007妈妈 2006-9-14 11:20
有关网银,给大家提个醒
转自20060914《东方早报》
2小时14万存款网上失踪 卡主购房款通过网上支付形式被一夜刷光 银行未有任何措施遭质疑
早报记者孙翔
还有6天,黄颜菲(化名)就要支付她人生最大的单笔购物款了——为了支付在康城小区所购期房的第二笔付款,她在自己的银行账户里存入了14万元。然而就在一夜之间,14万元的存款被神秘人通过网上支付全部花光。
回忆:深夜10时来自银行的电话
黄颜菲是一个资深的网上卖家,在易趣、淘宝等网站都开有自己的小店。9月8日晚上10:40,怀有5个月身孕的她正准备休息,突然接到了一通奇怪的电话。
“电话是广东发展银行打来的,银行工作人员说,有人在网络上试我的信用卡密码,问我和我的亲友有没有人在进行网上交易。”黄颜菲随后确认了身边无人在进行网上交易。广发银行工作人员随后告诉她,由于网上交易输入密码错误次数太多,她的广发行信用卡已被冻结。
“我觉得这件事情很奇怪。”黄颜菲立即上网查询了自己多张信用卡的余额,均未发现异常后,她才安心地睡下。
事发:2小时14万存款网上刷光
然而两天之后,当她去J银行存款时,查询结果却让她大吃一惊。
“借记卡里的14万多元,现在只剩下了25元!那可是我们准备付房子的第二笔钱,是最多的一笔!”
在打印了详细对账单后,黄颜菲发现了更让她吃惊的信息:14万多元中的绝大多数都是在9月8日晚11:15到9月9日凌晨1:24之间,通过网上支付的形式支出的。这一切都发生在广发银行那次密码错误提醒电话之后。黄颜菲意识到,当晚遭人“下手”的不止一张银行卡。
根据J银行提供的交易明细,9月8日下午1:03,黄颜菲的借记卡记录里出现第一次网上支付请求,支付金额为5000元;10小时之后的23:15,出现了第二次交易请求,之后短短129分钟里,连续出现交易记录,其中最大的一笔支出了10360元;到9月9日凌晨1:24,有人通过36笔网上支付交易,花完了卡里总计143282.64元人民币。
疑问:密码从未在网上输入过
“有人在网上盗用了我们的密码!”黄颜菲的丈夫程昌嵩(化名)了解到交易记录后也非常意外,作为信息安全领域的博士,他感觉到问题并不简单。9月11日晚,夫妇两人向闵行警方报案。
“这件事太奇怪了,因为我们的取款密码从未用过。”黄颜菲回忆说,被盗密码的银行卡是专门用来存款的账号。之前这张卡所有的支出,都是通过网上转账转出的,而网上转账的动态密码和网上支付的固定密码完全不同。去年9月开通账户时,她开通了网上支付功能,但是自修改初始密码之后,他们从未进行过网上支付交易,也从未在ATM机上取过款。“直到出了事情,我们才知道网上支付的密码就是ATM机取款的密码。我们自己都没有用过密码,更不用提泄漏密码了。”
“我们怀疑,是有人通过不断尝试,最后试出了密码。”程昌嵩表示,第一笔网上支付提请时间是在下午1时,和第二笔交易相差10个小时。这期间存在有人在提请交易后,通过某种软件不断尝试破解密码,直到最后成功的可能性。
处理:银行承诺提供紧急贷款
“根据我们的经验,有人通过暴力破解的方法破解我们密码的可能性很小。”J银行工作人员昨天下午接受早报记者采访时表示,根据以往类似案件的经验,事件很可能是客户的熟人所为,他们由于了解持卡人的个人信息,可以通过多种组合猜测密码,直至最后成功。
对于银行的这种说法,黄颜菲夫妇认为虽然不能排除上述可能,但银行对于短时间内大金额的网上交易异常情况毫无预警,应该承担一定责任。
昨天下午,黄颜菲夫妇和J银行方进行了协商。银行方面表示将继续对客户负责,并和警方密切合作调查此事。了解到这消失的14万元是夫妇购房的付款,且17日即将交款,银行方面表示愿意提供14万元左右的紧急商业贷款。
但对黄颜菲夫妇来说,他们失去的不仅是14万元现金而已。“以前一直看到新闻说网上交易不安全,现在我们对网上银行的安全也没信心了。”黄颜菲透露,她身边的几位朋友听说了她的经历后,关闭了自己银行卡的网上银行业务。
目前闵行警方正在调查此案。
网络银行盗窃案频发
据国家相关部门统计,目前中国已经有20多家银行提供了网络银行服务,其用户超过了2800万。
但网络银行盗窃案件却频频发生,网络银行的安全性令人担忧。2000年8月发生在英国的Egg互联网银行数十万英镑资金的盗窃案,号称是全球第一起网络银行盗窃案。从此,世界各地陆续发生网络银行盗窃案件。
键入“网络银行盗窃”,百度一下找到相关网页约21900篇,而Google搜索结果则为634000篇。在国内,北京、上海、武汉、广州等全国多个城市均发生过网络银行盗窃案件。而今年9月初,福建省泉州市中级人民法院也开庭审理了迄今为止国内网上盗窃个人存款金额最大案——晋江“5·11”网上盗窃777万元银行存款案,一审判处中国农业银行晋江市支行全额赔偿储户损失,并支付相应的违约金。
于松 吴真真
争议一 密码是否被人暴力破解?
