福州新闻网讯　在互联网飞速发展的今天，网上银行早已不是什么新鲜名词，正越来越走进榕城老百姓家中。只需一台连接到互联网的电脑，无论在家里，还是在旅途中，你都可以与银行相连，享受每周7天、每天24小时的不间断服务。抑或是遇上炒股好时节，碰上炒金炒银大热市，你想买股票、买贵金属，投资理财让“钱生钱”，你都不用再跑银行了——只要拥有自己的网上银行。然而，对于许多消费者而言，他们对网上银行有着太多的疑问。其中，消费者们最为担忧的便是网银交易的安全性。

　　把网银密码设置为自己的手机号码;网银登录密码、交易密码和电子邮件密码完全一样;在人头攒动的网吧使用网银;办公室的电脑不设密码，同事都能使用;不装杀毒软件，任电脑“裸奔”;对陌生电邮很好奇，想打开看看……如果以上几条符合你的上网习惯，那么，你的网银已经危机四伏。

　　案例一：

　　惊魂300秒　假冒网银血洗客户数千万

　　南京的王言(化名)先生突然收到一条手机短信：“尊敬的网银用户，你的网银证书将于次日过期，请尽快进行升级，给您带来不便请谅解，详询955XX。”

　　而王先生正是某国有银行的网银用户，王先生向记者道:”银行的客户经理平时也常发短信提示用户办理各项业务”，所以王先生虽然发现是来自一个陌生手机，但也并没有产生怀疑，随即利用电脑，根据短信提示的内容登录短信内的“银行”的网址，并未发现异常，便根据网页提示，输入自己的用户名、密码以及随机产生的动态口令等信息，在页面显示升级成功。王先生在退出页面后猛然发觉不对，再次登录时，发现自己账户内的100万元已经被全部转走。

　　无独有偶，来自深圳的黄先生也遭遇了同样的经历。其账户内存款被分四次转出，只剩下零头。而绍兴的一位商人则被同样的手段骗取资金接近200万元。

　　据了解，上述案件中犯罪分子的作案手法如出一辙。受害人均收到陌生手机号码发送的短信，提示其银行网银动态口令将于次日过期，让其尽快登入其银行网站进行升级。一旦事主登录短信内留下的网站，所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取，其网银账户内款项在几分钟内被迅速转走。

　　“硬件动态口令牌”设计被疑潜藏安全漏洞

　　该行的“E令”，实际上就是“电子动态口令生成器”，是由该行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成，根据专门的计算法则，每隔60秒会自动更新一个动态口令，要求用户在60秒内输入，以保障网银操作安全。然而此轮网银诈骗，绝大部分案例都以“E令”为幌子，众多用户质疑号称动态安保的“E令”此时已形同虚设。

　　该行网银的安全保障体系，目前多数银行采取多因素、多渠道的认证方式，安全级别设置也较高。但是该行网银在大规模的“钓鱼案件”发生时，只可选择动态口令这一项安全工具，安全防护措施相对简单，不久前才刚刚进行了改进，增加了短信认证这一环节，遭到了不少客户的质疑。

　　此外该行网银主推的安全工具动态口令。中国金融认证中心专家认为，动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在1分钟内都会有效。而就是这短短的一分钟，让不法分子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满：“一分钟时间足够操作熟练的人完成整个犯罪过程，动态口令这种安全工具本身就有问题。”

　　案例二：网上银行无须密码即可开通手机银行，暴露网银另一弊端

　　福州的张先生在亲身经历了类似的诈骗案件，然而有所不同的是，在银行已经降低网银转账单笔最高限额至500元并增加了一道防火栓后，他账户内的2万余元依然一次性通过手机银行被窃走。

　　张先生十分不解，自己从未开通过手机银行，为何犯罪分子能借助这种渠道完成转账，其银行工作人员回应称，其银行的手机银行可以直接在网上银行登录页面上开通，犯罪分子盗取网银后直接开通了手机银行，在没有手机验证码的情况下依然成功转账。

　　张先生质疑为何手机银行可以不需要任何证件就随意开通，在近期网银案件如此猖獗的情况下，银行为何还是如此考虑不周。该行工作人员对此回应称这确实是一个漏洞，目前该行手机银行已停止通过网银直接开通。

　　中国金融认证中心的相关负责人也表示，通过手机短信，银行用户上当受骗进入钓鱼网站进行交易，这一欺诈主体不是银行、也不是银行网站，银行应做的是尽到警示、提醒的责任，避免用户上当受骗。