解放军潜艇“猎杀潜航”
中国海军舰队从西太平洋演练归来,自卫队研判潜艇究竟在哪里?
客户200万元短短几十秒被转走 中行网银E令成钓鱼诱饵(2)

2011年02月24日 13:51
来源:浙江在线 作者:朱寅 包敦远

字号:T|T
0人参与 打印 转发

几十秒时间,近200万元被转走

据了解,此类案件并非偶发。据浙江省公安厅经侦总队不完全统计,从去年12月到今年2月间,我省发生此类案件40余起,涉案金额上千万元。

因此,省公安厅及多个市公安局都在各自的门户网站上发布了预警信息。

由于此类案件案情复杂,犯罪分子都隐藏在互联网后,给破案带来很大难度。但今年1月,我省警方还是成功破获了一起涉案上百万元的此类诈骗案。

去年12月9日,绍兴人章某因误信某行“E令升级”诈骗短信,48秒内被转走100万元。而当天,绍兴市内连续发生了6起雷同的案件。

接警后,绍兴越城公安分局成立了专案组,并积极和上级各部门联系沟通,今年1月13日,民警兵分三路在广西、广东、福建三省统一展开抓捕行动,成功抓获以福建人叶某为首的10名犯罪嫌疑人。

叶某交代,他们在仿冒网站上植入了盗号木马程序,并通过这种木马盗取用户账号、密码以及动态口令。

也就是说,当章某在绍兴输入账号密码时,远在深圳的叶某等人第一时间取得了这些信息,并马上将信息输入已经打开等候着的某行官方网站。

此时,在绍兴的章某正在叶某等人设置的“钓鱼网站”上进行“E令升级”,章某自然地输入了动态口令,这个口令再次被叶某等人利用。

随后,叶某等人在一分钟内成功转账,并将100万元平均转入预先准备好的50个账号里。

层出不穷的诈骗案件也引起了该行的重视。如今,该行已经在网银转账业务上增设了防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送手机交易确认码,只有用户确认后,才能转账。同时,该行的客服热线也增加了关于谨防网银诈骗的提醒。

种种防线在一定程度上遏止了此类案件的蔓延。

绍兴破获首起案件,银行进行多项措施防控

为什么这些骗子都把眼睛盯在该银行的E令卡上,在业内人士眼中,这也并非偶然。

记者请教了一名曾在两家银行负责网银方面工作的业内人士,他说:“虽然从客观上说,用户在钓鱼网站内中招不能完全说是‘E令’之过,但其动态密保系统确实存在一定缺陷。”

目前,用户端网银安全工具主要包括数字证书、动态密保和手机验证三种方式,该行E令系统采用的就是动态密保。

所谓动态密保就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式,在用户的E令牌中产生一个随机变化的密码,用户需要使用这个密码登录网银,然后进行下一步操作。

该行推出的“E令”,实际上就是“电子动态口令生成器”,只要是该行的网银用户,都会有这样一个动态口令牌。但是这个动态口令是有时间限制的,它每隔60秒就会自动更新一次。

然而,此次网银诈骗,不法分子打的就是这个“动态口令”的主意。因为这个动态口令在60秒内使用都是有效的,所以不法分子就设置了“钓鱼网站”,当该行的网银用户进入“钓鱼网站”输入动态口令时,动态口令就会被截取,只要不法分子在60秒内使用这个动态口令,就能轻而易举操作该行网银用户的账户,从而达到转账的目的。

所以,在此前发生的案件中,犯罪分子也确实是在短短几十秒内完成的转账。“一分钟时间,足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就存在漏洞。”这位业内人士说。

而其他一些银行目前正广泛使用的是数字证书(俗称U盾),U盾在登录网上银行时会有密码、验证时有密码、汇款时有密码,相当于有三道关口,因此保障程度相对较高。

加上U盾都是即插即用,一旦从电脑上拔出,就相当于中断信号连接,只要数字证书在用户手中,黑客就很难拦截这个密码。

免责声明:本文仅代表作者个人观点,与凤凰网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

[责任编辑:lilei] 标签:网银 钓鱼网站 动态口令 
用手机登录 3g.ifeng.com 随时随地看新闻
  [查看跟帖]我要跟帖 0人参与
 
用户名 密码 自动登录    注册
所有评论仅代表网友意见,凤凰网保持中立。
 同步到微博
     
  • 社会
  • 娱乐
  • 生活
  • 探索

商讯