本人亲身经历,有空先看看:
近段时间,各大银行的网上银行账户被盗的报道不时见诸各媒体,而工商银行更是“重灾区”,但作为工商银行本身,却一直以“用户密码保管不善、计算机病毒木马造成、登录了假网站”等理由拒绝向受损存户理赔,乃至有上百位工行网银受害者组织起来,成立了“工行网银受害者维权联盟”网站,向工商银行进行维权。
很不幸,羊城网友周刊的资深责任编辑小High最近发现,她自己也成为了工行网银受害者中的一员:小High在9月20日中午到工商银行补登存折纪录,却发现自己的网上银行账号的钱被人分两次转走了,两次转入账号是来自于潮阳的,而她却并不认识账号的持有人,之前也根本没有与之发生过任何的钱财交易关系。
小High称,作为资深的网民她一直十分注重电脑的信息安全,电脑中安装了病毒和网络防火墙,并及时更新病毒特征。而经过此次事件后,她也特意找来多款杀毒软件对电脑进行查杀,但仍然没有发现任何的蛛丝马迹。她的账号密码也设得较为复杂,也没有登录过登录了假网站,故此由于自己的不慎导致此次钱财被窃的可能性不大。
在小High向工商银行提出投诉时,对方则要求必须先有公安局立案方能处理,但当她下午请假前往派出所要求里案时,接警的警员却对她陈述的内容一面懵然:“提款卡和存折不是都在你手中么?怎么能证明你被偷了?你让银行出证明吧!”直至再次致电110投诉时,最后警员才肯立案,但至发稿止,该案仍未有任何的进展。
“工行网银受害者维权联盟”的发言人对羊城网友周刊指出:“我们都是由于非自身原因,被罪犯利用工行网银漏洞造成牡丹灵通卡存款被盗的。我们向工行维权,工行不是不予接待;就是推说我们登录假网站、密码保管不善和计算机病毒造成的,把我们妖魔化为弱智群体,然后把我们一脚踢到公安机关……”
羊城网友周刊的首席系统安全顾问认为:“工商银行之所以成为网络银行频频被盗的重灾区,跟其认证机制是有极大的关系。工商银行的储户们即便没有开通网上银行服务,但只要有人使用了存户的卡号、密码和身份证号,就可以在网上用这些的资料开通网上银行,从而利用网上购物在线支付的方式将存户的存款消费一空。要取得存户的卡号、密码和身份证号并不困难,不少的商业服务或者网上服务都需要登记客户的银行卡号和身份证号的,而恰恰很多客户都是以其出生日期作为密码的,即便不是以其生日期作为密码,六位数的纯数字密码对于现在运算速度如此高计算机来说,枚举出来也是轻而易举的。对于有一定技术而有心生歹意的黑客而言,盗取工商银行客户的钱财简直跟盗取传奇游戏账号一样简单。”
有论者认为,现在工商银行网上银行被盗事件之所以越演越频繁,银行作为服务提供者的责任不可推卸:第一,世界上并不存在没有在任何漏洞的计算机系统,银行自身的系统亦然,银行不应该将一切被盗的可能性都归咎于存户身上;第二,相对于存户,银行自身掌握着最大的信息资源,因此有关举证的责任也应该由银行承担;第三,银行为了方便推广业务,而将认证机制设定得如此简单,其实根本就是适得其反——一个安全性得不到保障的服务,就算再方便又有谁敢用呢?而作为公安机关,随着同类案件的日渐增多,应对警员或者相关的部门提供足够的技术培训和支援,不能以被盗金额少又或是社会影响力不大,就不予重视。
早在去年5月30日,香港金融管理局、香港银行公会及香港警务处联合宣布,香港银行界推出网上银行的双重认证。鉴于网上银行服务日渐普及,网上银行诈骗伎俩层出不穷,香港银行界达成普遍共识,客户若要进行上述交易,须采用双重认证。认证方法有三种:电子证书、通过手机短信发出只用一次的密码,以及由保安显示器发出只用一次的密码。香港的经验值得中国大陆的银行业参考。
