爱华网2004年是中国网络银行(以下简称网银)业务迅速升温的一年,专家甚至用“瓜熟蒂落”来形容它时机成熟。然而,一股突如其来的寒流将网银吹得“周天寒彻”。“中国银行出现假冒网站,以盗取用户账内资金!”2004年12月7日,这起国内首例曝光的网银“李鬼”事件迅速引起业界舆论大哗,网银安全再度成为焦点话题。第2天,中国银行迅速采取行动,与公安机关配合查封了假冒网站。寒流没有退却。该月9日、10日,工行、农行和中国银联相继出现假冒网站,行骗手段与中国银行骗局如出一辙,除域名略有差别外,页面内容的布局和功能项设置足以以假乱真。有资料显示,国外黑客仿冒银行网站,诱骗储户用户名和密码的事件层出不穷、屡禁不绝,并且网银行骗者往往行踪诡异,经常换用盗自他人的IP地址实施犯罪,警方难以对此定位追踪,再加之骗局方式千奇百怪,难保用户不上当。一时间,恐慌情绪在储户中迅速蔓延,而提供网银业务的银行亦是草木皆兵。银行“亡羊补牢”功效不大面对席卷国内网上银行业务的冷空气,最早做出回应的是上海银行界。在从12月11日开始的半个月内,工行上海分行2次对电子银行系统进行全面升级改造,并请来微软助阵。沪上其他多家银行也加强与微软、IBM等国际软件巨头的合作,对网上金融服务实施安全优化。沪上银行的集体行动无疑为寒流中的网银添加了一把御寒的火,然而,通过系统技术升级来防御“李鬼”行为的举措只是银行方面一厢情愿,其效果并不明显。《IT时代周刊》记者在去年底采访工行上海分行网银业务的相关负责人时,对方以正忙于系统升级而拒绝采访,而中国银行上海分行技术部门的负责人也仅低调表示,中行现在能做的就是做好内部安全防范机制,无法防范银行之外的“李鬼”骗局。与银行方面持相同看法的上海方正信息安全技术公司的安全顾问冯先生告诉本刊记者,银行很难通过技术升级改造来防范发生在内部系统之外的骗局。他举例说明,“无论保险箱的安全系数有多高,也无法阻止拿到了钥匙的盗贼打开保险箱……真正有效的防范目的是不让盗贼拿走保险箱钥匙,通过提高用户的安全意识来实现。”
然而,要提高素质不齐的储户的安全意识并不容易。中国网银用户众多。据银监会统计,目前在开展实质性网银业务的50余家银行及分支机构中,企业与个人客户超过1000万户。李向军是国内专门从事网络犯罪问题取证的专家,他服务于中国仅有的2家计算机犯罪调查取证公司中的一家,曾经配合公安机关进行过相关案件侦查,他本人就经常收到假冒银行网络管理员的电子邮件。李向军告诉本刊记者:“这些电子邮件是假冒银行发出的网站升级通知,要求用户登录新网站或回信告知其账户信息,其中就包括账号和密码,而这些电子邮件的邮件名址与银行提供的联系电子邮件名址十分相似。”李坦言自己能够识别电子邮件真伪是因为职业使然,但他并不认为普通网银用户都具有类似习惯和能力。日前,《IT时代周刊》记者登录新的工行上海分行网站,发现栏目中的“重要提示”和“安全须知”变得赫然醒目,并因应“李鬼”事件特别提醒用户不要轻信任何通过网站、电子邮件、信函、电话、手机短信等方式索要卡号和密码的行为。工行上海分行还提供了正确登录和识别真假工行网站的方法,同时附上了工行相关业务的正确网址。其他银行也做了相应的安全提示。银行方面的这种做法看似及时,但仍属无的放矢。冯先生就认为,一方面,上网认真阅读“安全须知”的储户很少,多数人只在乎业务交易是否成功;另一方面,真正需要补课的是因“李鬼事件”而放弃使用网银业务的储户,和那些还在被“鬼”惦记的大意的储户。工行上海分行的亡羊补牢只补了小洞,大洞依然存在。银行界有关专家的话也证明了这一点,他们认为,银行为重新树立安全形象,除了进一步做好自身系统信息安全的相应工作外,还应该采取更积极主动的措施,提高用户的安全防范意识,而不是有了问题才去解决。银行要主动打“鬼”“‘李鬼’事件跟我们没有什么关系。”本刊记者在采访工行上海分行时,负责接待的有关人员这样说,“它主要是利用了用户的安全意识薄弱。”