|
|
最初由 fmilan 发布
[B]6月23日中午登陆建行网上银行,发现密码不对,无法登陆网银,经过电话95533查询得知我建行网银帐户下挂的两张龙卡中的资金已经在6月16日,17日,18日三天通过建行内部转帐和通过淘宝网以及腾讯网消费等途径转走,共计损失42819.94元。
我本身就是搞IT的,加之去年使用的工行的网银曾经被盗窃过一次,那时候使用的是工行大众版网银,没有证书,事后发现被一种叫灰鸽子的木马盗取了帐户和密码,从那以后我对电脑安全问题特别是网银的安全加倍的重视,在机器上安装了病毒防火墙,并且一直都更新到最新的病毒库,经常升级windows和IE的系统补丁;上各类网站的时候也十分小心,不胡乱下载不明软件,并且购买了工行的U盾和兴业银行的U盾。
后来在2006年5月10日我又在长寿路建行普陀支行签约了建行的专业版网银,那时候建行还没有usb key卖,所以回家后立即上建行网站下载并安装了建行的数字证书,数字证书安装有可导出安装和不可导出安装两种安装方式,倘若采用不可导出安装方式安装数字证书的话,那么证书将无法备份到硬盘或其他设备,理应只有在我本机才能进行网银的转账支付等操作;为了确保安全,我采用了不可导出的数字证书安装方式。
2007年4月14日,我去建行办事的时候发现建行已经推出新的USB KEY,为了确保网银安全,花75元买了一个,那时候银行并没有给我的usb key捆绑网银的客户号,回家后我看说明书,却根本无法根据说明书所说的操作导出私钥备份到硬盘,想起我当时选用的是不可导出安装方式安装的数字证书,虽然USB KEY白买了,但是确定了只有我这台电脑能进行转帐,安全还是有保障的,也就没有计较。
2007年6月23号,我发现网上银行下挂的两个帐户里的近4万3千元不翼而飞,经查询得知与16号,17号,18号三天被建行转账和淘宝和腾讯消费掉了,其中4532********0018的信用卡帐户被消费和转账共26笔共计34917.44元;622***********1343帐户被消费6笔共计7902.5元,共给我造成42819.94元的损失。
后我在网上看到中国金融认证中心CFCA的曹小青副总经理说过倘若使用数字证书的网银用户被盗,CFCA承诺向客户赔偿2到80万元人民币,我向CFCA问及关于曹小青副总经理曾经承诺过装有数字证书的网银被盗的赔偿问题,CFCA告诉我建行只有企业版的网银证书是他们提供的,个人版的网银数字证书不是他们提供的,与他们无关。(顺便说一下,CFCA也就是中国金融认证中心是一个权威的、可信赖的、公正的第三方安全认证机构,也是金融行业唯一合法的第三方安全认证机构。)
以下是我在网上搜索到的一些资料,数字证书理应由第三方提供,以确保能明确责任的归属,建行显然违背了这一条,现在建行使用的个人专业版网银数字证书并没有得到最权威的证书认证机构CFCA的认证,他们对客户所称的数字证书领先的技术能力和安全性只是建行的自我吹嘘的广告。
http://soft.yesky.com/security/aqzxx/29/2082529.shtml
************************************************************
依据6月30日由央行制定的完成意见征集的《电子支付指引(征求意见稿)》的第四十五、四十六条中规定:“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况,银行将承担相关责任。在没有直接责任的情况下,银行只被要求“积极配合客户查找原因,尽量减少客户的损失”。简单地说,“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户。客户使用网上银行专业版进行网上购物,发生的账户盗用损失由银行买单;而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户。客户使用网上银行大众版进行网上购物,只要银行系统不存在问题,无法追回的账户盗用损失由客户自己承担。而“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”此外,如果该数字证书由合法的第三方认证服务机构提供,且第三方认证服务机构不能证明自己无过错的,将由其承担相应责任。
目前,绝大多数银行的专业版网上银行都使用了由中国金融认证中心颁发的数字证书,以保证认证的第三方性,为一旦发生网上交易纠纷时依法进行仲裁提供有效的证据。
