網(wǎng)銀詐騙案件的分析及防范

紀(jì)芳 薛亮

1遼寧警官高等專(zhuān)科學(xué)校公安信息系 遼寧 116036

2大連市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 遼寧 116011

0 引言

近年來(lái)，隨著我國(guó)銀行卡產(chǎn)業(yè)和互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，網(wǎng)上銀行(以下簡(jiǎn)稱(chēng)“網(wǎng)銀”)作為一種新型的客戶(hù)服務(wù)方式迅速成為銀行界關(guān)注的焦點(diǎn)，并以其方便、快捷的特點(diǎn)吸引了大量用戶(hù)。然而，網(wǎng)銀業(yè)務(wù)在為用戶(hù)帶來(lái)極大便利的同時(shí)，其存在的安全問(wèn)題也日益突出，各類(lèi)網(wǎng)銀相關(guān)風(fēng)險(xiǎn)事件呈爆發(fā)性增長(zhǎng)趨勢(shì)。統(tǒng)計(jì)表明，目前絕大部分網(wǎng)銀案件均涉及賬戶(hù)盜用，其中，通過(guò)植入木馬等手段竊取持卡人賬戶(hù)信息，已成為近期最主要的作案手段。

1 案例回顧

1.1 案例一

2011年1月14日下午，被害人徐某到某市公安局網(wǎng)絡(luò)警察支隊(duì)報(bào)案，稱(chēng)被虛假的中國(guó)銀行網(wǎng)站詐騙，共損失 72萬(wàn)元人民幣。具體案情如下：被害人徐某在2011年1月14日上午收到一條手機(jī)短信，內(nèi)容是：“尊敬的網(wǎng)銀用戶(hù)：您的中行E令將于次日過(guò)期，請(qǐng)盡快登錄boc.bocuf.com進(jìn)行升級(jí)，給您帶來(lái)的不便，敬請(qǐng)諒解，詳詢(xún)[95566]”。下午14時(shí)左右，徐某進(jìn)入短信提供的網(wǎng)站boc.bocuf.com，打開(kāi)頁(yè)面看到跟中國(guó)銀行官網(wǎng)頁(yè)面樣式完全相同，只是右上角多了一個(gè)E令升級(jí)標(biāo)示，徐某點(diǎn)擊進(jìn)入，網(wǎng)頁(yè)出現(xiàn)三個(gè)填寫(xiě)框，分別是用戶(hù)名、登錄密碼和動(dòng)態(tài)口令，被害人輸入完畢點(diǎn)擊確認(rèn)后顯示倒數(shù)計(jì)時(shí) 60秒，而后再次出現(xiàn)該填寫(xiě)框，徐某以為前一步有輸入錯(cuò)誤的地方便再次輸入動(dòng)態(tài)口令，確認(rèn)后又顯示倒數(shù)計(jì)時(shí) 60秒，讀秒結(jié)束后提示升級(jí)成功，可是這時(shí)電腦中的殺毒軟件卻突然發(fā)出“不明程序向外發(fā)送密碼”的警示。徐某察覺(jué)到有問(wèn)題，到中國(guó)銀行去查看，結(jié)果發(fā)現(xiàn)銀行卡內(nèi)的 72萬(wàn)元人民幣被轉(zhuǎn)走，而且該銀行明確表示并沒(méi)有進(jìn)行E令升級(jí)的通知，徐某的網(wǎng)銀是被人利用虛假的中國(guó)銀行網(wǎng)站詐騙了。

