msn & email:icbc74@gmail.com,icbc74@yahoo.com.cn
 

 
对“工行正面回应”的回应
(一)
  对工行所谓正面回应提及的我们联盟成员的三个所谓典型案例,我们先回应如下:
  [工行] 典型案例一:××诉工行储蓄合同纠纷一案,已经经过法院审理并判决了,法院认为,“网上银行交易中使用密码的行为应视为原告本人的行为,原告对密码的保护负有义务,发生网上银行交易与原告未能妥善保管密码有直接关系,应由其对密码的使用承担责任,被告工行××支行没有过错,不承担责任”。
  [联盟] 事实上,法院是一审判决,是否合理还在商榷中,等待二审判决。其案件根本在于工行网银大众版的自助注册开通和工行赋予自助注册后的大众版过大的权限,给了犯罪分子可趁之机,造成资金被盗。该责任到底该谁来承担,明眼人一看就清楚。
  [工行] 又如,×××的资金被盗案已经侦破,根据公安部门提供的情况,犯罪嫌疑人通过非银行过失的非法途径盗取了受害人的银行账号、网银密码等相关信息后,通过网上银行窃取了×××的资金。
  [联盟] 事实是受害者为客户汇款方便,在网上公布了其银行卡账号。罪犯在了解其银行卡账号后,利用工行系统漏洞破解了密码,窃取了受害者资金。该责任到底是不是应该受害者来负也很明显。

