首 页 要闻 图片 发展观察 新闻跟踪 经济发展 减贫救灾 社会发展 全球招标投标 商务资讯 观察思考 发展报告 数字报告 白皮书 中国之窗 世行在中国
专家专栏 政策解读 宏观经济 区域发展
行业动向
行业规划 金融证券
金融法规
贸易发展 工程项目/ 数据库/周刊 企业发展
国情公报 经济数据 经济名词 采购商
发展要闻  -新医改最终方案今公布 政府可购买医保服务 赋予地方操作空间 -发改委论证6套天然气价改方案 确定将涨价 中石化率先降价促销 -秦刚:我渔政船赴南海执行例行渔政管理任务/答问 择日赴南沙群岛 -金融企业国资转让办法出台 上市企业股权转让逾5%需报批/全文 -格力董事长天价薪酬震惊各界 奥巴马誓阻AIG高管巨额奖金发放 -工信部拟提高下乡彩电限价 联通电信:"固话业务南北分治"不属实 -兴业银行涉骗贷案被深圳国资委封杀 保监会查处恒亚迪假保单案 -住房担保将破冰或撬动投资1.3万亿 大中城市楼市成交量明显回升 -中国一月份外储余额或下降至少300亿美元 铜储备或提到100万吨 -强生称已将被指有毒产品送至质监部门检验 国家药监局介入调查
首页>>银行
个人信息泄露防不胜防 不合规导致银行安全漏洞
中国发展门户网 www.chinagate.com.cn  2009 年 03 月 18 日 
字号:    打印本文章 写信给编辑

身份证号、手机号、信用卡号虽都只是一些简单的数字,但这些个人信息一旦泄露,就能被不法分子当成图谋不轨的工具,让记者惊讶的是,不仅可以盗卖形形色色的个人信息,而且还公然出售各种各样的信息盗窃工具和假冒伪造的个人信息,而且这种中介公司也随处可见,在网上个人信息的买卖已经形成了一个非法的产业链条。

身份证号、手机号、信用卡号,虽然都只是一些简单的数字,但这些个人信息一旦泄露出去,就能被不法分子当成图谋不轨的工具,今年的中央电视台3.15晚会为我们揭开了一个灰色地带,在这里不仅可以盗卖形形色色的个人信息,而且还公然出售各种各样的信息盗窃工具和假冒伪造的个人信息,让人眼花缭乱,先一起来看看。

个人信息泄露全流程,让人防不胜防

一个公开叫卖个人信息的网站叫海量信息科技网,全国各地的车主信息,各大银行用户数据,甚至股民信息等等,这个网站一应俱全,而且价格也极其低廉,我们仅仅花了100元就买到了1000条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有,如果说上面这些信息你觉得还不够全面,接下来的这个木马程序一定会让你心惊肉跳,种了这种木马后,电脑会在你毫不知情的情况下在网上随意任人摆布。

警察:“上面所有的信息他都能看到,他都能用。”

记者发现只要在百度等搜索网站里输入“肉鸡3389”,就可以发现一个惊人的信息,为了验证他出售的信息的真实性,他给记者发来了一个文件,接收后不到5秒钟,电脑里的鼠标自己在屏幕上移动起来,并点击打开了电脑中的各个文件夹,直到自动关机。

警察:“通过他的软件,他想什么时候用,就什么时候用。”