1.2 案例二

2011年3月8日上午，被害人王某到某市公安局網(wǎng)絡(luò)警察支隊(duì)報(bào)案，稱(chēng)在淘寶網(wǎng)站購(gòu)買(mǎi)筆記本電腦時(shí)，自己的電腦被對(duì)方所發(fā)含有病毒的壓縮文件包感染，被騙走人民幣1200元。具體案情如下：被害人為某高校在校大學(xué)生，2011年3月7日20點(diǎn)左右，其在宿舍上網(wǎng)登錄淘寶網(wǎng)站，通過(guò)站內(nèi)搜索二手筆記本電腦，找到一家店鋪，于是通過(guò)阿里旺旺跟對(duì)方進(jìn)行商談，對(duì)方發(fā)來(lái)一個(gè)壓縮文件包，聲稱(chēng)里面有更多商品的圖片，被害人接收后，解壓并打開(kāi)瀏覽，最終雙方以600元價(jià)格成交。被害人第一次通過(guò)網(wǎng)銀支付完600元錢(qián)后，頁(yè)面顯示沒(méi)有成功，對(duì)方讓其再次支付，于是被害人又一次通過(guò)網(wǎng)銀支付，但還是不成功。這時(shí)，被害人察覺(jué)有問(wèn)題，隨后查詢(xún)銀行賬戶(hù)，發(fā)現(xiàn)兩次支付都已成功，銀行卡已被劃走 1200元，這筆錢(qián)被轉(zhuǎn)到上海某網(wǎng)絡(luò)科技公司。此時(shí)，被害人再次聯(lián)系賣(mài)家，已無(wú)人應(yīng)答。

2 風(fēng)險(xiǎn)點(diǎn)分析

2.1 案例一分析

什么是 E令？某股份制銀行電子銀行部總經(jīng)理這樣比喻：這就好比徐先生晚上回家，迷迷糊糊地走錯(cuò)了門(mén)，走到鄰居家去了，并用自己的真鑰匙去開(kāi)鄰居家的門(mén)。鄰居家的門(mén)鎖則記下了徐先生的鑰匙形狀，復(fù)制了一把，再去開(kāi)徐先生家門(mén)，則是暢通無(wú)阻了。這個(gè)鑰匙就是E令卡。它還有個(gè)學(xué)術(shù)名稱(chēng)叫做“動(dòng)態(tài)密碼”或“動(dòng)態(tài)口令”，英文名為OTP(One Time Password)，就是只能使用一次的密碼。其原理在于：它通過(guò)特定的計(jì)算方式在用戶(hù)方面產(chǎn)生一個(gè)隨機(jī)變化的密碼，同時(shí)銀行方面也能產(chǎn)生一個(gè)相同的密碼，用戶(hù)使用這個(gè)密碼登錄網(wǎng)銀時(shí)，兩個(gè)密碼相比較，若相同則表示已通過(guò)驗(yàn)證，用戶(hù)可以進(jìn)行下一步的操作，否則提示出錯(cuò)。

因?yàn)閯?dòng)態(tài)密碼完全是隨機(jī)產(chǎn)生的，這與用戶(hù)自己設(shè)置的、每次都固定不變的靜態(tài)密碼相比，在安全上的確是有進(jìn)步。事實(shí)上，在國(guó)外，因其方便快捷、客戶(hù)體驗(yàn)好，動(dòng)態(tài)口令是網(wǎng)銀用戶(hù)使用最多的一種方式。

當(dāng)然，E令的安全問(wèn)題也層出不窮。因?yàn)樗袃蓚€(gè)致命缺陷，一是銀行端可以用這個(gè)密碼來(lái)辨認(rèn)用戶(hù)，而用戶(hù)卻無(wú)法使用密碼來(lái)辨認(rèn)自己登錄的是否就是正確合法的網(wǎng)站，不法分子正是利用幾乎一模一樣的網(wǎng)站頁(yè)面及域名蒙蔽了被害人的眼睛；二是動(dòng)態(tài)口令雖然一次一變，但這種變化仍然存在一定的時(shí)間周期，通常動(dòng)態(tài)口令在一分鐘內(nèi)都是有效的，而就是這短短的一分鐘，已經(jīng)為不法分子提供了可乘之機(jī)，更何況被害人徐某還連續(xù)兩次輸入動(dòng)態(tài)口令！