*****************************************************************************************************
2007年6月23日案发当天下午我立即在网银开户所在地上海普陀区长寿派出所报案,报案编号为:2007136254514713124* ,当天下午建行电子银行部的领导和客户经理很重视,亲自来我家了解情况,他们开始怀疑我的电脑中了病毒或者木马,我向他们说明我已经安装了不可导出的数字证书和病毒防火墙,也及时升级了最新的病毒库,倘若是灰鸽子之类的危害极强的病毒防火墙是能及时发现的,并且转账时间多发生在凌晨我已经关机睡觉的时候,所以对方不可能远程操控我的电脑进行转帐,如果数字证书安全的话对方不可能盗取到我的资金。当然我知道没有绝对的安全,我当然也无法完全排除有黑客攻击侵入我的电脑,或者给我的电脑下了防火墙无法查杀的病毒,故当时也没法下确定的结论。但是从一个普通网银用户出发,我觉得我已经做了所有我能做的安全防范措施。数字证书等证据都在我的电脑中,对方的转账日志我这里也有备份,我电脑中的系统日志也都有保留,能证明对方对网银进行转账的时候我早已关机了,只是取证可能比较困难,需要电脑方面的专家认定才行。
因为被窃的金额对我来说比较巨大,要等米下锅,警方破案可能也不能在短期内完成,事实上在报案后大约2周左右,警方都还没有找建行开始案件的调查工作,我从报案的派出所得知案件被上报至刑侦9队的电话,但是连续多日刑侦队电话始终无人接听,并且案件受理回执单上的市局警务监督督察的电话也始终无人接听,眼见破案遥遥无期,所以我致电95533向建行要求先行垫付我的损失,被95533以没有垫付先例拒绝,联系到建行电子银行部的客户经理,客户经理也说没有先例,不好办理。他们现在的口径统一是须等警方破案后方能确定责任归属,但是万一破不了案呢?照目前的趋势很可能该案件不了了之,客户的损失没人管。
迫不得已只要走司法途径向建行索赔,但是从朋友处得知起诉建行可能面临几个比较麻烦的问题,譬如民事要让步于刑事,举证困难,标的比较小难度比较大,未必有多少律师肯接等等。
所以寻求热心律师帮助,非常感谢。
顺便说一点题外话,听说今年5月开始,新签约建行网银的客户都被强制要求购买建行的usb key,也就意味着网页版数字证书实际上已经被淘汰,是否建行已经知道数字证书不安全?还是另有隐情?我们用户不得而知,但是对以前使用数字证书的老客户,建行是否应该负责到底呢?
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
董国喆
观点一:不反对推行电子证书。但如果个别银行的证书不能够确保用户的帐户和资金安全,那早晚是要出问题的。其实,某些银行与CFCA之间存在着利益的争夺。我个人还是看好CFCA或类似的第三方认证机构,因为他们是保持中立的,在技术和安全保障方面值得依赖,特别是CFCA真正地承诺--如果给用户造成损失,自己负责赔偿。如果是银行自己搞的证书,出了问题难免要怪到用户身上,反正中国的老百姓被欺负得已经习惯了,受了损失得不到赔偿的事情已经不少了,哭诉也无门。
观点二:咱们的银行应该为用户减少一些负担,放弃一些眼前的利益并非就一定“亏”。如果让更多的用户使用上了证书,大家的利益有了保障,各种网上交易、转帐就会频繁起来,银行柜台的压力也小了,收益也大幅度提高了。为什么没有一家银行能够做得更好一些,即使是让用户先使用,一年后再扣费也可以,用户使用之后感觉良好,自然会有更多的人使用证书了。
国内的银行,现在都“商业”了,但是商业得还不够,高高在上不说,各种收费的门槛把很多用户给挡在了门外。什么时候“商业”少一点,更像是“人民银行”呢?做商人追求商业利益无可厚非,但是目前的情况是,个人网上银行业务基本上还是一块盐碱地。经商也要讲点策略,与其赤裸裸地向用户收钱,不如先治理盐碱地,播上种,施上肥,才能够在秋后有所收成。 [/B]
非常同情楼主,但看情况楼主仍然需要查找更详细资料,才能决定打官司是否有利,以下几点楼主需要弄清楚的:
1. 个人证书,在技术上是为了保证消费者的交易安全,而在法律上却是为了保护银行方的利益, 即消费者的不可抵赖性. CFCA与建行自已发行的个人证书,在技术上没有差别, 差别在于CFCA从法律上保证了消费者的不可抵赖性,因为CFCA是第三方. 而建行的个人证书在法律上不受保护, 但建行会在你开通网银的协议书中,以协议条款的方式,在法律上保证了你的不可抵赖性. 尤其是目前出现这种资金被盗案件时, 楼主最好先细看协议条款, 选出对自已有利的条件.