而这种可以完全控制别人电脑的信息,价格也极为低廉,每条售价仅仅5毛钱,甚至还有人在非法买卖身份证,一位声称他这里出售各种身份证原件,并且信誓旦旦地表示这些身份证都是真实的,当记者试探性地提出想购买一些身份证后,他立刻给记者发送来了两个文件,证件上的人来自全国各地,记者随即挑选了一些信息,通过公安部门的户籍系统查询,发现这些信息完全是真实的,而这家网上商店表面上卖的是各种各样不同的手机,实际上店主告诉记者,他是出售全国各地的身份证原件和配套的银行卡,为了验证店主的说法,记者做了进一步调查,店主爽快地答应卖给记者一套身份证和银行卡,价格300元,记者首先在他的网店里申请购买任何一款手机,他立刻把手机的标价调整为300元,这样交易记录上显示记者购买的是价格300元的手机,就这样交易就完成了,第二天,记者果然收到了店主寄过来的一套身份证和银行卡,记者发现它可以在柜员机上随意操作,店主告诉记者这些银行卡可以用来洗钱,记者惊奇地发现,就是这样一家网上黑店,它的生意还真不错,短短半年时间,仅仅网上公布的交易就有330多例,更可怕的是,网上这种身份证件的买卖让一些图谋不轨的人看到了生财之道,从2007年底开始,短短四个月时间,福建龙岩的一个人就从网上购买的50多个信息,骗取银行的信任,从银行办理出各种各样信用卡,恶意透支消费14万现金,他正是利用了网上随意买卖的身份证信息,轻而易举从银行办理了信用卡,这样银行发现了也找不到他。让记者惊讶的是,这种中介公司也随处可见,在网上个人信息的买卖已经形成了一个非法的产业链条。

用木马软件操控别人电脑的资料,在互联网上叫卖假身份证、银行卡,窃取伪造个人信息,如今不仅形成了完整的产业链,而且还披上了高科技外衣,变得更加隐蔽、更加快速,让人防不胜防,那么,金融机构到底能不能应对这种新的犯罪形式?今天也采访了相关人士。

对于网络黑客利用假身份证变可以申请到银行卡的现象,记者今天专访到了中国银行业协会常务副会长杨再平。

记者:“他我们现在银行的话,如果说我将一张假的身份证去银行的柜台,办理一张办理一张银行卡或者信用卡,这块它能识别吗?在我们的柜台上,银行能识别吗?”

中国银行业协会常务副会长杨再平:“柜台上这个,现在应该能够识别,能够识别。”

记者:“通过什么样的方式来识别这个假身份证?”

杨再平:“它一般这个是它有一套验证系统,就是对这个身份证,就像假币一样的,它有一套验证,如果有疑问的,它马上可以来验证。”

我国自1986年发现首例利用计算机网络犯罪以来,案件数量迅猛增加,1986年我国网络犯罪发案仅9起,到2000年即剧增到2700余起,去年全年突破4500起,诈骗、敲诈、窃取等形式的网络犯罪涉案金额从数万元发展到数百万元,其造成的巨额经济损失难以估量,其中计算机网络犯罪在金融行业尤为突出,金融行业计算机网络犯罪案件发案比例占整个计算机犯罪比例高达61%。

如何动用法律手段来保证个人信息的安全?

一年一度的315晚会再次把个人信息安全问题推上了风口浪尖,晚会重点曝光了个人信息泄露的流程,以及由此繁衍开来的一条黑色产业链,现在看来,仅仅靠杀毒软件和防火墙等技术手段,并不能挡住无处不在的陷阱,越来越多的人们开始关注如何动用法律手段来保证个人信息的安全。

邱宝昌:“这就是一个加大监管的问题,如何有效监管C2C(消费者对消费者)这种销售方式,一般是个人对个人,但是现在很多通过网上开店,网上交易,第一他有的可能没有在工信部有(备案)号,有的可能还没有到工商部门去登记,那么,所以他网上的店和个人真实的,谁,什么人开的,没有任何资料,一旦他从事非法交易,在查处上难度很大,当然可以通过技术手段也能查到,但是这种难度是非常的大,所以这些情况的出现就是网络安全如何有效地监管,如果对C2C监管过严,可能不利于网络(购物)的普及和发展,必须要进行相应的登记、监管的手续,这样确保交易人的安全。”

过去很多人都以为信息安全是个技术问题,只要魔高一尺道高一丈,就能高枕无忧。但是,现在网上各种黑客软件泛滥,技术门槛越来越低,有专家说,一个稍微懂计算机技术的人,只要心术不正,很容易利用这些工具危害别人。而在3.15晚会上,就让我们看到了这样的黑客高手。

2007年1月福建泉州的蔡先生突然发现自己的一笔存款不翼而飞,2007年5月,江苏省无锡市温女士的信用卡被人分四次消费了2000元,紧接着,江西省一位姓陶的女士也向警方报案,究竟是什么人盗取了这些人的钱呢?

