網(wǎng)上支付、轉(zhuǎn)賬匯款、繳費購物，網(wǎng)上銀行無疑給生活帶來了極大的便利，與此同時，網(wǎng)上銀行的安全性也一直困擾著用戶。釣魚網(wǎng)站、木馬竊取信息導致儲蓄賬戶資金被盜的案件時有發(fā)生，按說老百姓的錢存在銀行，結(jié)果被盜了，銀行多少得負一定責任。而經(jīng)《IT時報》記者調(diào)查發(fā)現(xiàn)，由于舉證困難，同時一些銀行使用由自己頒發(fā)的電子簽名，“既做運動員，又做裁判員”，從而導致這類案件中用戶起訴銀行獲勝的概率接近為零！

　　現(xiàn)狀調(diào)查 網(wǎng)上銀行沒那么安全

　　農(nóng)民破解“U盾”盜竊30萬元

　　今年4月14日，北京市西城區(qū)法院受理了一項網(wǎng)上銀行盜竊罪案件。受害人李女士表示由于經(jīng)常使用網(wǎng)上銀行，為安全考慮，她特意購買了工行的“U盾”，本以為“有盾無憂”。結(jié)果2010年9月2日，李女士發(fā)現(xiàn)自己的網(wǎng)銀被竊，1個月前已經(jīng)轉(zhuǎn)出1萬余元。同樣，服裝廠老板肖先生在使用電腦剛要進行網(wǎng)上轉(zhuǎn)賬時，電腦突然白屏，隨后查詢余額發(fā)現(xiàn)29萬元不翼而飛。

　　這兩起網(wǎng)上銀行盜竊案出自同一人之手，僅有初中文化程度的25歲農(nóng)民琚文輝。琚文輝坦承自己通過木馬程序控制用戶電腦，一旦用戶將U盾插入電腦，他便利用U盾還未拔下的時間差，迅速登錄對方的網(wǎng)銀，把錢轉(zhuǎn)走，整個過程不到30秒就可以完成。琚文輝坦承自己在短短的幾個月內(nèi)，已經(jīng)破解了20多位U盾用戶的賬號、密碼和U盾密碼，并4次盜竊得手(其中兩次因金額少，未報案)。

　　根據(jù)中國工商銀行網(wǎng)站的官方描述，“U盾是工行推出并獲得國家專利的客戶證書USBkey，是工行為您提供的辦理網(wǎng)上銀行業(yè)務的高級別安全工具。U盾是用于網(wǎng)上銀行電子簽名和數(shù)字認證的工具……確保網(wǎng)上交易的保密性、真實性、完整性和不可否認性?！?/P>

　　事后當媒體采訪琚文輝時，他卻淡淡地說出“其實沒什么技術(shù)含量”，“銀行U盾在使用上有漏洞，總能想出辦法”。

　　看來，銀行提供的電子簽名遠沒有口中說的那么安全。

　　網(wǎng)銀被盜愈演愈烈

　　類似的問題不止一例。數(shù)據(jù)顯示，2010年全國城鎮(zhèn)人口中，個人網(wǎng)銀用戶比例為26.9%，比2009年增長了6個百分點，網(wǎng)絡銀行的滲透率進一步提高。在業(yè)務激增的同時，網(wǎng)銀的安全問題也日益突出，釣魚、木馬魚貫而出，網(wǎng)銀日漸成為釣魚、電話詐騙的重災區(qū)。

　　根據(jù)瑞星發(fā)布的《2010互聯(lián)網(wǎng)安全報告》，2010年新增“釣魚網(wǎng)站”175萬個，比上年增長1186%。在上當人數(shù)最多的十個“釣魚網(wǎng)站”，超過一半仿冒購物網(wǎng)站和銀行網(wǎng)站，作案目標直接指向網(wǎng)銀用戶。

