手机银行风险案例
广州某大学学生张先生平时喜欢通过手机银行管理自己的个人资产,不久前,他通过互联网搜索下载了一款某国有银行手机网银支付客户端,但在登录使用几天后发现再也无法登录,一再提示密码错误。
在懂技术的同学的提示下,张先生赶紧到银行进行柜台查询,发现密码已被更改。张先生告诉本报记者,幸亏那个账号平时只是用来网上购买一些小额的东西,钱不多。
安全厂商分析,张先生的智能手机是感染了手机操作平台下知名的“终极密盗”手机病毒,其典型特征为,侵入手机后会自动在后台监听用户的输入信息,捕获到用户的银行密码后通过短信外发给黑客,对方一旦远程修改密码,则可进行转账操作。
市民陈女士在春节期间收到内容为“新春送豪礼,抢iPhone4S”的短信,邀请其参加抽奖。陈女士用手机浏览了短信附带的网站,且“幸运”地抽中了头等奖,但该网站提醒陈女士在领奖前要缴纳手续费,并要求在网站中输入自己的手机银行账号、密码。
出于安全考虑,陈女士以此网站和此信息为关键字在网上搜索,发现该网站正在被大量网友举报,称任何人都能中奖,同时都会被要求支付手续费。
安全专家分析,陈女士收到的是典型的“钓鱼网站”短信,一旦输入将盗用客户银行卡密码。
案例一:2006年1月16日,市民余先生的手机突然接到某银行发来的消费服务提示,称他当天消费金额为5000元。余先生当天并没有使用该银行卡消费,满腹疑惑的他赶到银行,查询得知储蓄卡当天被人透支了5000元。经过调查,警方发现了该银行的两个网上银行网页,其中一个是假的。余先生就是在这个假网上银行使用查询系统时,输入了自己的账号和密码。藏在网后的黑手轻松窃取这一信息后,通过转账方式,窃取了5000元现金。
案例二:2006年4月19日,陈女士准备进入自己的网上银行账户时,发现熟记在心的密码竟连续发生“输入错误“,当时,她以为是电脑出现故障。第二天,当她使用密码仍然不能进入自己的网上银行账户时,陈女士才警觉有问题,马上到开户银行查询,发现账户上的7100元存款已被人通过网上购物消费掉了。
2002年10月,洪某在温州永嘉的一家银行办理了借记卡。2005年2月,洪某发现借记卡被盗取了10。25万元,并向当地警方报案。警方调查后发现,2004年11月22日,犯罪嫌疑人假冒洪某的名义用假身份证在该行温州分行开通了网上银行业务,并获取了网上银行的客户证书和密码。接着犯罪嫌疑人在2005年2月2日通过网上银行将孔某借记卡内的资金分两次转出。
案例分析:这类网上银行系统本身缺陷的案例和以上其他三种案例的相比较为独特。案例中的犯罪分子利用了2005年时该行网上银行开户不需要对应借记卡的这个漏洞,伪造了受害者的个人信息,从而获得了受害者借记卡账户的网上银行的访问权利。这类网上银行系统本身缺陷的案例比较特殊,难以有较为统一的表现。从根本上来说,犯罪分子都是找到了网上银行系统的本身缺陷进行欺诈活动。目前虽然过去的很多业务漏洞都已经不存在了,但随着很多新兴业务(如手机银行、快捷支付等)的开展,必将带来未知的风险。这就要求网上银行的管理者要重视风险管理,在设计新业务的同时从业务安全的角度考虑一些防范措施。
广州大学的张同学平时喜欢通过手机银行管理自己的个人资产,不久前他通过互联网搜索下载了一款某国有银行手机网银支付客户端,但在登录使用几天后发现再也无法登录,一再提示密码错误。
安全厂商分析,张同学的智能手机是感染了手机操作平台下知名的“终极密盗”手机病毒,其典型特征为:病毒侵入手机后会自动在后台监听用户的输入信息,捕获到用户的银行密码后通过短信外发给黑客,对方一旦远程修改密码,则可进行转账操作。
中国银行负责电子银行业务的工作人员告诉记者,手机银行与网上银行一样,最大的便利是不用到柜台或者ATM机用银行卡(存折)、身份证等实物凭证进行交易,但这也恰恰成了其最大的安全隐患,因为虽然有登录密码、取款密码、支付密码等一些列安全屏障,但获取这些信息的难道要比盗取银行卡的难度小的多,尤其是对一些经常上网购物且警惕性不强的用户,稍有不慎就可能将银行信息泄露从而造成损失。“对于警惕性不强的手机银行用户来说,你能掌握的信息别人在千里之外也可以掌握,这样你的银行就等于跟不法分子共享了!”该工作人员说。