  [工行] 再如,××因接受了不法分子为其办理的银行卡,然后将钱存入此卡中,于是,不法分子通过事先注册好的个人网上银行将其资金划走了。
  [联盟] 事实是罪犯为受害者办理银行卡,工行没有履行审核责任,罪犯使用假身份办理了银行卡和开通了网上银行(假身份证使用了罪犯的照片,仅修改了受害者身份证号码的一位,其他完全相同)。该卡经受害者在atm上验证修改密码后,并在存款时和银行工作人员核对后,方才正式使用。工行提供受害者签名的存款凭条上的客户须知中清楚写明:"1.请仔细确认"银行填写"栏中姓名、币种、金额、存取款操作类型、存期、转存期等内容是否正确,并在"客户确认" 栏内"客户签字"处亲笔签字,以表明银行打印纪录正确无误;若为代理人办理,则应签署代理人本人姓名,并注明"代"字。签名要字体清晰、易于辨认,不得涂改。签名确认后,请即将签单服务凭证交由银行留存。"不想工行银行卡号密码与网上银行密码修改竟然并不同步,银行工作人员核对也不认真,这才造成了受害者资金被盗。实际上,罪犯在交给受害者银行卡时就有意反复建议受害者到atm去修改密码。所以,显然罪犯利用工行失误和网银设计漏洞方才得逞。另外,刑侦发现罪犯在一个小时不到通过网银转到了5个账号上,在5月7日和11日分2次每次4.7万取走了钱款,并且还有一个用受害者假身份证开通一个账号上还有3.8万来不及取走。如果工行当时接到受害者报失后马上采取行动,罪犯是无法得逞的。特别,笑话的是:受害者到工行要求取走剩余的3.8万,工行先是不同意,后是让受害者用假身份证,修改所有密码,取走了3.8万。因此,这个责任到底该谁来承担也很明显。
(二)
  我们再次对工行所谓正面回应进行逐条分析:
  [工行] 回应一:首先,工行网银专家就用户资金被盗的成因进行了分析。他说,媒体报道的网银受害者联盟资金被盗的情况各不相同,但每例的事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损
失。
  [联盟] 工行所谓网银专家对三个案例做了介绍,然后得出结论:“每例的事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失”。实际情况,我们在回应(一)中介绍了工行提及的三个案例,大家都看得明白到底是不是保管不善。另外,我们也可以在适当时间公布所有受害者情况,看看是不是工行所说的“每例的事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失”。
  [工行] 回应二:该专家说,“工商银行网上银行系统存在漏洞”的说法明显不成立。截至目前,尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件。他进一步分析说,如果工行网银系统确实存在漏洞,那么受害的客户可不应该仅仅这些了。试想,工行有2000万网银用户,而受害的几百人却不到网银客户的十万分之一。事实上,从目前发生和已经侦破的案件来看,客户安全意识不强,没有保护好自己的账号、密码等重要信息,是导致网银资金被盗的根本原因。犯罪分子均是通过各种非法手段盗取了用户的账号、密码等个人信息后,再以客户身份登录银行的网银系统盗取资金。也就是说,一小部分客户资金损失的造成都是在用户端形成的,而非通过攻击或进入银行的系统造成。
  [联盟] 该专家所称,“尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件”。该专家自己也知道缺乏说明力,自己进一步反证说,“如果工行网银系统确实存在漏洞,那么受害的客户可不应该仅仅这些了。试想,工行有2000万网银用户,而受害的几百人却不到网银客户的十万分之一”。显然,该专家忘记了工行网银系统是工行客户的用户端和工行系统端构成的。而现在工行网银是利用一般软件公司提供的普通浏览器(比如微软的ie)加载插件充当其用户的客户端,因此,即使其客户用户端出现问题工行也无法推托责任。谁叫工行你自己不提供客户安全的用户端呢?
  另外,该专家只把犯罪分子攻击和进入工行网银系统端才称为工行网银存在漏洞,忘记了目前主要存在的罪犯通过探测工行网银系统端获取用户密码也是工行网银漏洞,其网银系统设计和使用上存在的漏洞更是工行网银漏洞。因此,很明显,该专家偷换了工行网银存在漏洞的概念。要知道工行网银给犯罪分子可趁之机就是漏洞。要知道如果工行网银烂到让犯罪分子随便进入其核心系统,造成全部网银用户受害,那工行就不是工作失误的问题,就不是我们用户需要维权的问题了。
  实际上,工行网银系统设计本身就存在严重问题,比如:为何不采用低成本的直接客户端登陆形式?为何不全部采用数字证书来识别客户身份?这样就可以直接避免登陆假网站,也可以避免绝大部分病毒入侵。我们在这里不想做详细的技术分析,就只引用一下网友的评论,让大家评判:
  ----------------------------------------------------------------
  2006-08-17 21:33:06 新浪网友 ip:221.221.24.*
  针对网上近期流传的木马病毒盗取工行网银密码一事,本月初工行网银专家曾出面回应,工行网银的安全性能已达到国际先进水平,完全能够很好地防范网络病毒的侵入,并采取防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施来保障网银安全。
  ----------------
  这纯粹就是蒙不懂技术的,工行到目前位置仍然可以用简单的代码实现控件内容的获取,这个可是几年前的问题了;到目前为止thinkp ad的指纹识别软件仍然可以在工行的网银上使用,还有不少人人引以为豪,却不知道,这正是控件不安全的原因。大家动脑筋想一想,为什么木马针对工行???
  ----------------

  分析得很专业。我的安全软件直接将工行网银页面过滤了,说明网页一定存在安全漏洞。
  ----------------------------------------------------------------
  2006-08-17 21:41:56 新浪网友 ip:221.221.24.*
  工商银行网上银行近两年发展很快,成了其不可或缺的一个重要渠道,且被国外一些媒体评为中国最佳网上银行。
  1)工商银行的个人网上银行系统登录界面中没有使用验证码来防止暴力攻击,这种成本非常低,但安全性回报很高的做法竟然都不用(扣1分)
  2)登录界面中,只有密码域使用了安全控件,难道帐号信息就不重要(扣1分)
  3)在iehttpheaders捕捉到的登录form提交的信息中,帐号和密码是未加密的明文,且没有任何其它的信息来防止安全攻击(扣3分)
  4)有意思的是,在登录界面的http response信息中,不但有iis 5.0的信息,还有websphere applicat ion server 4.0的信息,看来其web server是iis,而applica tion server又是websphere,这一对组合...
  5)登录安全控件的cab包(axsafecontrols.cab)大小约为174k,经过verisign代码签名,里面有三个dll:inputcontrol.dll似乎就是界面控件,msvcp60.dll应该是microsoft c++ runtime library,submitcontrol.dll应该是与提交有关的控件,在submitcontrol.dll中发现有addpair方法,应该与加密有关,在页面提交的javascript中,也确实发现是submitcontrol发挥了作用,但为什么就是明文的呢?(扣2分)
  6)在登录页面的源码中,发现了一段被注释的javas cript代码,仔细一看,原来是以前登录界面未使用安全登录控件时,使用html input控件时的处理代码,界面改了之后,处理代码没有删除,只被注释,这些源代码中暴露系统的一些信息,很不专业,也 很危险,因为通过分析就可以发现,其界面更改前后的服务器端代码没有任何变化(扣2分)

