網絡銀行的安全防線

幾個蒙面大漢手持沖鋒槍闖進銀行……這是經典好萊塢影片中出現的銀行搶劫案現場。然而，如果現在還有電影這樣拍攝劫匪的話，那么導演或者編劇一定落后于時代N年了。現在已經進入數碼時代，劫匪們已經放下了刀槍，開始坐在咖啡廳里，一邊品嘗咖啡一邊點擊鼠標，慢悠悠地搶劫銀行。這些劫匪也不再是傳統故事中的那些不怕死莽漢，數碼時代的銀行劫匪不但需要膽大心細敢冒風險的特質，更需要對新的信息技術有嫻熟的了解和掌握。雖然日益猖獗的網絡劫匪想方設法盜取銀行的資產，然而，當今一種專門從事阻止黑客侵入銀行計算機系統的防護系統和網絡安全警察，也正在和網絡上的這種違法行為進行著斗爭。

現實劫匪超越虛構的電影

從網絡銀行搶錢的故事已經出現在好萊塢娛樂大片《防火墻》里了。計算機安全專家杰克·斯坦福便是一位從事網絡銀行安全管理的特工。他供職于美國西部西雅圖市一家國際金融機構太平洋銀行，是一名備受股東們信賴的高級網絡安全主管，多年來負責設計最有效的防盜計算機系統和各種“防火墻”式的軟件。然而，杰克的防盜系統卻有一個致命弱點，那就是他自己。因為，防火墻的密碼就由他來保管。這一點，似乎包括對銀行里的現金垂涎已久的罪犯們也心知肚明。身份非同一般的杰克，在公司的地位和待遇都相當的優厚。這也讓他和他那身為建筑師的妻子貝絲·斯坦福以及他們的一雙兒女過著優裕的生活，包括一棟位于市郊高級住宅區的豪宅。

但是，幸福的生活終于被邪惡的貪心賊給打破了，這名兇狠的歹徒決定利用這一家人的性命以及杰克腦中的防火墻密碼來滿足自己瞬間發財的欲望。因此，好幾個月來，比爾·考克斯一直在仔細觀察杰克和他的家人的日常生活規律，并利用各種先進的電子設備，監控他們上網的活動，竊聽他們的私人電話，熟知他們的日常作息，并竊取他們最隱秘的資料等等。比爾·考克斯甚至了解到他們小孩的朋友的名字，以及他們的病史，更知道了他們居住的社區安保系統的密碼。他花了將近一年的時間以完全掌控杰克一家人的每一個生活細節，現在終于到了可以行動的時間。比爾率領幾個手下兇殘地闖入杰克的豪宅，把貝絲和她的孩子們軟禁在自己的家里。然后，勒令杰克幫助他們在網上安全地通過太平洋銀行防火墻的保護竊走了一億美元的巨款。

你看到這里，或許心里在想：“哦，不就是部電影嘛！那都是假的。現實生活中有那么牛的網絡銀行劫匪么？”有時候現實是超越人們想象的。電影中出現的劫案金額是1億美元，現實生活中卻有4億美元的網絡劫案。2005年3月，英國網絡警察成功阻止了有史以來金額最高的一起銀行搶劫案。一個由黑客組成的犯罪集團侵入日本三井住友銀行英國分行的電腦系統，試圖將2.2億英鎊（約合4.23億美元）轉移至他們分別在不同國家開設的10個賬戶。首先發現犯罪不良企圖的是英國警方的國家高科技犯罪小組。

2004年10月，警方就在網絡上發現異常跡象，有人侵入日本三井住友銀行英國分行的電腦系統，利用一種能夠記錄鍵盤輸入活動的病毒軟件，盜取銀行賬號和密碼。英國高科技犯罪小組隨即對黑客的犯罪活動展開了密切監視，并發現其中一名罪犯隱藏在以色列。該小組隨即派遣兩名警官前往以色列的特拉維夫，同當地警方聯手，將一名以色列男子逮捕歸案。如果不是英國警方的及時行動，英國可能將經歷有史以來最嚴重的銀行“搶劫”案。三井住友銀行一位發言人表示，由于提前采取了安全措施，銀行沒有遭受任何經濟損失。

也許有讀者看到這里會長舒一口氣說：“哦，原來他們被抓住了。我們的銀行網絡系統還是很安全的嘛。”然而，事情遠比我們想象的還要嚴重，現在已經出現了越來越多的網絡銀行盜竊案，而且不少未能破案。

