IT蓝图五年曲折路中行网银窃案曝安全漏洞-法师兄

IT蓝图五年曲折路中行网银窃案曝安全漏洞

来源：法律编辑整理时间： 2023-06-07 19:44:22 445 人看过

近几个月，中行网银以一种意外的方式广受关注。

经过社会各界的共同努力，针对中行网银客户的诈骗案件已得到有效遏制。截至目前，中行已配合公安部门封堵假冒钓鱼网站524个，协助破获90多起网银诈骗案件，打掉3个犯罪团伙，抓获犯罪嫌疑人30多名。中行相关负责人近日对外界表示。

他所指的诈骗案即去年底和今年初，部分中行网银客户遭到钓鱼网站欺诈，网银账户内款项被转走。事发后，中行已在网银转账业务上增设防线，包括降低单笔转账限额、对所有向他人转账交易全面应用手机交易码认证服务等。

这些措施应该足以防止网银客户再遭钓鱼网站诈骗。一位从事银行IT外包服务的工作人员称，尽管网银在银行IT系统中只是很小一部分，但其漏洞还是暴露出银行IT系统建设的不足，还有改进空间。

过去十年IT系统是银行业第一生产力，但这些年中行IT系统建设可能走了些弯路，包括网银在内的很多业务难免受到影响。一位接近中行的人士表示。

三个关键环节

目前，对于涉案总金额还没有完全统计，但据媒体报道，仅1月10-20日，江苏省此类案件就发生上百起，浙江省有近50起。

与以往电信和网络诈骗案件相比，犯罪分子针对中行网银用户的作案手法并不新鲜。

据了解，不法分子的主要作案手法是：制作假冒中行门户网站及网银首页，然后在境内外注册类似中行域名，并用普通手机号假冒中行身份向数千万人群发短信，以中行网银系统升级或动态口令牌过期更换为由，诱骗客户登录钓鱼网站，盗取客户网银用户名、密码、动态口令等安全信息，转移客户资金。

山东的赵先生便遇此一劫。1月2日晚，他接到短信称其中行E令即将过期，请其尽快登入一网站进行升级。信以为真的我马上在家里登录了对方提供的网站，并根据提示输入网银用户名、密码及动态口令，按了3次升级按钮，网站页面提示升级成功，我便关闭了网页。

直到1月4日中午，赵先生想把钱转到股市发现只有6000元。打开中行网银，发现34万转出了。赵先生无奈地表示，据我了解，这种网络诈骗，客户的资金一分钟内就会被转走，之后骗子会把钱拆成多笔小金额转入不同账户。

整个过程中，诈骗短信、钓鱼网站和动态口令无疑是三个关键环节。

诈骗短信很好识别，都是私人号码发出的，从这点来说，银行其实也挺冤。上述从事银行IT外包服务的工作人员表示。

安全机制漏洞

受骗用户自身虽难辞其咎，但上述人士也指出，中行网银安全机制设计确实存在漏洞。

动态口令是通过一个特定的计算方式产生随机密码，银行后台利用同样技术也能产生相同的密码，可在一定程度上保证用户安全登录网银。但缺陷是，银行端可以用这个密码来辨认用户，用户却无法使用密码来辨认自己登录的是否是正确的网站。上述人士表示。

与此同时，钓鱼网站的以假乱真也让用户防不胜防。据了解，与真正的中行网站主页相比，假冒网站的页面颜色、字体、版式等一模一样，两者最大区别在于假网站右侧第一栏按钮名称是网银E令升级，而真网站的同样位置则是登录中行网银BOCNET。

2008年测试中行e令时，它的技术并不比U盾落后，问题在于尽管动态口令能提供第一重防线，但网银的第二、三重防线基本形同虚设。另外中行网站的架构比较单一，容易被模仿。上述接近中行的人士表示。

针对上述客户遭钓鱼网站诈骗事件，中行也实施了一连串补救措施：从1月21日起，大幅降低用户单笔转账金额至500元；自动向用户发送交易口令确认码，只有用户确认才能转账成功；大幅提高对客户风险提示和安全教育的密度。