　　曾有人對北京地區(qū)2006年至2010年5年間的36起網(wǎng)銀失竊及相關(guān)案件做過調(diào)查，在被盜竊的銀行賬戶中，很多人已經(jīng)使用了號稱“安全性能最強”的U盾等電子簽名。其中，利用編程等高深手段竊財?shù)闹挥?起，占25%；而利用木馬程序盜竊的有13起，占36%。其余為利用一般手段盜取密碼，通過網(wǎng)上銀行轉(zhuǎn)賬竊財。

　　而更讓人驚訝的是32名被告人當中，大學文化的有14人，高中文化的10人，初中文化的8人，后兩者占總?cè)藬?shù)的56%?？磥砥平饩W(wǎng)銀密碼并不是大多數(shù)人所想象的高學歷者才能掌握的高深技術(shù)，甚至有人謔稱為“沒什么技術(shù)含量”，雖然有些夸張，但也反映了網(wǎng)銀系統(tǒng)還存在諸多漏洞。

　　用戶維權(quán)：僅有一例成功

　　“在因網(wǎng)上銀行產(chǎn)生的各類糾紛中，由于取證困難，用戶維權(quán)極難，目前投訴成功案例僅一個。”上海泛洋律師事務所律師、上海律協(xié)信息網(wǎng)絡高新技術(shù)業(yè)務委員會副主任劉春泉律師告訴《IT時報》記者。

　　劉春泉所指的唯一案例是發(fā)生在2005年的“洪榮堯”案件。有人假冒“洪榮堯”名義偽造身份證在農(nóng)業(yè)銀行溫州分行開通了網(wǎng)上銀行業(yè)務，并獲取了網(wǎng)上銀行的客戶證書和密碼。注冊成功后，犯罪嫌疑人將借記卡內(nèi)的錢通過網(wǎng)上銀行轉(zhuǎn)至他人賬戶。由于被冒領的款項無從追回，法院最終判決銀行負主要責任，賠償用戶90%的損失。

　　“當時農(nóng)行犯了低級錯誤，在犯罪嫌疑人偽造的身份證號碼與儲戶的身份證號碼完全不同的情況下，農(nóng)行工作人員給用戶開通了網(wǎng)上銀行，所以銀行負主要責任?！眲⒋喝蓭煴硎荆骸案鶕?jù)民事法律原則，誰主張，誰舉證，目前大部分網(wǎng)上銀行被盜案例，或是因U盾系統(tǒng)受到攻擊，或是因密碼被盜等等，用戶是無法舉證的，因而打贏官司的概率幾乎為零?！?/P>

　　早在2006年，曾有400多位儲戶的工行網(wǎng)上銀行被盜，受害者自發(fā)成立工行網(wǎng)銀受害者聯(lián)盟投訴工行，由于無法舉證，銀行以客戶自己泄露密碼和個人信息導致資金損失為由，不承擔責任，此事不了了之。

　　北京《法制日報》記者曾對北京地區(qū)所有法院做過調(diào)查，歷年來凡是跟網(wǎng)銀有關(guān)的案例，用戶起訴銀行，沒有一例獲勝。北京中廣維天法律服務所主任蘆爭也表示，在現(xiàn)實中，一般百姓和律師們普遍不具備高深的電腦知識，甚至連電腦是不是被種了木馬都弄不清，讓他們?nèi)ヅe證證明銀行的網(wǎng)上銀行系統(tǒng)本身有漏洞，實在勉強。

　　背后解密 銀行為謀利自建“電子簽名”

　　除了蘆爭所談到的百姓和律師不具備高深的電腦知識、難以取證外，網(wǎng)上銀行被竊案件取證難背后還有一大不為人知的原因。早在2005年4月，我國就已經(jīng)實施了《電子簽名法》，根據(jù)該法，電子簽名要進行第三方認證，需要由依法設立的第三方認證機構(gòu)提供認證服務。按照此規(guī)則，各大銀行的網(wǎng)上銀行U盾或類似的電子簽名認證必須由第三方認證機構(gòu)來提供認證服務。