2.2 案例二分析

公安技術(shù)人員對(duì)被害人王某的電腦進(jìn)行調(diào)查取證后，發(fā)現(xiàn)王某接收的壓縮文件中隱藏了“支付寶大盜”這一類(lèi)木馬病毒，其最顯著的特點(diǎn)就是通過(guò)系統(tǒng)或者應(yīng)用軟件的漏洞，每隔一段時(shí)間，自動(dòng)掃描用戶(hù)瀏覽器的地址欄，檢測(cè)用戶(hù)是否打開(kāi)了支付寶網(wǎng)頁(yè)頁(yè)面。如果沒(méi)有檢測(cè)到，那么木馬將不會(huì)有任何進(jìn)一步的操作，用戶(hù)也感受不到它的存在；但如果木馬檢測(cè)到用戶(hù)正在運(yùn)行支付寶網(wǎng)站的頁(yè)面，將會(huì)立即采取下一步的行動(dòng)：“支付寶大盜”木馬將會(huì)插入到支付寶頁(yè)面和用戶(hù)網(wǎng)銀之間，同時(shí)向支付寶端和用戶(hù)端發(fā)送虛假信息，在用戶(hù)看來(lái)，這就像正常的完成了一筆交易，渾然不覺(jué)有任何問(wèn)題，但實(shí)際上，交易的金額已經(jīng)流入到黑客的支付寶或網(wǎng)銀賬戶(hù)中了。

公安技術(shù)人員通過(guò)技術(shù)分析，對(duì)壓縮文件進(jìn)行解壓、查殼、脫殼、反編譯等處理，還原了該木馬的本來(lái)面目。通過(guò)專(zhuān)業(yè)工具，可以看到嫌疑人發(fā)的壓縮文件不僅具有“支付寶大盜”的基本功能，而且還具有竊取被害人QQ賬號(hào)密碼等其他功能。如圖1所示，被害人的各種詳細(xì)信息被竊取到一個(gè)指定的電子郵箱(圖1中劃線部分)中。

圖1 木馬文件被脫殼后的部分源代碼

2.3 綜合分析

(1) 某些網(wǎng)銀的業(yè)務(wù)流程有缺陷。從上述案例中反映的情況看，一些銀行的網(wǎng)銀系統(tǒng)在設(shè)置時(shí)為了簡(jiǎn)化流程，忽略了相關(guān)程序的嚴(yán)密性。例如，柜臺(tái)簽約時(shí)預(yù)留的網(wǎng)銀登錄密碼不起作用，這樣的程序端漏洞應(yīng)該可以避免，以減少不必要的損失。

(2) 網(wǎng)銀的程序存在系統(tǒng)漏洞。從目前已經(jīng)開(kāi)通的網(wǎng)銀來(lái)看，大多數(shù)采取了相關(guān)的防御病毒的措施，隨著互聯(lián)網(wǎng)的迅速發(fā)展，利用“木馬”病毒的犯罪案件持續(xù)上升，有的銀行片面地重視業(yè)務(wù)量增長(zhǎng)，忽視了這種新興的網(wǎng)絡(luò)犯罪，在系統(tǒng)開(kāi)發(fā)后沒(méi)有盡到維護(hù)和完善的義務(wù)。

(3) “木馬”病毒肆意泛濫，購(gòu)物網(wǎng)站責(zé)無(wú)旁貸。一些支持網(wǎng)絡(luò)支付的購(gòu)物網(wǎng)站未對(duì)“木馬”病毒采取更高級(jí)別的防護(hù)措施，對(duì)購(gòu)買(mǎi)物品的流程沒(méi)有嚴(yán)格的審核，犯罪嫌疑人可以輕松地通過(guò)購(gòu)買(mǎi)的“黑客”軟件盜取被害人的銀行卡現(xiàn)金并轉(zhuǎn)移后提現(xiàn)。如今這種黑色產(chǎn)業(yè)鏈已經(jīng)成熟甚至開(kāi)始“產(chǎn)業(yè)化”。