其中最关键的是手机交易码认证服务。手机交易码配合动态口令，通过双通道、双因素认证来加强网银安全防护。手机交易码短信中含有收款人姓名、收款账号、交易金额等关键交易信息，客户只有确认这些交易信息后输入手机交易码方可完成交易，起到了良好的提示和防护作用。中行相关负责人表示。

IT蓝图曲折路

这些年来，中行的IT系统已经成了业务发展的一个软肋，新系统推广了好几年，但遇到不少阻力。中行一从事软件开发的人士表示。

他所说的新系统即IT蓝图项目。该项目始于2004年。按中行早先规划，这项总投资约100亿元的银行IT系统及流程再造工程本应在2008年底完成，但因与外包商塔塔咨询磨合困难等原因，上线一再拖延。

林晓

2009年初，中行对IT蓝图进行了重新规划，从最初主要依靠外包商转变成以我为主自行研发，并与塔塔咨询签订了补充协议，确立了双方的权利义务。

可以说是FNS(塔塔咨询的前身金融网络服务公司)耽误了中行三年时间，其实很多IT人士当初对这家公司都不认可，因为它缺乏对大型银行数据集中的经验。中行转为自我开发为主后，可能也是在BANCS(FNS的核心银行业务解决方案)原码基础上改进，原有的一些问题可能很难解决。上述接近中行的人士表示。

不过，改弦易辙后，中行IT蓝图项目明显加速，并于2009年10月在河北省分行正式投产上线。中行2010年半年报显示，去年2月，IT蓝图2.0版本已在河北省分行成功投产。随后以该版本作为基准版，分三批次在西北五行、西南五行、黑吉蒙晋赣皖六行上线投产。

目前已有大约三分之二的分行上线投产，实现了数据上的逻辑集中。上述在中行从事软件开发的人士表示，预计新系统今年将推广到所有分行，年内还将逐步完成先期投产分行升级工作。

投产以来，系统运行平稳，业务开展也很顺利。中行河北省分行一支行人士称。

不过，也有中行内部人士认为，即便年底新系统推广到所有分行，也难以就此认为IT蓝图项目圆满完成。还是要看新系统对业务的促进作用，至少目前来说不很明显。

声明：该文章是网站编辑根据互联网公开的相关知识进行归纳整理。如若侵权或错误，请通过反馈渠道提交信息，我们将及时处理。【点击反馈】

扩展阅读

律师服务

热门律师推荐

律师普法

换一批

更多犯罪团伙相关文章

房贷
贷款人自曝房贷申请漏洞

尽管房贷一直被各家银行视为优质资产，但随着房贷政策紧缩，以及美国次贷危机不见好转的实例之下，杭州各大银行纷纷绷紧了房贷这根弦。但是在目前银行的实际操作中，房贷审查这道重要关口仍存在一些隐患，让个别投机者有漏洞可钻。收入证明，随便找家公司开购房者L先生的自述：去年7月份的时候，杭州楼市真是一片红火啊，身边的朋友熟人们聊天，话题不是股票就是房子。本来我对房子一点兴趣都没有的，因为一来当时我辞职在家，属于待业青年，买房子简直不可想象;二来虽然我没有买房子但有房住，因为有个杭州亲戚出国，房子一直借给我蜗居着，每年象征性地交一笔房租。但是有时候，当身边的人都在热火朝天地做同一件事情，而你不去做，会有被潮流抛弃的感觉。反正去年8月份的时候，当房价大涨、漏夜排队的消息满天飞的时候，我忽然就很想买房。我看中了城西的95万元的二手房。那时候手头只有10万多元的积蓄，不过父母一直说要赞助我30万元，所以首付应

2023-06-09

126人看过
国务院
2023年全国抽水蓄能项目蓝图

能源结构。煤炭消费比重下降到56％以下。新增电能替代电量2000亿千瓦时左右，电能占终端能源消费比重力争达到28％左右。供应保障。全国能源生产总量达到42亿吨标准煤左右，石油产量1．96亿吨左右，天然气产量2025亿立方米左右，非化石能源发电装机力争达到11亿千瓦左右。我家抽水抽400吨水，水费能减免吗原则上应当由个人负担，但是经协调自来水公司可能适当减免，对于税费的减免可以由当事人进行主动申请，双方进行协调，提交漏水减免申请报告，照片和身份证，进行相关的证明。然后，根据相关的政策进行核实和批准，对于超出的部分进行合理的减免，供水公司可以进行相应的减免。《中华人民共和国城乡规划法》第十四条城市人民政府组织编制城市总体规划。直辖市的城市总体规划由直辖市人民政府报国务院审批。省、自治区人民政府所在地的城市以及国务院确定的城市的总体规划，由省、自治区人民政府审查同意后，报国务院审批。其他城市的总