　　據(jù)了解，我國依法設立批準的第三方認證機構(gòu)有30多家，但銀行認證服務目前大部分由中國金融認證中心(CFCA)實施提供。CFCA市場部總經(jīng)理郭宏杰告訴《IT時報》記者，在銀行數(shù)量上，94%的銀行都采用了中國金融認證中心的認證，但是從用戶數(shù)來看，國內(nèi)前幾大銀行均沒有完全使用第三方認證。據(jù)介紹，工行和建行其采用的電子簽名認證有兩種，一種是銀行自己進行的認證，另外一種是CFCA的第三方認證。而農(nóng)行、中行、招行采用的均是銀行自己的認證系統(tǒng)。

　　“銀行自己推U盾認證，這相當于銀行既是運動員，又是裁判員。一旦銀行和用戶之間發(fā)生糾紛，銀行自己的電子簽名認證系統(tǒng)難以保證會為用戶提供完全公正的服務。”劉春泉表示。

　　問題是為什么有第三方的認證機構(gòu)，幾大銀行棄而不用？劉春泉認為其背后是利益之爭。目前，以招行USB-KEY為例，售價60元一個，銀行的用戶是幾千萬數(shù)量級的，以1/10的用戶使用USB-KEY為例，這筆就是幾千萬甚至上億元的收入，大大超過了其研發(fā)投入。而如果采用第三方認證機構(gòu)，則意味著這部分利潤將被第三方機構(gòu)所獲得，銀行顯然不愿意。

　　“雖然《電子簽名法》不是強制的，但無論是按照電子簽名法還是相關(guān)的管理條例，我們都建議采用第三方機構(gòu)來認證?！惫杲芨嬖V記者，“目前我們與一些銀行正在接觸商談，也有的表示愿意推進第三方認證。”

　　專家建議 引入保險 為網(wǎng)銀失竊護航

　　網(wǎng)上銀行賬戶被盜以后，經(jīng)?！俺恫磺濉笔钦l的責任，針對這種情況，劉春泉律師建議網(wǎng)銀失竊的比例畢竟較低，銀行應該和保險公司合作，以轉(zhuǎn)移風險，從源頭上解決糾紛。據(jù)了解，目前太平洋保險公司已經(jīng)和交通銀行、民生銀行推出銀行賬戶盜竊保險。該險種保險期限為一年，針對民生銀行網(wǎng)銀的保險，保費有5元、10元、40元、70元四個檔次，相應的保額為5萬、10萬、50萬以及100萬，交通銀行則只有一檔“5元保5萬”的險種。

　　TIPS

　　網(wǎng)銀用戶五大高危操作

　　一、上網(wǎng)購物時打開陌生人發(fā)來的文件；

　　風險：電腦感染網(wǎng)銀木馬，使網(wǎng)銀支付鏈接被木馬劫持。

　　二、輕信并訪問短信或郵件中的網(wǎng)銀鏈接；

　　風險：在釣魚網(wǎng)站登錄網(wǎng)銀賬戶時，賬戶密碼及動態(tài)口令會直接暴露給黑客。

　　三、使用網(wǎng)銀后沒有及時拔下U盾；

　　風險：在電腦中木馬的情況下，插著U盾相當于打開了黑客侵入自己網(wǎng)銀賬戶的大門。

　　四、電腦從不打補?。?/P>

　　風險：黑客通過“自動抓雞器”把木馬植入存在漏洞的電腦，實施遠程監(jiān)視和控制。

　　五、沒有為網(wǎng)銀設置專用密碼。

　　風險：很多人習慣“一個密碼闖天涯”，無論是網(wǎng)銀、支付，還是聊天、網(wǎng)游賬戶，統(tǒng)統(tǒng)使用同一個用戶名和密碼。這樣，一個賬號被盜就可能導致包括網(wǎng)銀密碼在內(nèi)的所有賬號密碼泄露。因此，為網(wǎng)銀單獨設置專用密碼是非常有必要的。

    （編輯：Jesse）