據統計，80%以上的英國公司的銀行賬戶被網絡劫匪侵入過。盡管大多數銀行不愿承認他們的系統很容易遭受攻擊，事實上，在倫敦營業的500多家銀行每年大約有2000至3000起類似欺詐事件發生，只不過都被銀行用各種方式壓了下來，以免損害銀行的安全聲譽。2005年6月17日，美國萬事達公司公布了一條震驚全球的消息: 4000萬信用卡用戶的信息可能被竊。電腦病毒侵入了萬事達下屬一家結算處理公司的計算機系統，黑客偷走了20萬張信用卡和借記卡賬戶的數據，并可能訪問了4000萬名信用卡的信息。

在中國，2005年5月11日，儲戶莊某到晉江農行營業部業務窗口辦理存款業務時，發現賬戶內的777萬元存款不翼而飛，堪稱迄今為止國內網上盜竊個人存款金額最大案。據中國金融認證中心最近發布的《2006中國網上銀行調查報告》顯示，目前國內網絡銀行用戶數量接近4000萬，為2005年的兩倍，但是由于受到“網絡銀行劫匪”的影響，61%的網民不敢使用網上銀行。

劫匪打劫網絡銀行的種種伎倆

縱觀歷史，自從人類進入以“勞動分工”為標志的文明時代以來，需求的多樣化、勞動產品的相對過剩使得“交易”成為人類的主流社會活動方式；而為了使交易活動更加合理、便捷和高效，無論是從設備工具還是方法上，人類的探索和創新從未停止過，從最初簡單的物物交換，到衍生出一般等價物，到貨幣的產生……漫漫幾千年，有兩個標志意義的事件值得關注：1171年，意大利威尼斯成立了世界上第一家銀行，它接受存款，以錢幣的重量記賬，并保有百分之百的現金準備; 1995年，以互聯網技術為支撐，順應金融電子化趨勢，世界上第一家“網上銀行”——“安全的第一家網上銀行”（Security First Network Bank）在美國成立。

雖然當時的第一家網絡銀行給自己加了個“安全的”這個定語，但是網絡銀行的安全性卻越來越受到挑戰。從網上銀行劫錢的行為大致可以分為兩種：一是竊取個人用戶的資料，然后盜走別人信用卡等賬戶里的錢；還有一種則想方設法弄到銀行和企業級大客戶網上金融往來的秘密資料，再喬裝打扮，一舉騙走大筆資金。在網絡安全專業人士看來，這些劫匪的技術比較簡單，基本上就是通過網絡，在一些個人電腦里埋入“木馬”等間諜程序，讓電腦使用者在不知不覺中泄露自己的個人信息。

從目前來看，針對網絡銀行詐騙無疑是關注度最高的犯罪。犯罪分子通過造假通知、網絡釣魚、病毒程序等方法，騙取或者盜取客戶的用戶名和密碼。在最近的一次銀行技術安全會議上，著名的標準銀行集團（Standard Bank Group）的技術工程經理赫爾曼·辛格在《關于確保世界級在線安全》的主題演講中提到：“目前，黑客的攻擊有60%是針對金融客戶的，其中網頁仿冒的攻擊數量每三個月就翻一番，病毒和黑客造成的全球性攻擊給金融領域造成了幾十億美元的損失。在身份偷竊等陰謀的威脅下，電子銀行技術將被證明更脆弱。”

2007年1月19日，瑞典的媒體報道，瑞典最大銀行北歐金融集團自2006年9月以來，多次被一犯罪團伙利用互聯網進行詐騙，詐騙金額高達800萬瑞典克朗（１美元約合7.1克朗）。這是瑞典有史以來情節最嚴重且金額最大的一次針對銀行的詐騙活動。在一系列詐騙活動中，共有250多個個人儲戶被騙。罪犯的犯罪手法狡詐，他們通過電子郵件引誘用戶在他們偽造的銀行主頁上提供自己的銀行信息。儲戶在提供相應資料后，便會收到該頁面技術錯誤的提示，而罪犯則使用“特洛伊木馬”病毒程序竊取儲戶信息。之后罪犯迅速使用竊取來的儲戶信息，通過網上銀行登錄進入該儲戶的賬號并轉移全部資金。

在國內影響最大的就是工商銀行網站被仿冒事件。不法分子將www.icbc.com.cn改為www.1cbc.com.cn，誘使客戶在假網站上登錄了自己的賬號和密碼，從而竊取客戶資金。其次是針對ATM機的犯罪，可以說是已到了無所不用其極的地步，偷看密碼、偷拍密碼、銀行卡掉包計、誘騙客戶刷卡等手段層出不窮。