2023-07-16

207人看过
履行职责
太原堵塞食品安全监管漏洞

山西省太原市纪委、监察局下发《关于开展食品安全责任监督工作实施意见》，通过强化执法监察、效能监察、风险监察、隐患监察、电子监察，进一步加大对食品安全监管部门的监督检查力度。《意见》指出，该市监察局将对食品安全监管部门是否认真履行食品安全监管职责、是否有效落实食品安全监管责任制和年度监管措施、是否健全并严格执行各项工作制度等情况进行监察，有效预防和严肃处理监管不力、玩忽职守、失职渎职等不作为、乱作为行为。此外，该市纪委、监察局还将组建食品安全监管信息员队伍，强化对各监管部门履行职责的监督。该市还制定出台《食品安全监管责任追究办法》，对失职渎职、徇私舞弊等违纪违法行为从严从重追究有关部门和责任人的责任;对监管部门之间互相推诿扯皮、推卸责任的，按照同等职级同等责任给予同等处分。

2023-06-07

96人看过
消费者
揭秘二维码的信息安全漏洞

你扫一扫了吗?如今，黑白相间、形似迷宫的二维码已经深入人们的日常生活。随着智能手机普及，二维码成为连接线上、线下的一个重要通道。然而，一些犯罪分子利用二维码传播手机病毒和不良信息，甚至是进行诈骗等犯罪活动，严重威胁消费者的财产安全。扫一扫二维码，存款瞬间被盗日前，浙江嘉兴汪女士在扫二维码时遭遇了陷阱。在淘宝交易过程中，对方发来一个二维码，称必须扫描二维码才能显示商品信息。汪女士没多想，用手机扫了一下，点了一下链接，可网页一直没有显示出来，再登录支付宝账户时，发现密码已被修改，随后，支付宝、余额宝中的18万元被对方转走。据办案民警介绍，汪女士扫二维码点开的链接被植入木马病毒，她的手机中招后，支付宝的服务密码被对方获取，随后账户被对方盗刷。类似的诈骗犯罪不时在各地上演，消费者损失惨重。如去年11月，福建一对母女在未核实来源的情况下扫描二维码，半小时内手机银行账户被盗刷200多万元;还有一位何先

2023-04-24

65人看过

法律综合知识
利用网络漏洞立案标准

要根据利用网络漏洞涉嫌的具体罪名来确定立案标准。利用网络漏洞可能涉嫌涉嫌破坏计算机信息系统罪或者侵犯公民个人信息罪。《刑法》第二百八十六条【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

2024-05-03

346人看过
机动车
防止逃逸案件中的漏洞

在处理交通事故时,需要掌握肇事车的行驶方向,记录好车辆的颜色、型号和车牌号,以便确定追缉路线。同时,了解逃逸车辆的行驶方向和损坏的明显痕迹,可以帮助警方更快地找到逃逸车辆,从而增加追回逃逸车的可能性。在查案过程中,观察逃逸车辆的细节也是非常重要的。首先，我们需要掌握肇事车的行驶方向，以便确定堵截和追缉的路线。2、记录好车辆的颜色、型号、车牌号。3、了解好逃逸车辆行驶方向，确定堵截和追缉的路线。4、注意逃逸车辆损坏的明显痕迹，在查案过程中注意观察。记录车辆颜色、型号、车牌号，方便查案根据《中华人民共和国道路交通安全法》的规定，驾驶机动车上道路行驶，应当悬挂机动车号牌，并保持机动车号牌、标志、保险标志完好或者完整。同时，任何单位和个人都有权向公安机关交通管理部门举报交通违法行为。为了记录车辆信息以方便查案，驾驶机动车上道路行驶的驾驶人和乘车人应当按规定使用符合标准的机动车号牌，并随车携带行驶证

