銀行卡里的錢被誰偷了

　　北京的陳女士注冊了一家自己的網店做生意，網絡賬號與手機是綁定的。有一天，她打開收入賬戶查看，令她震驚的是里面的資金已經不翼而飛。經調查后發現，不法分子設法掛失了陳女士的手機卡，后補辦新卡，從而盜取了她的網絡賬號、登錄密碼、支付密碼。陳女士的遭遇是目前網絡信息泄露案例中的一個典型，卻不是泄密的唯一途徑。2011年5月初，花旗銀行披露其北美地區銀行網站受到黑客惡意攻擊，21萬北美地區銀行卡用戶的姓名、賬戶、電子信箱等信息可能被泄露。
　　類似的事件在中國不時發生。自2011年12月下旬起，國內網絡上盛傳各個社區和社交性網站的用戶資料及密碼被泄露，到年底，“銀行卡泄密”風波已經著實讓人們恐慌了一陣。2012年1月10日，國家互聯網信息辦發言人說，流傳的信息泄露并非全部屬實，但網友們仍為自己的信息安全擔憂，他們紛紛發問：我的銀行卡還安全嗎？
　　
“銀行泄密門”引發恐慌
　　2011年12月29日，名為“挨踢客”的微博發布消息稱，有網友向其爆料說國內多家銀行的用戶數據已經被泄露，其中涉及交通銀行的7000萬用戶和民生銀行的3500萬用戶。微博上還附帶了一張顯示“被泄密”用戶姓名、卡號、密碼等敏感信息的截圖，圖中顯示出“工商銀行用戶資料”的字樣信息。正是這則消息將始于2011年12月下旬的網絡“泄密門”事件推向了高潮。
　　在這條消息爆出不久前，中國最大的開發者技術社區CSDN（中國軟件開發聯盟）的600萬用戶數據被泄露，其中包括用戶名和密碼；之后多玩網被傳泄露800萬用戶數據；幾天后，天涯社區4000萬用戶數據包被瘋傳；開心網、人人網、美空網、珍愛網等網站也相繼被卷入這場風波。正因如此，銀行資料泄密的傳言才引起了更大的恐慌，一時間“人人自危”。
　　對于泄密事件，相關部門迅速做出了反應。就在銀行卡泄密消息爆出前一晚，工信部發布通告稱，CSDN、天涯社區等網站發生用戶信息泄露事件后，工信部已立即啟動應急預案，組織相關通信管理局、國家計算機網絡應急技術處理協調中心、網絡安全專家和部分互聯網企業，了解核實事件情況，評估事件影響和危害，研究提出應對措施。另外，工信部還要求各互聯網站開展全面的安全自查。
　　
竊密手段五花八門
　　在“銀行卡泄密事件”中，交通銀行、民生銀行和工商銀行都迅速發表聲明否認“泄密”，同時均表示銀行卡信息絕對安全。但事關人們的切身利益，大家不禁質疑：我們的個人信息真的安全嗎？對此，瑞星安全專家王占濤直言不諱：“其實不僅是賬號和密碼，幾乎所有的信息都有被‘偷看’的價值和可能，比如你的地址、性別、年齡、收入、電話、單身與否、網購習慣和花銷、上網瀏覽習慣、地理位置……”
　　據王占濤介紹，根據所“偷看”信息性質的不同，可分為兩種情況：一種是用戶的賬號、密碼等私密信息，可以通過病毒和木馬等惡意程序從用戶處直接竊取，或是攻擊網站漏洞，竊取網站服務器上的數據庫，直接竊取用戶密碼，還可以通過已泄露的密碼去猜測其他網站的密碼。此外，個別網站由于內部員工行竊，也會出現用戶數據泄露事故；而個別中小型非正規的招聘網站，也可能會出現出賣用戶資料獲利的情況。
　　另一種則是用戶的上網習慣、地理位置等信息。對這類信息，一般是通過對用戶電腦、手機的掃描和監控獲取。如今，具有此類功能的軟件為數不少，有些會在安裝或操作前告知用戶并征得同意，有些則是偷偷進行。此外，用戶上網行為的不謹慎，或是密碼過于簡單、易于破解等，也是信息泄露的原因。