3 防范措施與建議

3.1 針對(duì)銀行的建議

(1) 提高對(duì)網(wǎng)銀安全性的認(rèn)識(shí)，開(kāi)展安全性評(píng)估措施。目前大多數(shù)銀行對(duì)網(wǎng)銀重視不夠，但網(wǎng)銀在管理和維護(hù)中的風(fēng)險(xiǎn)是不容忽視的。從以上案例來(lái)看，網(wǎng)銀的犯罪現(xiàn)象越發(fā)突出，網(wǎng)銀犯罪成本較低、擴(kuò)散速度較快、手法不斷翻新、涉案金額持續(xù)增長(zhǎng)。面對(duì)這種嚴(yán)峻的形勢(shì)，各銀行應(yīng)當(dāng)將網(wǎng)銀的安全性提升至重要的位置。已擁有網(wǎng)銀業(yè)務(wù)的各商業(yè)銀行應(yīng)當(dāng)對(duì)網(wǎng)銀業(yè)務(wù)進(jìn)行仔細(xì)檢查，逐一排除系統(tǒng)漏洞，確認(rèn)系統(tǒng)的安全性。在條件允許的情況下，可以聘請(qǐng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行網(wǎng)銀系統(tǒng)安全性的評(píng)估和認(rèn)證。

(2) 采用短信發(fā)送動(dòng)態(tài)密碼。在登錄網(wǎng)銀時(shí)，網(wǎng)站會(huì)通過(guò)移動(dòng)平臺(tái)發(fā)送一個(gè)隨機(jī)六位數(shù)字作為密碼至持卡人的手機(jī)上，該密碼只能使用一次，如果持卡人輸入錯(cuò)誤，系統(tǒng)將再次發(fā)送一個(gè)隨機(jī)密碼。這種方式的優(yōu)勢(shì)在于，短信是通過(guò)移動(dòng)平臺(tái)以點(diǎn)對(duì)點(diǎn)的方式發(fā)送的，很難被犯罪分子通過(guò)“木馬”病毒或其他方式截取，從而使網(wǎng)銀的安全性大大提高。

(3) 采用單筆支付限制。一些較早開(kāi)展網(wǎng)銀業(yè)務(wù)的中小型銀行采取了單筆支付的數(shù)額限制。該種方式的最大優(yōu)勢(shì)是損失的可控性，持卡人的損失將會(huì)控制在一個(gè)范圍內(nèi)，避免了持卡人或發(fā)卡銀行的損失擴(kuò)大。

(4) 采用密碼容錯(cuò)次數(shù)限制。一些銀行的網(wǎng)銀為了加強(qiáng)安全性，采取了對(duì)網(wǎng)銀的登錄密碼容錯(cuò)次數(shù)的限制，持卡人只有 3～6次輸錯(cuò)密碼的機(jī)會(huì)，對(duì)于以往的一些“黑客”采用窮舉法來(lái)惡意攻擊網(wǎng)銀的登錄密碼起到了防御作用。有的銀行和公安系統(tǒng)聯(lián)網(wǎng)，對(duì)可疑的用戶(hù)采取了客服專(zhuān)員聯(lián)系持卡人核實(shí)是否存在網(wǎng)上交易，對(duì)于持卡人否認(rèn)的事實(shí)將采取網(wǎng)上報(bào)警的措施。

3.2 針對(duì)持卡人的建議

(1) 持卡人應(yīng)該盡量不下載、使用未知來(lái)源的程序。在淘寶等購(gòu)物網(wǎng)站交易時(shí)盡量不要使用對(duì)方提供的鏈接、不輕易打開(kāi)對(duì)方發(fā)送的文件。對(duì)于個(gè)人電腦應(yīng)該安裝具有網(wǎng)絡(luò)防護(hù)機(jī)制的殺毒軟件，并經(jīng)常升級(jí)病毒庫(kù)，檢查掃描電腦中的“木馬”程序，盡可能保護(hù)個(gè)人信息不外泄。