但是要从网上银行盗走这些钱,盗贼要知道储户的详细信息,很快一个网名叫“蚂蚁”的人进入了江苏省无锡市警方的视线。

警察:“他就通过这种方式卖点卡。”

如果小额账户上的钱是被蚂蚁盗取的,那那些金额大的钱又去了哪里呢?警方在蚂蚁与一个网民的聊天中发现一个细节。

警察:“我们发现一个帐号是福建泉州那边被盗21万的。”

这个发现让警察眼前一亮,他们很可能是主要的犯罪嫌疑人,警方立刻对他们实施了抓捕,这就是蚂蚁的电脑,警方很快从这台电脑里发现了多达一万多个用户的网上银行信息,还有用户的身份证号码、手机号码等等,几乎无所不有。

据蚂蚁交代,他掌握的信息都是从“顶狐”那买的,关系到无数家庭财产安全的个人信息,就这样在网上以如此低廉的价格被随意买卖,那么“顶狐”又是个什么样的人?他又怎么得到这些用户的信息的?根据蚂蚁提供的线索,警方在北京将顶狐抓获。

这个就是顶狐,是一名黑客高手,2006年他编写了木马程序,从此开始了盗取个人信息的行当,顶狐还以免费下载的方式任由人下载和传播,顶狐偷偷给自己留了一手,黑客们盗取的所有信息都会自动回复到他的手中。

顶狐对盗取回来的信息分类整理,将密码等信息廉价出售,而网上银行用户信息则以400元每G的价格打包售出。

警察:“我们受害者往往在不知不觉中突然发现你的帐号已经被盗。”

黑客的手法令人震惊,相信很多人看了这个节目之后,都在担心,我们还能用网上银行吗?我们的账户安全吗?我们的存款会有一天不翼而飞吗?再来听听中国银行业协会副会长杨再平的说法。

根据中国银行业协会统计,截至2008年末,全国银行业金融机构网上银行个人客户达到14814.63万户,较年初增加5119.74万户,增速达到52.81%;网上银行企业客户达到414.36万户,较年初增加223.63万户,增长117.25%;电子银行2008年度交易金额为301.80万亿元,包括年费收入、手续费收入在内的业务收入达到22.91万亿元。

中国银行业协会副会长杨再平:“从客户端这一边来说,一个是对他的这个USBKEY动态口令,然后就是对这个客户的要求客户要用真实的身份证,要用真实的卡去进行柜台的这种就是登记,这是一个保护,然后就是包括短信的提示,如果发现有不良的这种情况,有侵入,马上有或者说非常的情况出现,马上提示,还有这个交易行为,如果这个交易行为消费者自己使用记录如果超过,那么马上有这个提示,还有其他的一些保护措施。”

杨再平告诉记者,目前中国的网上银行硬件设备在世界上都是先进的,也制定了规章制度,但漏洞往往在于银行不按规章操作。

杨再平:“我们的硬件,你也知道我们在国际上是,因为这个后发优势嘛,比国外不差,而且还先进,那么我们的问题一个是我们的这种规制,就是合规性还要加强。”

面对越来越猖獗的网上银行盗窃事件,杨再平认为除了消费者要提高自我保护意识,公安机关加大打击力度之外,银行也应该在客户端和自身做好网络安全防护。

杨再平:“然后就是银行这一边,它包括一些设备、系统,本身有一些完善,除了这个以外,这个银行还会经常的请专业公司来对自己的系统进行评估,对这种集群的这种攻击或者非法的入侵呢,会经常的进行评估,来保护这种系统的安全。”

证券账户的安全性是否有保障?