　　信息“被偷”的危害無需贅言。對于用戶而言，更嚴重的是，與實體物品不同，網絡上個人信息“被偷”很難發現，如果沒有發生錢財丟失等實質性損失，或許你會在很長一段時間和偷竊者共用你的信息。
　　據悉，目前的賬戶密碼泄露事件大多發生在終端，即卡號和密碼的保護工作沒有做好，比如用戶在ATM機、POS機或銀行網點的柜臺輸入銀行卡密碼時，被不法分子通過安裝攝像頭或者從周圍偷窺獲知客戶卡號、密碼等關鍵信息。在取得密碼的同時，不法分子還會在銀行門口的刷卡處或者ATM機上安裝小型讀卡器，從而獲取用戶銀行卡上的磁條信息以用于復制其銀行卡。因此，用戶刷卡時一定要注意周邊環境，并觀察輸入設備上有無異常，比如刷卡用的POS機是否是山寨的、柜員機上的讀卡器是否異常等。
　　而網絡上的密碼泄露，多是因為不法分子注冊了類似銀行域名的網站，誘使銀行客戶通過其他網站的鏈接登陸假冒網站，從而竊取用戶的網上銀行注冊卡號、登陸密碼和交易密碼等。
　　
提高防范意識
　　針對此次泄密事件，信息安全專家建議：用戶應分級管理密碼，對于一些重要賬號（如常用郵箱、網上支付、聊天賬號等）單獨設置密碼；定期修改密碼可有效避免網站數據庫泄露影響自身賬號；工作郵箱不用于注冊網絡賬號，以免密碼泄露后危及企業信息安全。
　　專家也同時提醒：不要信任任何網站的安全防護措施，而應采取正確的安全策略，比如不要隨意注冊無關網站賬號，不要輕易在安全性低的網站購物，并盡量采用更多的驗證方式。
　　對于網上銀行用戶而言，除了提高防范意識之外，一個必要的措施是安裝相關銀行提供的安全軟件。以下幾種是業內人士所推薦的：
　　其一，數字證書。它是由證書授權中心發行，以便人們在網上用它來識別對方身份的工具。網銀數字證書是互聯網上標志通訊各方身份信息的一系列數據。在服務器上安裝服務器證書后，客戶端瀏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸的任何數據都會被加密。同時，瀏覽器會自動驗證服務器證書是否有效，驗證所訪問的站點是否是假冒站點，服務器證書保護的站點多被用來進行密碼登錄、網上銀行交易等。
　　其二，客戶端證書。這是個人數字證書的另外一種應用。工行稱之為U盾，農行叫做K寶，支付寶里的則稱作支付盾。證書內容和密鑰信息被存于特殊的USB Key（一種USB接口的硬件設備）中，通常是不能被導出或復制的。當使用證書從USB Key中獲取信息時，還需要密碼。這種防護措施可以提供可靠性較高的網絡安全保證。
　　其三，動態口令卡。它類似于一張數字表，表格內的幾十個數字由橫縱坐標表示。在進行交易確認時，銀行會隨機詢問一個或者幾個坐標的數字，如果能正確輸入對應格內數字便可以成功交易。
　　其四，動態口令牌。根據時間或某個事件，動態口令牌上會生成一個一次性密碼，一般在1分鐘或指定時間后更新。在有效時間內，用戶使用該密碼進行交易，而當時間過期或者該密碼被使用后，用戶再次進行交易時，需要生成新的動態口令牌密碼。
　　當然，只靠用戶一方的防范措施是不夠的。普通用戶處于技術和信息的弱勢地位，作為服務提供方的網站，應該負起更大的責任——以網站數據庫泄露為例，其主要原因在于網站漏洞被黑客利用，用戶電腦再安全也無濟于事。CSDN董事長蔣濤日前在反思用戶數據泄露事件時直言，國內互聯網公司當前普遍存在對數據安全和系統安全認識不夠的問題。“就好像用戶丟了錢包，只提醒用戶往錢包里少裝點錢是不夠的，更重要的是對整體環境的整治。”
　　
　　編輯：尹潔　美編：陳思璐　編審：吳迎春<b