绿盟安全月刊->第57期->安全新闻 网络银行仿冒攻击防不胜防 工行、中行已连遭暗算

出处：新闻晚报
日期：2005-04-04

新闻晚报  

　　继去年年底的工行假网站疯狂敛财事件后，近日，一个网址为www.lcbc.com.cn/index.jsp的假工行网站又侵入了人们的生活；无独有偶，中国银行也在互联网上发现了一个“盗版”。短短几天内，四大国有银行半数“中招”，这在中国银行史上都是极为罕见的。针对网络银行的安全问题，今天上午，上海交通大学的施建俊博士建议：银行应有专业域名。

　　中行刚发用户警示 工行又遇“李鬼”网站

　　今天上午，记者登录中国银行网站英文版，在主页的新闻栏目(BOCNews)中，第一条就是中行的一个警示，其内容大致是：中国银行于上月25日接到了用户反映欺骗性网站的来信。据查，这一欺骗性网站(网址是www.banochi.net)是在北美地区注册的，跟中国银行以前的英文网站非常相似。目前中行正在采取措施消除这一欺骗性网站造成的影响。

　　“请所有用户使用中行网站时要确定网址的准确性。”昨天上午，中国银行总行有关人士向媒体透露。

　　就在中国银行忙着“打假”的同时，中国工商银行的有关人员也为另一桩假冒银行事件焦头烂额。

　　近日，一个网址为www.lcbc.com.cn/index.jsp的网站开始进入人们的视线，由于和工行网站只有一个字母的差别(工行网站为www.icbc.com.cn)，因此有极大的欺骗性。据北京一媒体报道，网友小姚从一个名为“利好交易网”的网站，点击进入了工行网上支付系统，他在输入了自己的卡号和密码后却无法登录。小姚说，他当时发现这个工行网站和去年被媒体曝光的那个假网站有些像。因为害怕对方盗取钱财，他赶紧跑到附近的工行，取出卡里的大部分钱，只留下71元。几个小时后，小姚再次查询余额，发现卡里只剩下1元钱，70元钱已经不翼而飞。小姚相信就是那个工行网站骗走了自己的钱。

　　银联发“网络身份证”　提供交易保证

　　假银行网站将不少消费者们骗得团团转，但在专家看来，这些黑客其实只是耍了三角猫的伎俩。

　　“实际上假网站这种欺骗手段十分低级”，银联下属的中国金融认证中心总经理李晓峰说，出现这类事件的主要原因是用户对于网上银行的正确使用还不是特别了解，对于网上银行的安全问题没有足够的防范意识。“如果客户能够正确使用，提高安全意识，类似假网站骗钱的事件完全可以避免。相对于假网站，真正高级的欺骗手段是通过病毒程序盗取密码。”

　　对于这类事件的防范，李晓峰表示，中国金融认证中心作为独立于交易行为第三方，推出了CFCA网上银行数字证书，并与十多家银行、16家证券商、13家基金商建立业务联系，将通过建立第三道防线———网上银行数字证书，避免网上银行被盗事件的发生。“十届全国人大常委会第十一次会议表决通过了《电子签名法》，信息产业部审议并通过《电子认证服务管理办法》，确定了一个权威性公信力的第三方作为安全电子认证中心存在的法律地位。”

　　“在现实生活里，派出所会给我们发身份证，在虚拟的网络世界里，由第三方提供的数字证书就是一张网上数字身份证。”李晓峰做了个形象的比喻。

　　“网上银行数字证书能为电子商务双方三个保证。”李晓峰介绍，一是能保证交易双方身份真实确定；二能保证交易数据完整、不可篡改；三能保证交易后双方不能抵赖。自2000年6月投放第一张网上银行数字证书至今，中国金融认证中心共发出证书40余万张，为国内20余家商业银行提供认证，证书发行量全国最大。