2023-10-24

489人看过
总会计师
公司财务安全漏洞及应对措施

骗取公司财务三千可以立案。数额较小没有达到三千元的，尚不构成诈骗罪，但是违反社会治安。根据我国相关法律规定，诈骗公私财物，数额较大的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无期徒刑，并处罚金或者没收财产。注册公司财务负责人可以是法人吗注册公司财务负责人不可以是法人。法人代表可以兼任财务负责人，公司的法定代表人不能兼任财务负责人。因为凡事与企业负责人有直系亲属关系的人都不能担任企业财务负责人，包括出纳。这是财经法规的明确规定。法定代表人指依法律或法人章程规定代表法人行使职权的负责人。法律依据：《中华人民共和国会计法》第三十六条各单位应当根据会计业务的需要，设置会计机构，或者在有关机构中设置会计人员并指定会计主管人员；不具备设置条件的，应当委托经批准设立

2023-07-12

247人看过
董事会
国外银行再曝丑闻关注金融安全

近日，一境外著名银行曝出该行历史上最大违规操作丑闻。一名交易员在未经授权情况下，大量购买欧洲股指期货，最终给银行造成49亿欧元(约合71.4亿美元)损失。该交易员居然通过了银行“5道安全关”，获得使用巨额资金的权限。信息安全已然成为一个国家的金融机构所无法回避的严重问题。德勤华永会计师事务所企业风险管理服务合伙人方烨称，信息系统的安全已经成为影响金融机构运营的重要因素之一。德勤2007年对金融机构的全球安全调查发现，业界出现对安全问题自相矛盾的态度：意识到问题的存在但对解决问题缺乏支持。调查显示：少于2/3(63%)的参与调查者制定了明确的信息安全策略，而只有10%的参与调查者由他们的业务部门领导人主管信息安全。调查结果还表明，破坏安全最根本的原因仍然是人为因素：公司的雇员、客户、外包方与业务合作伙伴等。我国政府和监管部门也已注意到了信息技术与信息安全对金融机构的重要影响。早在1998年，

2023-04-24

276人看过

股份有限公司
存入现金被“掉包”农行ATM机被指安全漏洞

存入农行atm机4300元却被“掉包”，近日，王女士以储蓄存款合同纠纷将中国农业银行股份有限公司北京朝阳支行诉至朝阳区人民法院，要求其返还存款4300元。王女士诉称，2010年1月10日，其持农行储蓄卡至朝阳区东三环中路某atm机处将4300元存款存入atm机，操作完成后，其随即查询钱款是否存入卡内，但是按照屏幕提示重新输入密码进行查询时，atm机却显示密码错误，多次操作均无法查询。无奈下，其遂到柜台工作人员处查询，被告知所持有的信用卡并非其本人所有。王女士认为，肯定是原告在自动取款机取款时被人“掉包”了。王女士认为，银行应当提供一个合法安全的atm存款程序确保储户资金安全的存入自己的卡内。现因农行的atm机存款程序设计上存在重大漏洞造成原告的存款损失，故诉至法院。目前，此案正在审理中。

2023-06-07

112人看过
电子银行
电子银行被指藏漏洞遭起诉

个人电子银行账户存款丢失，持卡人怀疑电子账户存在漏洞才让小偷得逞，将银行告上法庭。日前，上海浦东法院开庭审理了该纠纷。2005年6月和10月，李先生办理了两张牡丹灵通卡，并申请了个人电子银行账户。2005年12月6日，李先生在银行自动取款机提款时发现两张卡各有1414元不翼而飞。经银行查询，2天前有一陌生人在网上转走了这笔款项。李先生怀疑小偷并没有事先破解银行卡密码，而是直接使用了某种程序从电子银行的主页上一次性将钱划走转账，认为银行的网上电子系统存在漏洞.遂一纸诉状将银行告上了法庭，诉请要回2828元，银行应该对此事负责。银行方面不承认自己的电子银行系统存在漏洞和破绽，拒绝对李先生作出赔偿。银行表示，该电子银行系统自投入运营以来，由公共安全部门对其可靠性和安全性进行了一系列的测试，且迄今没有接到过类似的用户投诉。其猜测，李先生可能使用过公用电脑直接登录了银行主页，导致自己的账户密码无意间

