网银诈骗案件的分析及防范

纪芳 薛亮

1辽宁警官高等专科学校公安信息系 辽宁 116036

2大连市公安局网络安全保卫支队 辽宁 116011

0 引言

近年来，随着我国银行卡产业和互联网技术的蓬勃发展，网上银行(以下简称“网银”)作为一种新型的客户服务方式迅速成为银行界关注的焦点，并以其方便、快捷的特点吸引了大量用户。然而，网银业务在为用户带来极大便利的同时，其存在的安全问题也日益突出，各类网银相关风险事件呈爆发性增长趋势。统计表明，目前绝大部分网银案件均涉及账户盗用，其中，通过植入木马等手段窃取持卡人账户信息，已成为近期最主要的作案手段。

1 案例回顾

1.1 案例一

2011年1月14日下午，被害人徐某到某市公安局网络警察支队报案，称被虚假的中国银行网站诈骗，共损失 72万元人民币。具体案情如下：被害人徐某在2011年1月14日上午收到一条手机短信，内容是：“尊敬的网银用户：您的中行E令将于次日过期，请尽快登录boc.bocuf.com进行升级，给您带来的不便，敬请谅解，详询[95566]”。下午14时左右，徐某进入短信提供的网站boc.bocuf.com，打开页面看到跟中国银行官网页面样式完全相同，只是右上角多了一个E令升级标示，徐某点击进入，网页出现三个填写框，分别是用户名、登录密码和动态口令，被害人输入完毕点击确认后显示倒数计时 60秒，而后再次出现该填写框，徐某以为前一步有输入错误的地方便再次输入动态口令，确认后又显示倒数计时 60秒，读秒结束后提示升级成功，可是这时电脑中的杀毒软件却突然发出“不明程序向外发送密码”的警示。徐某察觉到有问题，到中国银行去查看，结果发现银行卡内的 72万元人民币被转走，而且该银行明确表示并没有进行E令升级的通知，徐某的网银是被人利用虚假的中国银行网站诈骗了。

1.2 案例二

2011年3月8日上午，被害人王某到某市公安局网络警察支队报案，称在淘宝网站购买笔记本电脑时，自己的电脑被对方所发含有病毒的压缩文件包感染，被骗走人民币1200元。具体案情如下：被害人为某高校在校大学生，2011年3月7日20点左右，其在宿舍上网登录淘宝网站，通过站内搜索二手笔记本电脑，找到一家店铺，于是通过阿里旺旺跟对方进行商谈，对方发来一个压缩文件包，声称里面有更多商品的图片，被害人接收后，解压并打开浏览，最终双方以600元价格成交。被害人第一次通过网银支付完600元钱后，页面显示没有成功，对方让其再次支付，于是被害人又一次通过网银支付，但还是不成功。这时，被害人察觉有问题，随后查询银行账户，发现两次支付都已成功，银行卡已被划走 1200元，这笔钱被转到上海某网络科技公司。此时，被害人再次联系卖家，已无人应答。

2 风险点分析

2.1 案例一分析

什么是 E令？某股份制银行电子银行部总经理这样比喻：这就好比徐先生晚上回家，迷迷糊糊地走错了门，走到邻居家去了，并用自己的真钥匙去开邻居家的门。邻居家的门锁则记下了徐先生的钥匙形状，复制了一把，再去开徐先生家门，则是畅通无阻了。这个钥匙就是E令卡。它还有个学术名称叫做“动态密码”或“动态口令”，英文名为OTP(One Time Password)，就是只能使用一次的密码。其原理在于：它通过特定的计算方式在用户方面产生一个随机变化的密码，同时银行方面也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码相比较，若相同则表示已通过验证，用户可以进行下一步的操作，否则提示出错。

因为动态密码完全是随机产生的，这与用户自己设置的、每次都固定不变的静态密码相比，在安全上的确是有进步。事实上，在国外，因其方便快捷、客户体验好，动态口令是网银用户使用最多的一种方式。

当然，E令的安全问题也层出不穷。因为它有两个致命缺陷，一是银行端可以用这个密码来辨认用户，而用户却无法使用密码来辨认自己登录的是否就是正确合法的网站，不法分子正是利用几乎一模一样的网站页面及域名蒙蔽了被害人的眼睛；二是动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在一分钟内都是有效的，而就是这短短的一分钟，已经为不法分子提供了可乘之机，更何况被害人徐某还连续两次输入动态口令！

2.2 案例二分析

公安技术人员对被害人王某的电脑进行调查取证后，发现王某接收的压缩文件中隐藏了“支付宝大盗”这一类木马病毒，其最显著的特点就是通过系统或者应用软件的漏洞，每隔一段时间，自动扫描用户浏览器的地址栏，检测用户是否打开了支付宝网页页面。如果没有检测到，那么木马将不会有任何进一步的操作，用户也感受不到它的存在；但如果木马检测到用户正在运行支付宝网站的页面，将会立即采取下一步的行动：“支付宝大盗”木马将会插入到支付宝页面和用户网银之间，同时向支付宝端和用户端发送虚假信息，在用户看来，这就像正常的完成了一笔交易，浑然不觉有任何问题，但实际上，交易的金额已经流入到黑客的支付宝或网银账户中了。

公安技术人员通过技术分析，对压缩文件进行解压、查壳、脱壳、反编译等处理，还原了该木马的本来面目。通过专业工具，可以看到嫌疑人发的压缩文件不仅具有“支付宝大盗”的基本功能，而且还具有窃取被害人QQ账号密码等其他功能。如图1所示，被害人的各种详细信息被窃取到一个指定的电子邮箱(图1中划线部分)中。

