网银资金被盗谁之过？——“工商银行网银资金被盗事件”探查

林の声音

    从2005年下半年开始，网上就不时出现网友帖子，诉使用工行网上银行资金被盗。自2006年4、5月份开始，这种事情更是愈演愈烈，日前来自全国20多个省市的200多人加入“工行网银受害者集体维权联盟”（以下简称“维权联盟”），并成立网站。在网站上留下真实姓名、所在区域、失窃金额等内容，欲联名起诉工行，进行集体索赔。
   
    “维权联盟”认为，是工商银行的网银系统存在漏洞，大众版网银安全保护手段不够，造成了储户丢钱；而工商银行则回应工行网银系统不存在漏洞。网银受害者资金被盗，主要是由于客户账号、密码等个人重要信息保管不善导致。
   
    事实到底怎样?责任只在一方，还是双方都有责任?我们力求通过几则典型案例，对事件进行全面、客观、公正的解读。
   
    被盗案例
   
    记者经过多次尝试，无法登录“维权联盟”网站，几经周折，终于联系上了网站的发起人之一——上海的庞先生。庞先生说，最近一段时间以来他们的网站和QQ群受到了黑客的攻击，无法登录。他愿意提供一些“维权联盟”成员的真实案例资料，记者也可以通过电话的方式对这些成员进行采访。   
   
    庞先生给记者提供了一份有上百名“维权联盟”成员的名单，里面有成员的真实姓名、所在城市、联系方式以及资金被盗的详细过程。从资料上看，他们损失的资金，少的几百元．多的上万元。记者从中选了几个有代表性的案例，试图了解他们资金被盗的原因。
   
    案倒一：
   
    姓名：梁××
   
    所在城市：广州
   
    损 失：656元
   
    发现时间：2006／7／26
   
    事件经过：
   
    2006年7月26日晚上在家上网，上一个www.pay158.com的网站买了相当于人民币20元的游戏点卡，付款链接是工商银行的卡，正常登录后，我发现没有我的预留信息，就马上退出，并没有输入支付密码，没有确认支付，U盾的密码也没输入——三个密码是不同的。然后我马上打95588客服查询，发现钱全没了，幸好前阵子花掉了4000多，卡里剩下656元，损失不算严重。
    案例二：
    姓    名：江×
    所在城市：上海
    损    失：共计4088元
    发现时间：2006/7/20
    事情经过：
    我先从历史明细中查到有六次奇怪交易，即去工行查询，被告知是做了纸黄金买卖，三次买进三次卖出交易共损失88元。大吃一惊之下，我赶快更改登录密码。以为就可没事了，以为我有U盾在，钱不会飞走。
    谁知更奇的事还在后面，几天后我接到一则短信，叫我去看邮件不必回电。初没在意，隔一天看邮件，一看吓一大跳，对方开门见山地告诉我，他是一个偷盗我账户资金用于网站赌球的青年人。他说他从网上以我的资料开通了手机银行，先后四次从我账户内用网上购物方式向赌球网站进行赌球，共计4000元，有输有赢，应该有2900元可返回账户，但由于违规操作致使该赌球公司拒付，他经交涉后无果，于是来告诉我。又告诉我事件经过及赌球网址，赌球账号密码等，叫我去向赌球公司交涉，以我的真实证件可以从赌球网上要回部分赢回的钱，再之他也教育我要加强防范等等……
    我是拥有据说最安全的U盾的客户，从没有开通过手机银行，这手机银行是怎样开通的？
    案例三：
    姓名：蒋×
    城市：宁波
    损失：4993.5元    发现时间：2006/8/3
    事件经过：
    今年7月28日，我用工行的网银在网上转帐1144元到支付宝，在网上买东西。8月3日，有网友从外地汇了93元到我工行的网银账户，我要去查收，但是发现工行网银界面一直无法登录。打电话向95588询问，得知已经被透支4100元，接着去本地工行专柜划卡，发现从7月30日那天，有人分7次从我的账户里拿走4993.5元。

林の声音

   各执一词
    在“工行网银受害者集体维权联盟声明”中，“维权联盟”认为他们都是“由于非自身原因，被罪犯利用工行网银漏洞造成牡丹灵通卡存款被盗的”，也就是说，他们认为是工行的网银系统存在漏洞，才造成了他们的财产损失。因此，他们将“进行集体诉讼索赔”。
   
    记者就此事联系了工行总行有关负责人，希望听听他们的解释或对此事的看法，但该人士很客气地告诉记者，他们要说的都已经说过了，记者可以通过媒体的有关报道了解他们的看法和态度。   
  
    于是，记者从相关报道中看到了工行对此事的回应。工行网银专家认为，尽管联盟成员资金损失的情况各有不同，但究其原因，“主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失”。因此，该专家表示，“工商银行网上银行系统存在漏洞”的说法“明显不成立”。
   
    “工行有2000万网银用户，而受害的几百人却不到网银客户的十万分之一。”该专家表示，这部分客户资金损失都是在用户端形成的，截至目前，尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件。从目前发生和已经侦破的案件来看，客户安全意识不强，没有保护好自己的账号、密码等重要信息，是导致网银资金被盗的根本原因。犯罪分子均是通过各种非法手段盗取了用户的账号、密码等个人信息后，再以客户身份登录银行的网银系统盗取资金。
   