  7)最关键的是,虽然vb的键盘hook程序不能hook密码域中输入的值,但是基于.net 的键盘hook程序竟然完全可以捕捉到用户输入的任何键值,这难道就是大家前几天讨论的捕捉的作用域问题?这样的话,安全控件几乎就成了摆设(扣10分)
  8)没有在登录页面中给出如何解决登录问题的链接文档,可能使得很多用户由于activex不能正确安装而不能正确登录系统...
  ----------------------------------------------------------------
   
  
[工行] 回应三:基于对具体案例的分析,工行有关负责人说,“用户使用工行网银被骗”的说法是一种误解,也具有很强的误导性。事实上,工行也是受害者。他说,有些客户由于轻信或不小心,被犯罪分子盗取了账号、密码等个人秘密信息,然后导致犯罪分子以客户“真实”身份注册或登录网银,进而形成资金损失。整个链条非常清楚:这些客户是在工作和生活中上当受骗的,而非在银行被骗。因此,资金损失者的受害者不是“工行网银”的受害者,而是“不法犯罪分子”的受害者。例如,在近期破获的一起网银案件中,犯罪分子攻破了一家小网站并窃取了该网站的客户信息(包括用户名、密码、银行卡号等),而该网站部分客户在普通网站上的密码和网上银行密码设置相同,这就给了犯罪分子以可乘之机。还有一家公司的高管,将自己的银行卡和密码交给下属到银行办理业务,该下属利用银行卡和密码申请了网上银行,随后辞职并通过网上银行转移了该高管的资金。
  [联盟] 只要从事过网络安全的都知道,就凭用户名和密码的等级是最低的。该工行负责人提到的以上案例实际都是因为工行网银系统缺乏对自己客户的身份认证才给了犯罪分子以可乘之机。在生活中,到银行取款和转帐都需要银行卡+密码+身份证+签名确认,但在虚拟的网银工行竟然只要卡号+密码,并可以自助开通实在令人吃惊。我们不禁要问:这样常识性的大漏洞工行是真不知道,还是为抢夺市场份额的铤而走险之举?
  [工行] 对于网银安全问题,工行有关负责人再次呼吁,网上银行安全包括银行端和客户端两个方面,需要银行和客户携手共同打造。从银行端来说,工商银行采用了一系列先进的安全防范技术,包括多重防火墙、1024位非对称加密算法的证书签名、ssl128位加密传输、实时扫描、实时监控、数据加密存放等,通过这些措施,使工行网银系统达到了较高的安全级。从客户端来说,为了保护客户端的安全,工商银行为客户提供了u盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。办理一个u盾不足80元钱,等于加了一把安全锁,即使客户的账号、密码等个人信息被窃,若没有u盾,也无法将客户资金转移。工行希望账户资金较多或支付业务较多的客户,能办理u盾。
  除了这些措施,客户还要有足够的安全意识,养成良好的网上银行使用习惯,否则客户端安全仍然难以保证。因此,客户需要注意以下几点:第一,登录正确网址。访问工行网站时请直接输入网址登录,建议将工商银行网站地址添加到浏览器的“收藏夹”中,不要采用超级链接方式间接访问我行网站(http://www.icbc.com.cn/)。第二,保护账号密码。在任何时候及情况下,不要将您的账号、密码告诉别人,为您的网上银行设置专门的密码,区别于您在其它场合中(例如:其他网上服务、atm、存折和银行卡等)使用的用户名和密码,避免因某项密码的丢失而造成其他密码的泄漏,不要相信任何通过电子邮件、短信、电话等方式索要卡号和密码的行为。第三,注意计算机安全。下载并安装由工商银行提供的用于保护客户端安全的控件,定期下载安装最新的操作系统和浏览器安全程序或补丁,安装并及时更新杀毒软件,不要开启不明来历的电子邮件。只有这样,银行建设好自己的网上银行系统,客户做好客户端的安全保护,才能共同打造一个安全使用网上银行的良好环境。
  近期,工商银行综合考虑安全性与成本因素又推出了一款全新的电子银行安全工具——电子银行口令卡,该卡是工行为保护客户资金不受损失而设置的又一道防线,以后所有申请使用网上银行的客户既可以优先考虑使用u盾,也可根据自己的需要选择使用电子银行口令卡。此次,工行停止自助注册网银客户交易功能并从下月起调低柜面注册静态密码客户的交易限额,也是为了配合电子银行口令卡的推出而进行的调整。