前面我们得到了这样一个信息,国内银行安全系统的硬件设备十分先进,但是在规章制度上还有很多需要强化的地方,如果我们真正地让这些安全措施落到实处,那些黑客其实也很难得手,和网上银行比起来,网上证券交易可能使用更加普遍广泛,往来金额也更大,证券账户的安全性有没有保障?记者也采访了证券公司的技术人员。

在信达证券公司,总工程师王浩彬在电脑上向记者演示了网上交易客户端的安全防护步骤,他告诉记者,在从网站下载网上交易客户端的时候,会随机产生一串MD5码。

工程师王浩彬:“因为这个,你要是这个MD5不对的话,就被传输过程中被篡改或者是有病毒侵犯的,它这个就安装不上的,这是保障这个,就从我公司网站下载一个东西是安全的。”

网上交易系统运行和维护的负责人郭嵩告诉记者,在客户端完成安装后,登陆的时候还有验证码进一步防护。

郭嵩:“这个就防止用户频繁的这种,用一些什么第三方软件啊,去尝试这种非法登陆这种,异常这种交易登陆。”

王浩彬告诉记者,在交易过程中,数据的传输也基本能够保证安全,因为采用的是证监会安全机构验证过的加密机制。

王浩彬:“下单的过程中,这个传输的数据,传输的数据通过这个加密协议,SSL安全加密这种协议,加密的协议来进行,保证这个传输中这个数据不能被篡改。”

网上交易系统负责人郭嵩告诉记者,在高级别的用户中,还会进一步采用认证口令和CA安全证书等高强度的加密方式。

郭嵩:“不可篡改,不可抵赖,证书主要这个功能,再加上有个安全的有个通道加密措施。”

看来通过这些层层防护应该是没有安全问题的,但是,依然可能发生网上交易账号被盗的情况。

记者:“这个(证券)行业里面,有没有发生过什么账号被盗,然后在那非法经营?”

郭嵩:“有啊,肯定有,而且我们经常接到这些通知通告。”

两位工程师告诉记者,只要被木马、病毒盗取了账号和密码,就可以登陆客户端,进行正常交易而难以被发觉。

“客户密码要丢失的话,这没有,这没办法控制的。”

“客户他,比方说他报警,他打电话,给我们打电话,告诉我们这个,被窃取了,账号被窃取了,这样的话,我们可以对他账户进行锁定,这样的话,其他客户就不能进行登陆了,只能通过这个办法。”

看来一旦账号和密码被盗,作为账号的主人就会立刻失去对资金的控制权,那么证券公司在设计客户端时,有没有考虑到用户的电脑中了木马病毒之后,怎么防范账号被盗呢?

“还没有这么做。”

记者:“都没有这么做?”

“对,基本上查那个,我这个客户端是否安全,而不是说查我这个操作系统是不是安全的,或者说我这些操作系统这些软件是不是有病毒,没有查这个。”

两位工程师告诉记者,网上证券交易账号安全性本身很高,但是行业内部管理漏洞仍然让犯罪分子有机可乘。

“就是证券公司呗,内部协同作案,70%到80% 基本都是这种情况。”

无论是网络银行,还是网上证券交易,都难以保证百分之百的安全,从炮制黑客病毒,伪造身份证、信用卡,到窃取银行和证券账号,针对个人信息的高科技犯罪越来越猖獗,防范的技术难度也越来越大。

近年来,随着互联网的高速发展,网络安全形势也变得愈加严峻,各种病毒、木马等恶意程序以爆发式的形态增长,泛滥于整个互联网安全领域,据杀毒软件公司最新的研究报告称,2008年网络犯罪分子窃取数据和安全突破使全球企业付出了1万亿美元的代价,而据不完全统计,全世界每年发生网络侵入事件高达二三十万起。