(2) 強(qiáng)化持卡人的安全意識(shí)?；ヂ?lián)網(wǎng)是一種新的交易支付渠道，相對(duì)于傳統(tǒng)銀行卡交易，大多數(shù)持卡人對(duì)于這種新的支付渠道的了解程度不夠。國(guó)內(nèi)各種新聞媒體以及各大銀行正通過(guò)多種方式宣傳、推廣網(wǎng)銀安全知識(shí)，廣大持卡人應(yīng)及時(shí)通過(guò)各種渠道來(lái)提高這種新支付方式的安全意識(shí)。如果遇到自己無(wú)法解決的疑問(wèn)，一定要主動(dòng)聯(lián)系銀行進(jìn)行核實(shí)。對(duì)陌生號(hào)碼發(fā)來(lái)的涉及自己銀行信息的短信，一律不相信、不操作、不理會(huì)。

3.3 針對(duì)第三方支付平臺(tái)的建議

從事網(wǎng)絡(luò)支付平臺(tái)業(yè)務(wù)的公司應(yīng)加強(qiáng)對(duì)持卡人身份的驗(yàn)證工作。對(duì)于持卡人進(jìn)行非面對(duì)面(無(wú)卡)交易時(shí)可能發(fā)生的欺詐，網(wǎng)絡(luò)支付平臺(tái)公司應(yīng)采取交易量監(jiān)控、電話(huà)核實(shí)等附加手段來(lái)對(duì)網(wǎng)絡(luò)支付業(yè)務(wù)的合法性進(jìn)行確認(rèn)，保障持卡人的合法利益不受損害。2011年5月26日，央行正式向27家第三方支付機(jī)構(gòu)頒發(fā)了《支付業(yè)務(wù)許可證》，即“牌照”，正式規(guī)范了第三方支付平臺(tái)的責(zé)任及義務(wù)。

3.4 針對(duì)相關(guān)主管部門(mén)的建議

有關(guān)主管部門(mén)應(yīng)針對(duì)網(wǎng)站金融交易制定法律規(guī)章，對(duì)于從事這些交易的網(wǎng)站要設(shè)立嚴(yán)格的準(zhǔn)入制度。當(dāng)網(wǎng)絡(luò)詐騙案件發(fā)生時(shí)確保各職能部門(mén)間能有效地進(jìn)行溝通，杜絕一些金融部門(mén)為了自己的小集體利益(如防止客戶(hù)流失等)采取消極措施，不與公安、司法部門(mén)合作的現(xiàn)象。

4 總結(jié)

總之，在銀行、第三方支付平臺(tái)以及政府提供的各種網(wǎng)銀安全措施的基礎(chǔ)上，還需要提高自身的防范意識(shí)，一是無(wú)論對(duì)方怎么反復(fù)索要，保證密碼、動(dòng)態(tài)口令不提供給任何陌生人；二是記住正確的銀行網(wǎng)址。做到這兩點(diǎn)，網(wǎng)銀詐騙就可以輕松防范。

[1]馬超.網(wǎng)上購(gòu)物的安全風(fēng)險(xiǎn)分析及規(guī)避方法[J].中國(guó)金融電腦.2011.

[2]葛鳴銘.網(wǎng)銀木馬剖析及防范[J].中國(guó)信用卡.2007.

[3]姜文超,王德廣,王超,孫樹(shù)艷.網(wǎng)銀系統(tǒng)中木馬研究[J].科學(xué)技術(shù)與工程.2009.

[4]賈建忠,姜銳.新型木馬技術(shù)剖析及發(fā)展預(yù)測(cè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.