  [联盟] 所谓工行专家一边说工行网银固若金汤,工行有关负责人另一边又承认“网上银行安全包括银行端和客户端两个方面,需要银行和客户携手共同打造”。这不是互相矛盾吗?
  工行有关负责人表示,对受害者资金被盗事件该行非常重视,一直积极配合公安机关侦破案件,并协助追缴受害人被盗资金,力争帮助受害者早日挽回资金损失。同时,该负责人还表示,网上银行是个新生事物,对于节约社会成本,提高客户使用效率等方面有着非常积极的作用,它的成长需要社会各方面的关心和支持,也需要良好的法律环境,尤其需要媒体正确引导客户安全使用网上银行。相信随着银行网银系统的不断完善,以及人们防范意识和能力的不断提高,广大用户一定会享受到更为安全、方便和快捷的网上银行服务。
  [联盟] 事实是,到目前为止工行根本没有跟我们进行过任何联系。根据我们收集的所有受害者资料,绝大部分受害者在发现被盗后,工行也没有采取任何有效措施。特别触目惊心的是,罪犯盗窃中多次使用的账号还在使新的受害者受害。绝大部分受害者工行和公安机关也都在相互推诿,绝大部分立案的受害者案件也都没有得到工行和公安机关重视并进行认真的侦察。目前,我们依然每天都有不少个新的受害者加入。
  最后,我们用正在通缉的罪犯李伟主动回应的邮件做结;并再次敦促工行完善网银系统,对网银犯罪建立快速反应机制,积极配合公安机关打击犯罪,而不是让客户眼睁睁地看着犯罪分子把钱转走;也再次呼吁公安机关统一案件受理平台,集中技术和警力,对网银犯罪进行专项打击。
  ------------------------------------------------------------
    
from: "cnflys@gmail.com" <cnflys@gmail.com>
    to: icbc74@yahoo.com.cn
    subject: fwd: 联盟你好
    date: wed16 aug 2006 09:43:02 +0800

    哈哈
    随便盗一个帐户就能喝几天的酒
    随便盗一个邮箱就能把你这个孙儿骂的趴下

    

  
  你爷爷李伟

    ---------- forwarded message ----------
    from: xu chao <cnflys@gmail.com>
    date: 2006-8-16 上午9:40
    subject: 联盟你好
  
  to: icbc74@yahoo.com.cn

    sb联盟:

  
  杂小子搞个网很吸引人嘛
  
  你小子也忒大胆了 把你爷爷李伟我的大名儿挂上面
  
  你小子找的我到嘛
    唉 何必浪费大家的时间呢

  
  

  
  你爷爷李伟
  ------------------------------------------------------------
 



工行网银受害者集体维权联盟 版权所有
msn & email:icbc74@gmail.com,icbc74@yahoo.com.cn
沪icp备11020471号