在国内影响最大的就是工商银行网站被仿冒事件。不法分子将www.icbc.com.cn改为www.1cbc.com.cn,诱使客户在假网站上登录了自己的账号和密码,从而窃取客户资金。其次是针对ATM机的犯罪,可以说是已到了无所不用其极的地步,偷看密码、偷拍密码、银行卡掉包计、诱骗客户刷卡等手段层出不穷。
前不久,一家国际黑客组织盗用澳大利亚一家杂志的电子邮箱,向很多人发送了“澳大利亚总理约翰。霍华德由于心脏麻痹生命垂危”等假消息。一旦打开邮件,用户电脑就会感染上“特洛伊木马”病毒。此后如果用户访问金融公司的网站,将在不知不觉间转到精密伪装的假金融公司网站,从而使用户名和密码等信息被黑客盗走。
据俄罗斯媒体报道,2006年俄罗斯黑客大兴风浪,从银行账户上偷走5000万欧元,这个数额估计比2005年上升了50%.俄罗斯国家互联网管理中心打击国际犯罪处副处长巴索夫在谈到黑客进入银行系统窃取用户资金时称,俄罗斯黑客盯上了外国公民的银行账户,他们利用这些账户窃取钱财后,通过中间人将钱财转入俄罗斯。既然网络银行没有绝对的安全,那么警方和银行一起建立高效的应急处理和响应机制就是必须的,我们可以称之为“亡羊补牢”。要保证电子银行的安全,一般有三道防线。
首先金融机构自身应该有足够的投入和措施做好基础安全。对于如何应对电子银行遭受安全攻击,国际上有标准的处理流程,即: 准备、检测、抑制、根除、恢复、跟踪。一般情况下,事故一旦发生并被发现,银行会迅速召集相关的软硬件提供商和网络安全警察一起调查发生的原因,如果是系统漏洞,那么就会马上打补丁;如果是客户自身原因造成的损失,银行方会给客户做出解释。在一些复杂程度更高的网络犯罪案例中,网络安全警察常常扮演“福尔摩斯”的角色,在调查犯罪过程中扮演重要角色。他们能从一些蛛丝马迹中寻找出事情真相:在线支付的IP、非法转账的银行卡卡号、巨额的刷卡消费行为、ATM取款机上摄像头的监控等。
第二,启用专用域名。现在的网址有好几种,像www.xxx.com是一个商业性网站,而www.xxx.gov是政府网站,www.xxx.org则是非政府组织网站。域名不同,代表的意思也不同。可以借鉴政府网站有专用域名做法,由银行向专门负责域名申请的部门提出,为网上银行设置专用域名,由某权威机构比如银监会负责审批。虽然这并不是包治百病之方,还是可能有类似的域名出现混淆视听,但这确实有可能很大程度地打击假冒网银网站。虽然从表面上看,为银行设置专用域名会造成一定的“浪费”,但是相比起网络银行因其本身脆弱的安全性可能导致的损失,“这笔浪费也是值得的”。
第三,规范搜索引擎。在网络银行安全问题上,银行确实很被动。银行唯一能采取的办法就是投入大量的人力物力,不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名,甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实,即使是几个银行联合起来打假,平摊的只是成本,技术始终是个难题。不过,只要通过正常途径登录,网络银行的安全性绝对可靠。另外一个办法就是,在国家安全机构的倡导下,由各大搜索引擎及网络实名联合,从技术上对假冒银行网站进行过滤,确保网银安全,这在技术上有一定难度,但并不是不可能实现的。
据英国一些媒体报道,国际黑客打算整合世界各地的力量,2007年在互联网上开辟新的战线,打一场“网络抢钱的世界大战”。美国中央情报局一位主管网络银行安全的警官评论到:“如今的网络越来越像一片混沌的原始状态,没有一个公共保护者维持秩序,防毒软件都是看家护院,自我保护。互联网上的无政府状态正是国际银行劫匪猖獗的主要原因。网络秩序的建立将是一个漫长的过程,与黑客大盗们的斗争也将是漫长的过程。世界各国的网络安全警察都将联合起来,在网上建立一道看不见的防线,让那些劫匪们静悄悄地侵入网络,再静悄悄地坠入我们编织好的法网。”
