1
分类: 网络与安全
2006-09-14 16:47:30
还有6天,黄颜菲(化名)就要支付她人生最大的单笔购物款了———为了支付在康城小区所购期房的第二笔付款,她在自己的银行账户里存入了14万元。然而就在一夜之间,14万元的存款被神秘人通过网上支付全部花光。
回忆:深夜10时来自银行的电话
黄颜菲是一个资深的网上卖家,在易趣、淘宝等网站都开有自己的小店。9月8日晚上10:40,怀有5个月身孕的她正准备休息,突然接到了一通奇怪的电话。
“电话是广东发展银行打来的,银行工作人员说,有人在网络上试我的信用卡密码,问我和我的亲友有没有人在进行网上交易。”黄颜菲随后确认了身边无人在进行网上交易。广发银行工作人员随后告诉她,由于网上交易输入密码错误次数太多,她的广发行信用卡已被冻结。
“我觉得这件事情很奇怪。”黄颜菲立即上网查询了自己多张信用卡的余额,均未发现异常后,她才安心地睡下。
事发:2小时14万存款网上刷光
然而两天之后,当她去J银行存款时,查询结果却让她大吃一惊。
“借记卡里的14万多元,现在只剩下了25元!那可是我们准备付房子的第二笔钱,是最多的一笔!”
在打印了详细对账单后,黄颜菲发现了更让她吃惊的信息:14万多元中的绝大多数都是在9月8日晚11:15到9月9日凌晨1:24之间,通过网上支付的形式支出的。这一切都发生在广发银行那次密码错误提醒电话之后。黄颜菲意识到,当晚遭人“下手”的不止一张银行卡。
根据J银行提供的交易明细,9月8日下午1:03,黄颜菲的借记卡记录里出现第一次网上支付请求,支付金额为5000元;10小时之后的23:15,出现了第二次交易请求,之后短短129分钟里,连续出现交易记录,其中最大的一笔支出了10360元;到9月9日凌晨1:24,有人通过36笔网上支付交易,花完了卡里总计143282.64元人民币。
疑问:密码从未在网上输入过
“有人在网上盗用了我们的密码!”黄颜菲的丈夫程昌嵩(化名)了解到交易记录后也非常意外,作为信息安全领域的博士,他感觉到问题并不简单。9月11日晚,夫妇两人向闵行警方报案。
“这件事太奇怪了,因为我们的取款密码从未用过。”黄颜菲回忆说,被盗密码的银行卡是专门用来存款的账号。之前这张卡所有的支出,都是通过网上转账转出的,而网上转账的动态密码和网上支付的固定密码完全不同。去年9月开通账户时,她开通了网上支付功能,但是自修改初始密码之后,他们从未进行过网上支付交易,也从未在ATM机上取过款。“直到出了事情,我们才知道网上支付的密码就是ATM机取款的密码。我们自己都没有用过密码,更不用提泄漏密码了。”
“我们怀疑,是有人通过不断尝试,最后试出了密码。”程昌嵩表示,第一笔网上支付提请时间是在下午1时,和第二笔交易相差10个小时。这期间存在有人在提请交易后,通过某种软件不断尝试破解密码,直到最后成功的可能性。
处理:银行承诺提供紧急贷款
“根据我们的经验,有人通过暴力破解的方法破解我们密码的可能性很小。”J银行工作人员昨天下午接受上海东方早报记者采访时表示,根据以往类似案件的经验,事件很可能是客户的熟人所为,他们由于了解持卡人的个人信息,可以通过多种组合猜测密码,直至最后成功。
对于银行的这种说法,黄颜菲夫妇认为虽然不能排除上述可能,但银行对于短时间内大金额的网上交易异常情况毫无预警,应该承担一定责任。
昨天下午,黄颜菲夫妇和J银行方进行了协商。银行方面表示将继续对客户负责,并和警方密切合作调查此事。了解到这消失的14万元是夫妇购房的付款,且17日即将交款,银行方面表示愿意提供14万元左右的紧急商业贷款。
但对黄颜菲夫妇来说,他们失去的不仅是14万元现金而已。“以前一直看到新闻说网上交易不安全,现在我们对网上银行的安全也没信心了。”黄颜菲透露,她身边的几位朋友听说了她的经历后,关闭了自己银行卡的网上银行业务。
目前闵行警方正在调查此案。
争议一 密码是否被人暴力破解?
争议起因第一笔交易提请时间和第二笔交易提请时间之间存在10小时时差,且网上支付密码和ATM取款密码一样,是一个由0至9数字组成的6位密码,所以存在通过不断试错,暴力破解的可能性。
受害人网上支付的密码从未被使用过,不存在木马盗取密码的可能。密码只有夫妇两人知道,亲友盗款的可能也不大。而J银行网上交易需在6次输错密码后才锁定账户,经尝试,确认可以通过不断提起新交易,每次尝试5次密码的方式来猜测密码。
银行根据以往的经验,熟人泄漏密码、电脑中毒、密码设置密度不高、身份证丢失或遭遇偷窥、陷阱等原因,是导致遭遇网络密码盗窃的主因。银行有健全的安全机制,此前并未发现有暴力破解密码的类似事件的先例,暴力破解的可能性不大。
争议二 交易为何未受数额限制?
争议起因中国人民银行曾发布了《电子支付指引(第一号)》文件,其中规定银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。
受害人我们从未开通过数字证书、电子签名服务,而在36笔异常交易中,交易金额从1139元到10360元不等,每笔都超过了1000元人民币。如果银行是严格遵守中国人民银行的电子支付指引来操作,就不可能发生在2小时内被盗取14万元的事件。
银行事发的网上交易请求并不是向银行平台提出,而是通过银联平台提出。中国人民银行的电子支付指引针对的是银行平台的交易。银行本身有自己的预警机制,只要开通了短信通服务,每次现实和网上消费都可以通过短信告知持卡人,但受害人没有开通这项服务。孙翔 于松/吴真真
网络银行盗窃案频发
据国家相关部门统计,目前中国已经有20多家银行提供了网络银行服务,其用户超过了2800万。
但网络银行盗窃案件却频频发生,网络银行的安全性令人担忧。2000年8月发生在英国的Egg互联网银行数十万英镑资金的盗窃案,号称是全球第一起网络银行盗窃案。从此,世界各地陆续发生网络银行盗窃案件。
在国内,北京、上海、武汉、广州等全国多个城市均发生过网络银行盗窃案件。而今年9月初,福建省泉州市中级人民法院也开庭审理了迄今为止国内网上盗窃个人存款金额最大案———晋江“5·11”网上盗窃777万元银行存款案,一审判处中国农业银行晋江市支行全额赔偿储户损失,并支付相应的违约金。早报记者 孙翔 于松 吴真真
==============================
ps:
“电话是广东发展银行打来的,银行工作人员说,有人在网络上试我的信用卡密码,问我和我的亲友有没有人在进行网上交易。”
完全和http://blog.sina.com.cn/u/49ab3e2c010003m2中谈到的一样,呵呵。