而中行方面人士在谈及“李鬼”事件的发生时也是语带不平地说:“我们管不了互联网上发生的事情,那是公安部门的职责!”银行方面的态度表明,“李鬼”事件仍然没有让有关部门清醒意识到提高用户安全意识对于保证网银业务的重要性。事实上,银行方面有这样的认识并不稀奇,上海律师界就有人明确指出,从法律上讲,银行方面为享受网银服务的储户提供了正确的网址,因此银行不会承担持卡人“上当受骗”造成的损失,在国际上也尚无银行因为类似事件进行赔偿的先例。然而,这样的现状也受到相当多的指责。专门从事网络犯罪立法研究的武汉大学法学院副教授皮勇博士向本刊指出,正是这样的规定滋生了银行方面不重视加强用户安全意识的行为和认识。武汉大学法学院的网络安全刑事法对策是目前国内惟一将网络安全作为研究方向的研究机构。“银行转嫁风险的做法却极大地伤害了用户的感情。”皮勇告诉本刊记者,“随着网络的发展,欺诈案件的增多,这些相关协议将很大程度上导致网银用户的大量流失。而那些为降低风险而设立的规定将最终令其面临更大的风险。”近日中国互联网络信息中心(CNNIC)公布的相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。国家计算机网络应急技术处理协调中心接到的报告显示,2004年上半年,中国境内主机被用于进行各类网络欺诈的事件为20起左右,而同年7至10月已经超过了110起。不过业界人士认为网络欺诈事件的数量远不止这些。面对日益激增的案件数字,很多银行储户会对因使用网上银行而需要承担越来越大的风险产生不安情绪,如果银行此时仅在新闻里或网站上发布几则安全提示,无异于袖手旁观的道义支持者。针对“李鬼”事件,业界专家建议当务之急是在客户服务上下工夫,利用各种途径主动加强对用户有关安全知识的教育,不要等到案件出了才去宣传安全知识。“把信息安全纳入到客户服务中去,只有用户安全了网银业务的发展才能有保障。”李向军说。亟待补齐相关法律同时,国内银行用户安全意识薄弱与相关法律法规的缺失不无关系。皮勇博士告诉《IT时代周刊》记者:“由于国内的网络经济起步较晚,相关的法律、制度都需要逐步建立和健全。网络经济近几年发展神速,但是相关法律却依旧不能出台。”法律法规的制定对于公民而言,一方面能够制约其行为,另一方面能警示其对有关的违法犯罪行为进行防范。网上银行用户安全意识的加强正是通过此来实现的。早在1996年,政府就开始颁布实施一系列有关计算机及国际互联网络的法规、部门规章或条例,内容涵盖国际互联网管理、信息安全、国际信道、域名注册、密码管理等多个方面。但时隔8年,其中的不少规定已是过时,留下来的大多只是一个可有可无的框架。这期间要求立法的呼声一度高涨,国外保障网络安全的立法工作也已逐渐普及,但是国内相关立法的出台却一拖再拖,国内的网络经济如网上银行得不到法律的保驾护航,其发展难免受到影响。有了法律法规的保护,情况会有很大改变。皮勇指出,与网上银行业务相关的法律法规对于有效打击犯罪分子,构建更安全的社会秩序都大有帮助。随着网络的发展,国内网上银行的安全问题会日益突出,面对越来越多的网络欺诈事件和黑客攻击事件,势单力孤的网上银行急切需要国家有关法律法规给予保障。皮勇就认为,目前针对网络犯罪公安机关的技术侦察机制还不够完善。李向军就告诉记者,目前国内公安队伍尚没有专业技术出身的人员,这给技术侦察力度带来很大制约。上海市公安局信息网络安全报警中心的“网络警察”也匿名告诉本刊记者,因为国内的技术侦察手段、流程等等尚需完善,公开案件之后不利于公安机关以后侦破工作的展开,所以公安局纪律规定对于不管侦破与否的相关案件一律不对外公开。然而,大量案件无法公开,在一定意义上对社会起不到有效的警示作用,无法给公民以事实的网络安全教育。据皮勇介绍,国外一些国家公布网络犯罪案件后,案件数量就得到了一定的控制。他说:“这些问题如不及时解决,将会使包括网上银行等网络经济的发展面临更大威胁。”现在,“李鬼”暂时走了,但是有一天还会再来,希望下一次来的时候,用户、银行、社会会有更多有效的应对措施。