我国自1986年发现首例利用计算机网络犯罪以来,案件数量迅猛增加,1986年我国网络犯罪发案仅9起,到2000年即剧增到2700余起,去年全年突破4500起,诈骗、敲诈、窃取等形式的网络犯罪涉案金额从数万元发展到数百万元,其造成的巨额经济损失难以估量,其中计算机网络犯罪在金融行业尤为突出,金融行业计算机网络犯罪案件发案比例占整个计算机犯罪比例高达61%。

网络安全已经引起了国家的高度重视,2009年2月28日,十一届全国人大常委会第七次会议表决通过刑法修正案(七),对于惩治网络“黑客”的违法犯罪行为,刑法加重了相关量刑条款,加大了对盗取帐号倒卖虚拟财产行为的打击力度。

我们的生活越来越离不开互联网,我们越来越频繁地通过互联网、银行卡来消费,可能很多观众都有这样一个疑问,如果有一天账户里的钱真的不翼而飞,这样的损失到底该由谁来承担?我们来听听法律专家的意见。

邱宝昌:“首先责任由犯罪嫌疑人承担,如果是民事责任肯定应该由他来承担,但是如果他找不到或者还没有破案的情况下那谁来承担,那就看你谁负有责任,如果说我有一个软件可以杀很多很多的病毒,或者是他如果宣称了能杀所有的病毒,那么你用了这种软件,杀毒软件,而像有些(病毒)是免杀的,而没有杀死,那么你这种提供了虚假宣传,承诺能杀死所有病毒的软件,那这个公司的销售者你要承担相应的责任,另外还要分一个什么问题呢,就是从技术手段上应该划分是个人信息泄露导致在银行的存款被侵犯还是网络银行本身的缺陷所造成的,例如,如果是黑客侵入了银行的网络系统,然后去调阅了你的资料,那这个肯定银行有责任,如果不是我们网络本身的问题,而是黑客直接侵入了用户的电脑,或者是用户不小心把自己的信息泄露了,别的人上去交易的话,那么这个可能就是自己也有过失。”

半小时观察:保护我们的帐户安全

为什么我们的个人信息会变成几分钱的商品?为什么我们在使用网上交易的时候,各色各样的骗局和陷阱一个接着一个?为什么我们手里的银行卡会无端变成别人的提款机?这些问题不能一一解决,我们的信息就得不到真正有效的安全保障。

导致个人信息泄露的原因有很多,监管不严、技术滞后,但实质还是利益驱动。当付出极低的成本,跨过不高的技术门槛,就能获得极高回报的时候,敢于为之一搏的并不是个别人。如何才能打造一张个人信息的安全网?这是一个世界性的难题,即使很多发达国家也同样被各种新的高科技犯罪所困扰。但是,对于我们来说,可能比技术手段更欠缺的是监管制度上的空白。只有让现实世界中的监管和法律跟上虚拟世界的脚步,这些高科技犯罪才能变成一道没人敢轻易触碰的红线。

尤其当中国经济前所未有地需要消费来拉动的时候,我们更应该为互联网、银行卡消费提供一个良好的使用环境。有效地保护个人信息,现在不仅仅事关消费者的个人权益,甚至已经成为影响中国经济的大事。 (主编:孟庆海、卢小波 记者:周弈翔、李锦、井天增、刘莹、贾雨佳、殷莉、张自显 摄像:白羽、张小明、贡存、张明)

来源: 央视-经济半小时

相关文章:
中国社科院:非法买卖个人信息已成“新兴产业”
北京首次网上公布法官个人信息 可查法官老底儿
北京市高招办:违规买卖考生个人信息要严惩(图)
中国拟立法保护个人信息 犯罪记录媒体调查除外 98.9%公众支持
骚扰不胜其烦 98.9%公众支持立法保护个人信息
中国拟立法保护个人信息 犯罪记录媒体调查除外
奥运会开闭幕式境内购票人月底前交照片个人信息
应届生个人信息被求职网站出卖 海投简历引骚扰
图片新闻:
西三角经济圈蓝图浮现 打造第四极 成渝经济区有望担当龙头
中国渔政311船17日抵西沙永兴岛巡航宣示主权(图)
更多 >>