前不久，一家國際黑客組織盜用澳大利亞一家雜志的電子郵箱，向很多人發送了“澳大利亞總理約翰·霍華德由于心臟麻痹生命垂危”等假消息。一旦打開郵件，用戶電腦就會感染上“特洛伊木馬”病毒。此后如果用戶訪問金融公司的網站，將在不知不覺間轉到精密偽裝的假金融公司網站，從而使用戶名和密碼等信息被黑客盜走。

對抗網絡銀行劫匪的三道防線

據俄羅斯媒體報道，2006年俄羅斯黑客大興風浪，從銀行賬戶上偷走5000萬歐元，這個數額估計比2005年上升了50%。俄羅斯國家互聯網管理中心打擊國際犯罪處副處長巴索夫在談到黑客進入銀行系統竊取用戶資金時稱，俄羅斯黑客盯上了外國公民的銀行賬戶，他們利用這些賬戶竊取錢財后，通過中間人將錢財轉入俄羅斯。既然網絡銀行沒有絕對的安全，那么警方和銀行一起建立高效的應急處理和響應機制就是必須的，我們可以稱之為“亡羊補牢”。要保證電子銀行的安全，一般有三道防線。

首先金融機構自身應該有足夠的投入和措施做好基礎安全。對于如何應對電子銀行遭受安全攻擊，國際上有標準的處理流程，即: 準備、檢測、抑制、根除、恢復、跟蹤。一般情況下，事故一旦發生并被發現，銀行會迅速召集相關的軟硬件提供商和網絡安全警察一起調查發生的原因，如果是系統漏洞，那么就會馬上打補丁；如果是客戶自身原因造成的損失，銀行方會給客戶做出解釋。在一些復雜程度更高的網絡犯罪案例中，網絡安全警察常常扮演“福爾摩斯”的角色，在調查犯罪過程中扮演重要角色。他們能從一些蛛絲馬跡中尋找出事情真相：在線支付的IP、非法轉賬的銀行卡卡號、巨額的刷卡消費行為、ATM取款機上攝像頭的監控等。

第二，啟用專用域名。現在的網址有好幾種，像www.xxx.com是一個商業性網站，而www.xxx.gov是政府網站，www.xxx.org則是非政府組織網站。域名不同，代表的意思也不同。可以借鑒政府網站有專用域名做法，由銀行向專門負責域名申請的部門提出，為網上銀行設置專用域名，由某權威機構比如銀監會負責審批。雖然這并不是包治百病之方，還是可能有類似的域名出現混淆視聽，但這確實有可能很大程度地打擊假冒網銀網站。雖然從表面上看，為銀行設置專用域名會造成一定的“浪費”，但是相比起網絡銀行因其本身脆弱的安全性可能導致的損失，“這筆浪費也是值得的”。

第三，規范搜索引擎。在網絡銀行安全問題上，銀行確實很被動。銀行唯一能采取的辦法就是投入大量的人力物力，不間斷地在網上通過人工或是自動搜索同自己域名類似的假冒網站、網絡實名，甚至必須介入電子郵件搜索是否有人假借銀行名義行欺騙之實，即使是幾個銀行聯合起來打假，平攤的只是成本，技術始終是個難題。不過，只要通過正常途徑登錄，網絡銀行的安全性絕對可靠。另外一個辦法就是，在國家安全機構的倡導下，由各大搜索引擎及網絡實名聯合，從技術上對假冒銀行網站進行過濾，確保網銀安全，這在技術上有一定難度，但并不是不可能實現的。

據英國一些媒體報道，國際黑客打算整合世界各地的力量，2007年在互聯網上開辟新的戰線，打一場“網絡搶錢的世界大戰”。美國中央情報局一位主管網絡銀行安全的警官評論到：“如今的網絡越來越像一片混沌的原始狀態，沒有一個公共保護者維持秩序，防毒軟件都是看家護院，自我保護。互聯網上的無政府狀態正是國際銀行劫匪猖獗的主要原因。網絡秩序的建立將是一個漫長的過程，與黑客大盜們的斗爭也將是漫長的過程。世界各國的網絡安全警察都將聯合起來，在網上建立一道看不見的防線，讓那些劫匪們靜悄悄地侵入網絡，再靜悄悄地墜入我們編織好的法網。”

編輯：孫薇薇