争议起因 第一笔交易提请时间和第二笔交易提请时间之间存在10小时时差,且网上支付密码和ATM取款密码一样,是一个由0至9数字组成的6位密码,所以存在通过不断试错,暴力破解的可能性。
受害人 网上支付的密码从未被使用过,不存在木马盗取密码的可能。密码只有夫妇两人知道,亲友盗款的可能也不大。而J银行网上交易需在6次输错密码后才锁定账户,经尝试,确认可以通过不断提起新交易,每次尝试5次密码的方式来猜测密码。
银行 根据以往的经验,熟人泄漏密码、电脑中毒、密码设置密度不高、身份证丢失或遭遇偷窥、陷阱等原因,是导致遭遇网络密码盗窃的主因。银行有健全的安全机制,此前并未发现有暴力破解密码的类似事件的先例,暴力破解的可能性不大。
争议二 交易为何未受数额限制?
争议起因 中国人民银行曾发布了《电子支付指引(第一号)》文件,其中规定银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。
受害人 我们从未开通过数字证书、电子签名服务,而在36笔异常交易中,交易金额从1139元到10360元不等,每笔都超过了1000元人民币。如果银行是严格遵守中国人民银行的电子支付指引来操作,就不可能发生在2小时内被盗取14万元的事件。
银行 事发的网上交易请求并不是向银行平台提出,而是通过银联平台提出。中国人民银行的电子支付指引针对的是银行平台的交易。银行本身有自己的预警机制,只要开通了短信通服务,每次现实和网上消费都可以通过短信告知持卡人,但受害人没有开通这项服务。 孙翔于松/吴真真.
宏哥 2006-9-14 14:33
以前不会,最近好不容易进步了,刚开通网上银行,又出这事儿。.
小越妈妈 2006-9-14 17:29
我怀疑是用聊天软件中了木马,那个银行客服的电话也是对方假冒的,黄小姐上网对帐输入了密码、帐号,刚好被木马程序盗取。作案的人应该是与黄小姐身边的,或是与她有过交易往来的人。.
syucca 2006-9-14 17:36
教训
大金额的存软卡(就不用办硬卡了),小金额的用网银卡.
kaseling 2006-9-14 20:41
现在网上是停不安全的。我的QQ就被盗了,呵呵。。。跑题了。[em14].
naturezy 2006-9-14 21:25
我也经常用网银。不过在工行办理了一个电子证书,象U盘那样,必须插在电脑上,款项才能汇出。工行说,这样就根本不怕别人破解了你的密码。也不知是不是真如他们说的这么安全。[em09].
amy妈妈 2006-9-15 09:04
吓人,以后凡是不认识人的电话都要小心.还好,一般不会有这么多活钱放在手边[em04].
木头脑袋 2006-9-15 10:19
这个提醒太及时了[em01]
以后网上银行少放钱,没米总没有机会了吧[em16].
smalltree 2006-9-15 12:15
电脑中木马了.
默默祝福 2006-9-15 12:41
受害人的老公作为信息安全领域的博士应该防范性更高点吧,我认识的一位老师也是计算机程序研究开发方面的博士,从来都不使用网上支付!.
happy.sandy 2006-9-15 15:04
经常用网银的,办了个工行的U盾,据称是非常安全的。反正经常是卡上没钱,盗了也没用的。[em16] [em16].
花蝴蝶 2006-9-16 13:16
我的网上银行卡始终保持在500块以下,就是被盗损失也不至于太严重。.
紫色阳光 2006-9-24 12:01
[em16] [em16] 一样一样滴[quote]原帖由 [i]happy.sandy[/i] 于 2006-9-15 15:04 发表
经常用网银的,办了个工行的U盾,据称是非常安全的。反正经常是卡上没钱,盗了也没用的。 [/quote].
fei0210 2006-9-24 12:37
我也一直收到短消息说什么我在外地刷了多少钱~从来不理的.
kouaihei 2006-9-25 10:23
回复 #9 naturezy 的帖子
我也用这个的.
kouaihei 2006-9-25 10:25
不过还是用我老公的工资卡开通的
是他自己开的[em17].