2023-06-06

419人看过
商业银行
利用支付系统漏洞套取银行资金构成盗窃罪

案例要旨：利用支付服务公司的系统技术漏洞，以该公司明确禁止的信用卡转账还信用卡的方式套取商业银行特别巨大资金用于个人存款、偿还债务和个人消费，且发卡行并未催收，行为人的犯罪对象也非信用卡限额，对该行为应定盗窃罪而非信用卡诈骗罪。使用手机木马程序盗取他人支付宝账户信息及资金的构成盗窃罪案例要旨：被告人虚构买家的身份，诱骗淘宝卖家使用手机接收并安装其发送的伪装成购买货物图片的木马病毒，截获并转移对方手机短信，从而获得对方的验证码，进而对被害人的支付宝账户进行密码重设等操控后，盗走被害人账户及关联银行卡内资金的行为，构成盗窃罪。

2023-08-11

360人看过
集团公司
司机撞人告高速路“漏洞”

在京石高速行车时突然出现行人，出事故造成2人死亡。司机赔偿后将公路管理方起诉。8日上午，在北京房山法院，姚先生指责公路管理方未尽到养护责任，导致事故发生，应赔偿9万元。该案的原告是中国葛洲坝集团公司高级工程师姚小林。今年5月12日，姚小林驾车在京石高速上行驶时，路上突然窜进行人。姚小林所驾车辆避让不及，发生交通事故，造成杜某和尉某死亡。经交警确认，杜某和尉某负全部责任。后经交管部门调解，姚小林赔偿杜某和尉某家人5.2万元。姚小林认为，因京石高速封闭护栏多处破损，造成杜某等4人进入高速路发生事故。姚小林认为北京市首都公路发展集团有限公司应承担赔偿责任，请求法院判令赔偿9万元。“护网的作用是为了防止牲畜。行人的说法非常清楚，他们是翻越围挡进入高速路，作为管理者，我们确实管不了。”被告方代理人表示，作为有完全民事行为能力的行人，进入高速路的后果应该自己承担。姚小林的代理律师表示，因为被告的管理过

2023-06-08

325人看过

网上银行
中国网上银行系统安全性分析

前言：本文是对于一般性质的网上银行系统安全性的技术分析文章，对于目前中国国内具体银行的安全性不具有评测功能，也不对任何第三方评测数据负责。以下是正文。网络银行是一个比较新的概念，中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充，银行增加一些软、硬件设备，使得用户可以通过家用电脑连接银行系统，进行各种普通的银行业务，以弥补传统银行业务中营业网点少和营业时间短的不足。中国的网上银行起步比较早的是深圳招商银行，他们开发过第一个面向最终用户的网银系统。招行的网络银行有大众版和专业版之分。随着网络的大规模普及，中国各个银行也都逐步开启自己的网银系统，有些银行的系统仅局限在账户信息查询方面，有些则包含转账付款等功能，还有的已经涉及贷款、投资等方面的内容。随着网银的普及，网银的安全性成为整个系统中最为至关重要的部分了。今年以来，大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通

2023-04-24

338人看过
国务院
央视曝光三大行存惊天漏洞你正沦为洗钱帮凶

诈骗犯到底咋洗钱?他们从网上购买一套真的身份证+银行卡+手机电话卡=成功用此转移财产。那么问题又来了，这些银行卡哪来的?记者深入调查发现惊人内幕：网上买一张别人丢失的身份证，拿去四大银行，其中工商银行、中国银行、农业银行。可轻松办理银行卡2014年，许多人都收到过显示为10086积分兑换现金的短信，而这样一条伪基站发来的诈骗短信让很多受害人损失惨重。广州的何小姐按照短信提示操作后，她银行卡里的5万多元钱竟然不翼而飞!深圳的李女士也因为这样一条短信，银行卡里的6000多元被莫名其妙地转走。同样因为一条短信，无锡的王女士损失了43万元。一条短信真的可以把银行卡里的钱盗走吗?这些钱又是怎样被盗走的?来看央视财经记者的调查。原来这些显示为10086的短信里，都隐藏着一个高仿的移动营业厅钓鱼网站，受害人填写的所有信息会全部显示在网站的后台上。更恐怖的是，这个钓鱼网站背后还潜伏着一个木马病毒，它能够拦

2023-06-11

237人看过