来源北京青年报
近日,中国工商银行网上银行账户密码被盗事件备受关注。向小姐的3120元存款10分钟内被连转三账户,受害者组建了"网上工行受害者联盟"QQ群,目前有70多人加入。由此引发了一系列疑问:网上银行安全吗?网银被盗的损失由谁承担?如何防止网银被盗?
●网银被盗只是少数现象
工行网银被盗者达到70多人,那么会不会对工行造成损失呢?工行的网银用户是否会急剧减少?记者致电询问中国工商银行相关部门,得到的答复是,工行的网银相对来说比较安全,账户密码被盗只是少数现象,不会给工行造成损失,大多数网银用户对工行十分信任,成为这里的长期用户。工行网上银行的安全性能已经达到国际先进水平,曾多次在国际上获得网银大奖,完全能够很好地防范网络病毒的侵入。
目前,工行网上银行已经采取了防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施来保障网银安全。但70多名受害者的损失是否被追回,工行方面表示,目前还不太清楚。
●谁将为这笔损失买单
目前,工行网银的受害者来自北京、南京、杭州、合肥等十几个城市,被盗金额多达30万元以上。那么,谁将为这笔损失买单呢?银行是否应该承担一定责任?记者采访了赛德天勤律师事务所的蔡耀忠律师,他说:"网银盗窃者的手段不外乎两种,一种是假银行网站链接,直接发送假地址或者利用微软IE浏览器的漏洞,从而避开网上银行系统的安全认证,记录用户输入的账号和密码。另一种手段就是利用木马程序,入侵银行客户的电脑。从法律上来看,这都属于恶意第三人所为,采用非法手段获得信息,应该承担刑事责任。损失一般是谁有过错谁承担,公安机关将追究网银盗窃者的刑事责任。如果追不回,那么就是一种风险,损失一般由个人承担,用户中招也存在一定的疏漏。银行在无过错的情况下,是不承担责任的,因为所有的防范措施都不可能尽善尽美,俗话说,道高一尺,魔高一丈,对于这种技术犯罪,我们应从技术上防范。"
记者去工商银行北京市分行申请网银业务时,银行人员递给我一张电子银行个人客户注册申请表,记者发现申请表背面就是《中国工商银行电子银行个人客户服务协议》,约定了甲方(客户)乙方(中国工商银行北京市分行)的权利和义务,有些条款非常有意思:第三条第五款"乙方根据甲方的电子银行业务指令办理业务,对所有使用甲方注册卡号、客户编号、密码及客户证书进行的操作均视为甲方所为,该操作所产生的电子信息记录均为乙方处理电子银行业务的有效凭据。"即使是假冒客户的信息进行操作,银行也概不负责。还有一款"乙方对于电子银行所使用的相关软件的合法性承担责任",仅仅强调软件的合法性,用户的安全性保障在哪里呢?
记者询问了该银行业务经理,"如果个人网银的账户密码被黑客盗取,造成损失,由谁承担呢?"业务经理说:"承担责任看哪一方,如果个人网络终端被黑,责任由个人承担,如果工商银行整个系统被黑,导致客户账户密码泄露,那么责任由工行承担,但这种情况基本是不可能的,因为工行安装了防火墙等装置。""据说工行网银用户有70多人密码被盗,如果我的存款也被非法转走,那么损失能被追回来吗?""一般是很难追回来,损失达到3000元以上公安机关才立案,小额的不受理,查也很难查出来,你买个U盾就好了,70多块钱。"
银行对安全性造成的任何损失都不承担责任,是否属于"霸王条款"呢?这种规定有效吗?记者咨询了中策律师事务所的金忠律师,他说:"这属于格式条款,格式条款的好处是方便,但也有一些特殊规定。格式条款要遵循公平原则,不能单方面强调对方义务,单方免责要明示,否则无效。在能做出两种以上解释时,不能加重对方责任,排除对方权利。单方加重对方责任减免自己责任时,一般也无效。"金律师说,如果由于用户进入假页面,泄露密码,那么自己也有过错,责任归自己承担,如果是银行系统出现错误和缺陷,则由银行承担责任。
●网上银行防盗须知
中国工商银行电子银行部专家说,客户的安全意识不强,没有保护好自己的账号、密码等敏感信息,是导致目前绝大多数网银资金被盗案件发生的根本原因。网银防盗要注意以下几点:
第一,密码设置要唯一。在近期破获的一起网银案件中,犯罪分子攻破了一家小网站并窃取了该网站的客户信息,而该网站部分客户在普通网站上的密码和网上银行密码设置相同,给了犯罪分子可乘之机。专家强调,网银密码最好不要与电子邮箱密码或其他网站的注册密码相同,用户设置的支付密码也不要与登录密码相同,以充分发挥工行网银双重密码保护的作用。
第二,使用"U盾"电子证书。U盾是一种外形类似U盘,基于智能芯片加密技术的数字证书。U盾是网上银行的物理"身份证"和"安全钥匙",是目前安全级别最高的一种网银安全措施。
第三,正确登录工行网址。工行的确切官方网址是www.icbc.com.cn,市民尤其要警惕最近网上出现的对工行网址进行局部微小变更、欺骗性强的恶意网站,比如将"icbc"变为"1cbc"或是显示工行页面的mybank.iclc.com.cn等等。
第四,操作谨慎,安装"木马墙"。客户最好是能安装正版杀毒软件和带有"木马墙"的防火墙,并及时进行更新,同时打开实时监控功能阻击网络病毒入侵。定期下载安装最新的操作系统和浏览器安全程序或补丁,并将计算机中的hosts文件修改为只读。