图1 木马文件被脱壳后的部分源代码

2.3 综合分析

(1) 某些网银的业务流程有缺陷。从上述案例中反映的情况看，一些银行的网银系统在设置时为了简化流程，忽略了相关程序的严密性。例如，柜台签约时预留的网银登录密码不起作用，这样的程序端漏洞应该可以避免，以减少不必要的损失。

(2) 网银的程序存在系统漏洞。从目前已经开通的网银来看，大多数采取了相关的防御病毒的措施，随着互联网的迅速发展，利用“木马”病毒的犯罪案件持续上升，有的银行片面地重视业务量增长，忽视了这种新兴的网络犯罪，在系统开发后没有尽到维护和完善的义务。

(3) “木马”病毒肆意泛滥，购物网站责无旁贷。一些支持网络支付的购物网站未对“木马”病毒采取更高级别的防护措施，对购买物品的流程没有严格的审核，犯罪嫌疑人可以轻松地通过购买的“黑客”软件盗取被害人的银行卡现金并转移后提现。如今这种黑色产业链已经成熟甚至开始“产业化”。

3 防范措施与建议

3.1 针对银行的建议

(1) 提高对网银安全性的认识，开展安全性评估措施。目前大多数银行对网银重视不够，但网银在管理和维护中的风险是不容忽视的。从以上案例来看，网银的犯罪现象越发突出，网银犯罪成本较低、扩散速度较快、手法不断翻新、涉案金额持续增长。面对这种严峻的形势，各银行应当将网银的安全性提升至重要的位置。已拥有网银业务的各商业银行应当对网银业务进行仔细检查，逐一排除系统漏洞，确认系统的安全性。在条件允许的情况下，可以聘请专业机构进行网银系统安全性的评估和认证。

(2) 采用短信发送动态密码。在登录网银时，网站会通过移动平台发送一个随机六位数字作为密码至持卡人的手机上，该密码只能使用一次，如果持卡人输入错误，系统将再次发送一个随机密码。这种方式的优势在于，短信是通过移动平台以点对点的方式发送的，很难被犯罪分子通过“木马”病毒或其他方式截取，从而使网银的安全性大大提高。

(3) 采用单笔支付限制。一些较早开展网银业务的中小型银行采取了单笔支付的数额限制。该种方式的最大优势是损失的可控性，持卡人的损失将会控制在一个范围内，避免了持卡人或发卡银行的损失扩大。

(4) 采用密码容错次数限制。一些银行的网银为了加强安全性，采取了对网银的登录密码容错次数的限制，持卡人只有 3～6次输错密码的机会，对于以往的一些“黑客”采用穷举法来恶意攻击网银的登录密码起到了防御作用。有的银行和公安系统联网，对可疑的用户采取了客服专员联系持卡人核实是否存在网上交易，对于持卡人否认的事实将采取网上报警的措施。

3.2 针对持卡人的建议

(1) 持卡人应该尽量不下载、使用未知来源的程序。在淘宝等购物网站交易时尽量不要使用对方提供的链接、不轻易打开对方发送的文件。对于个人电脑应该安装具有网络防护机制的杀毒软件，并经常升级病毒库，检查扫描电脑中的“木马”程序，尽可能保护个人信息不外泄。

(2) 强化持卡人的安全意识。互联网是一种新的交易支付渠道，相对于传统银行卡交易，大多数持卡人对于这种新的支付渠道的了解程度不够。国内各种新闻媒体以及各大银行正通过多种方式宣传、推广网银安全知识，广大持卡人应及时通过各种渠道来提高这种新支付方式的安全意识。如果遇到自己无法解决的疑问，一定要主动联系银行进行核实。对陌生号码发来的涉及自己银行信息的短信，一律不相信、不操作、不理会。

3.3 针对第三方支付平台的建议

从事网络支付平台业务的公司应加强对持卡人身份的验证工作。对于持卡人进行非面对面(无卡)交易时可能发生的欺诈，网络支付平台公司应采取交易量监控、电话核实等附加手段来对网络支付业务的合法性进行确认，保障持卡人的合法利益不受损害。2011年5月26日，央行正式向27家第三方支付机构颁发了《支付业务许可证》，即“牌照”，正式规范了第三方支付平台的责任及义务。

3.4 针对相关主管部门的建议

有关主管部门应针对网站金融交易制定法律规章，对于从事这些交易的网站要设立严格的准入制度。当网络诈骗案件发生时确保各职能部门间能有效地进行沟通，杜绝一些金融部门为了自己的小集体利益(如防止客户流失等)采取消极措施，不与公安、司法部门合作的现象。

4 总结

总之，在银行、第三方支付平台以及政府提供的各种网银安全措施的基础上，还需要提高自身的防范意识，一是无论对方怎么反复索要，保证密码、动态口令不提供给任何陌生人；二是记住正确的银行网址。做到这两点，网银诈骗就可以轻松防范。

[1]马超.网上购物的安全风险分析及规避方法[J].中国金融电脑.2011.

[2]葛鸣铭.网银木马剖析及防范[J].中国信用卡.2007.

[3]姜文超,王德广,王超,孙树艳.网银系统中木马研究[J].科学技术与工程.2009.

[4]贾建忠,姜锐.新型木马技术剖析及发展预测[J].网络安全技术与应用.2007.