    而“维权联盟”在他们的网站上做出反驳，一方面否认资金被盗是个人账号、密码保管不善导致，另一方面指出，“工行网银系统是工行客户的用户端和工行系统端构成的。而现在工行网银是利用一般软件公司提供的普通浏览器（比如微软的IE）加载插件充当其用户的客户端，因此，即使其客户用户端出现问题工行也无法推托责任”。
   
    双方各执一词，到底孰是孰非，非专业人士确实很难理清其中缘由。为了真正了解“维权联盟”成员资金被盗的原因，记者就以上几个案例，请教了某商业银行专业人士。
   
    该专业人士在了解了几个案例后告诉记者，从这些叙述中，很难一下子断定到底是由于什么原因造成了资金被盗。因为犯罪分子可能是通过网上渠道窃取了客户资金，也可能是通过别的渠道窃取了客户资金，如伪卡等。此外。犯罪分子要通过网上渠道窃取客户资金，必须事先获得客户信息。而客户信息的获得也可能通过多种方式完成。因此，除非公安机关已经通过刑侦手段侦破案件，否则很难仅仅从案件的表述中得出结论。        不过，这位专业人士告诉记者，客户资金通过网上渠道被盗，主要可能由以下三种原因造成：一是客户登录了犯罪分子设置的银行假网站，被盗取了账户和密码；二是客户的电脑中了木马病毒，在客户登录银行网站输入自己的账号和密码时被犯罪分子截获了相关信息；三是犯罪分子通过其他渠道获取了客户的个人银行信息，如在日常购物消费中信息失密。
   
    当记者问及案例中有的客户使用了U盾为何资金依然被盗时，该人士解释说，客户有了u盾，仅表示其通过u盾形式管理账户时资金是安全的，但这并不排除其账户存在通过别的渠道被犯罪分子盗取的可能。如不法分子根据客户信息将已通过U盾形式注册的某个账户再次注册成为公共客户，并通过网上购物转移资金，而这种风险完全与U盾无关。
   
    据银行专业人士介绍，电子银行凝聚了很高的科技含量，其特点是方便、快捷、不受地域和空间的限制，为客户提供了24小时不间断服务；同时，由于电子银行具备开放性特征，就不可避免地带来了独特的业务风险。绝对安全的电子银行业务应用系统是不存在的，但如果银行能根据业务特点及时发现问题并加以预防，不断提高系统功能和管理水平，为客户提供相对安全的电子银行服务是完全可能的。
   
    记者在采访中了解到，目前针对网上银行资金被盗究竟有谁来买单的相关规定极少，责任界定也不是十分清晰，案件的处理和责任认定的依据主要有银监会颁布的《电子银行业务管理办法》、央行颁布的《电子支付指引》以及各商业银行的有关网银的管理章程及规定。   
    有律师认为，从法律上来看，以上几个案例都属于恶意第三人所为，犯罪分子用非法手段获得信息，应该承担刑事责任，公安机关将追究盗窃者的刑事责任。如果追不回，损失一般由受损方承担。
    最新进展
    据了解，工行为了最大限度降低客户损失，已经采取了一些积极措施。工行部分分行于近日推出了个人网银动态密码卡，客户网上支付或对外转账时，每次交易输的密码都不相同。
    “这种动态支付密码，可有效防止木马程序从键盘信息中破译密码，大大提高了网银资金的安全。”工行有关人士称。为鼓励网银用户使用动态密码卡，工行将取消自助注册用户的对外支付和转账功能。据了解，网银用户在工行柜台办理动态密码卡后，工行就会将动态密码卡和用户自己的网银登录卡捆绑，用户在网上银行进行支付或者对外转账时，网银系统便会自动指示其按动态密码卡上的对应方格来组合密码。
    针对不同用户，工行开始实行不同的网银支付限额政策。从9月1日开始，自助注册个人网银用户将被取消对外支付和转账功能，用静态密码的柜台注册客户，单笔支付限额、每日累计支付限额及总支付限额均调整为300元，之前则分别为1000元、5000元和30000元；用动态密码卡的用户单笔支付限额为1000元，日累计限额5000元；U盾数字证书用户支付无额度限制。    （注：U盾——U盾可以说是一个品牌，或者说是一个宣传口号，其实际代表的是工商银行最高安全等级的个人网上银行注册客户。使用U盾的客户必须到工行网点注册个人网上银行，并获得一张用于网上数据传输和解密并证明本人身份的证书，该证书被存放于只可写入、读取而不能复制的存放介质即USBKEY。工商银行把这个USBKEY或这张证书或这种形式称之为U盾。客户通过U盾形式办理网上业务，必须持有该USBKEY才能办理。因此，除非该物理介质USBKEY被盗，否则别人无法同样使用U盾形式办理该客户的网上业务。因为U盾形式具有最高安全等级，故通过该种形式办理业务没有任何资金和账户限制。）

林の声音

所以大家一定不要到开通了网上银行的帐户上存太多的钱，而且也不要定存

最好弄一个不常用的帐号开通网上银行，需要的时候就往里面存钱，我就是这样的

不过我有U盾，所以还是很安全的！