络是-一个互动的平台,安全性需要银行和客户共同来维护和保障,同时还需要相关社会大环境的不断完善。
1、正确使用数字证书
数字证书是迄今为止最有效的网银安全防范手段,用户只要正确使用,网银安全是完全能够得到保障的。从上述的案例中可以看出,绝大部分的案件都是集中在没有数字证书的大众版上。所以说,数字证书是保证网银安全的有效手段。
数字证书的合法性是恰当使用数字证书的基本前提。随着用户安全意识的逐步提高,越来越多的媒体和用户关注数字证书的合法性问题。例如《每日经济新闻》曾有一-篇报道就明确写道“部分银行网上交易系统所适用的数字认证CA)是自己颁发的。 而按照常理,CA只有由值得信任、中立的第三方颁发,才会具备一个身份验证的作用。银行自行颁发认证,纯属王婆卖瓜,一人身兼裁判与球员二职,网上客户自然只有任银行宰割的份了”。采用合法的第三方CA才能从根本上保证数字证书的合法性,符合国家法律的相关规定。
同时,正确使用数字证书也非常重要。如果使用不当,也会给不法分子造成可乘之机。首先,在数字证书的申请过程中,用户本身对于个人资料的保管不当使得他人有机可乘;其次,由于流程不规范、审查不严格或内部管理疏漏导致内外勾结等漏洞,使得他人可以冒充用户身份开办数字证书,利用网银盗取大额资金;最后,用户在使用环节中的大意也容易形成被他人攻击的突破口,例如将证书的密码轻易透露给他人,证书的存储介质未能妥善保存,让不熟悉的人接近存放证书的计算机等;还有,在证书存放的过程中,大部分用户仍然采用的是浏览器方式,这种方式的安全级别要低于USB-key的存放方式。
如何才能保证用户的正确使用呢?这既需要用户本身树立正确的使用观念,同时也需要银行不断采取各种措施加以保障。
银行方面:首先,从强化网银品牌、强化公众信心、规避风险的角度,银行需要加大对数字证书相关知识的宣传力度,多向用户介绍如何正确使用第三方数字证书;其次,银行尤其要加强证书办理流程的规范,严格审查用户资料,加强内控制度,防止内部人员的违法犯罪,先从银行内部杜绝可能出现的风险;再次,银行应多向用户推介USB-key的数字证书存储方式,加大促销力度,以带动此种方式的普及;最后,对于自建CA的银行而言,应当尽快采用;第三方认证机构的认证体系,第三方CA拥有合法的认证地位,拥有完善的安全管理机制和赔偿制度,使用第三方CA既符合法律规定也符合银行和广:大网银用户的利益。
用户方面:用户自己养成正确的使用习惯也很重要,例如妥善保管个人用户资料,防止被其他人盗取:妥善保管数字证书及其使用密码,避免无关人员的接触;采用USB-key的高安全级别存储方式等等。
2、对用户的宣传普及和正确引导
用户正确使用习惯的培养并非一朝一夕之事,需要各银行及相关机构长期不懈的努力。尤其是作为CFCA和银行,更应将提高大众的安全意识作为一项长期的责任,要起到积极的引导和推动作用。CFCA联合各银行发起的“放心安全用网银”联合宣传年活动就是一个很好的例子。宣传年活动的开展对网上银行的健康发展起到了良好的促进作用。
另外,银行从自身角度,也要本着负责任的态度进一步加强宣传和引导力度。包括在网站上提供相应的风险提示,印制并发放相关的网银安全知识等等。尤其加强对网点人员的培训力度,对用户做好引导工作。
3、改进业务管理的规则
一是改善大众版网银的业务规则。
由于大众版网银的安全级别较低,成为网银安全事故的多发地带,因此各银行应对大众版网银采取恰当的措施,规避风险。例如,关闭仅需要卡号、密码即可开通大众版的功能,用户必须要凭有效证件前往银行柜台才能办理网银业务;若用户只需要卡号、密码即可开通大众版,那么则应当对其功能加以限制,如限制用户只能查询,但无法使用缴费、支付、转账等涉及资金流转的功能;根据《电子支付指引》尽量控制大众版每日的交易限额,减少用户在万一账号遭窃情况下的损失。
二是改进网上支付等其他支付方式的业务规则。
尽量统一网上银行与网上支付、电话支付、手机支付等其他支付方式的安全机制。例如,其密码防范机制需要进一步完善,不应当出现.上述黄颜菲案件中网上支付密码就是取款密码的情况,两种情况下的密码应当需要分别设置;而且银行网上支付交易虽然可以在6次输错密码后才锁定账户,但经尝试后却发现可以通过不断提起新交易,每次尝试5次密码的方式来猜测密码,这是密码设置机制当中的一大漏洞。另外,对于涉及资金流转方面的功能也应适当地加以限制,对于涉及洗钱的行为更应加大监控。
三是改进与用户的沟通渠道。
银行应当采取多种措施改变目前与用户之间信息不对称的现状。如前面所述,加强安全知识的宣传固然是很重要的一方面,另外对于用户账户的任何变动,例如网银的开通,余额的变动,异常状况的发生等,银行都应当与用户之间建立一种顺畅的沟通渠道,让用户随时掌握自己账户的相关信息。例如手机短信就是一种非常方便、及时的方式。另外,对异常的账户变动应该建立一个预警机制,对可疑的操作能够尽早采取措施。
四是改进网站的防伪功能。
对于假网站等网络钓鱼手段的出现,除了需要用户自身注意认真辨别之外,同时也需要银行加强本行网站的防伪手段。防伪手段多种多样,例如银行可以开办网上银行“预留信息验证”服务,即用户在注册网上银行时,可以预留下验证信息,在进行网.上购物时,碰到链接的银行网站,用户就可以先检验验证码是否正确,如果不正确,则是假网站;另外银行还可以采用国际上较为流行的假网站监测及关闭服务,银行可以委托权威的域名管理机构,在网络上实施24小时监测,一经发现有假冒站点出现便立刻采取措施关闭该虚假站点。