2.据我所知,象淘宝之类的网上支付网站, 绝大部分交易是通过银联的,并不使用个人证书,只需要卡号和密码就可以了.因此楼主还需要进一步查清楚,这些非法交易,是通过什么渠道进来的?是通过证书支付还是无证书支付交易进来?如果是无证书支付交易进来的,那么楼主还要确认一下,在网银开通协议上,是否开通了无证书支付交易? 如果没有开通却发生了,就是银行的责任. 否则,你的协议书基本上保证了银行的大部分利益, 打官司还是很难的.
现在比较浅显的问题是:我安装了不可导出的网银数字证书,理论上是加密到本地硬盘的,无法备份
对方在其他的电脑上执行了转账,转账的大部分时间我没有开机,并且从登陆网银的IP地址上也可以确定这点,即便是远程操控我的电脑进行网银转账,那登陆网银的IP理应也是我的
建行4月20号之前的网银证书不安全,建行调整了部分商家的支付额度,却不公告用户原因,当中必有猫腻
最初由 Foxbat 发布
[B]建行的网银确实不安全,这件事可能问问神码的人会比较清楚,不过他们未必肯自爆其短。 [/B]
感谢兄弟,哪里去问神码的人啊?
现在建行网银的证书不安全是肯定的了,只是到现在还比较闹不明白是怎么回事,挺郁闷的,是证书被破解?感觉现在的黑客也没那么nb啊,还是建行的数字证书有什么漏洞,很容易就被绕过去了
现在比较浅显的问题是:我安装了不可导出的网银数字证书,理论上是加密到本地硬盘的,无法备份
对方在其他的电脑上执行了转账,转账的大部分时间我没有开机,并且从登陆网银的IP地址上也可以确定这点,即便是远程操控我的电脑进行网银转账,那登陆网银的IP理应也是我的
建行4月20号之前的网银证书不安全,建行调整了部分商家的支付额度,却不公告用户原因,当中必有猫腻 [/B]
还是建议楼主让银行提供当时的交易日志,一般银行的网银系统会存储当初详细的交易日志,比如IP来源,签名数据等等。这样确定网银交易的入口是否确实是通过证书版登录然后做了支付和转账交易。同时自己的机器配置不要动,包括当前证书的状态,如果证书是不可导出的,而且他用户又通过证书入口登录了网银作了相关支付,那么需要查证你的网银证书是否有过更新,也就是你现在存储在IE中的证书是否已经作废掉。如果没有,那就要彻查如何证书被导出。
针对目前网上银行的证书问题,有些银行是委托CFCA建立CA,而有些是自建CA,那么就缺少了中立的第三方认证和技术支持。当然也有一些据说是通过“国家级认证”的企业向银行提供CA平台,但是从技术层面上来说,证书的PKI体系是公开的,关键是证书的保护机制是否健全。
现在比较浅显的问题是:我安装了不可导出的网银数字证书,理论上是加密到本地硬盘的,无法备份
对方在其他的电脑上执行了转账,转账的大部分时间我没有开机,并且从登陆网银的IP地址上也可以确定这点,即便是远程操控我的电脑进行网银转账,那登陆网银的IP理应也是我的
建行4月20号之前的网银证书不安全,建行调整了部分商家的支付额度,却不公告用户原因,当中必有猫腻 [/B]
我认为,最重要的确认:
1. 所有转账和消费的数字签名,是否由你的证书签的?
2. 如果不是你的证书签的名,这对你是有利的,因为重新下载证书是要到网点重新登记的, 而你肯定没有去,这样的话,你的官司就有利.
3. 如果是你的证书的签名,那么有两种可能,一可能是建行员工内部作案,内部盗取了你的证书;二可能是你导入到IE中的证书被黑客程序盗走了,WINDOW的安全漏洞必竟多,说不可导出,但谁知道有没有什么后门可以导出呢? 这两种情况,都不好打官司,胜负难断.
4. 还有一种可能导致证书丢失,就是在你下载证书的过程中,在导入IE之前,证书途经的节点,例如网上传输过程中,临时存放目录中,以及导入前的存放目录中,甚至你的个人备份证书,都有可能被盗,如果你当时机器上有黑[客程序,被盗是很容易的. 这些肯定会成为建行的理由,对你是不利的,要做好应对准备.
5. 还有最后一点对你是要注意的,法律上是不认IP,只认证书的, 提出理由时,IP根本不成依据,银行会认为: 你会不会跑到那个机器上操作? 而证书导入IE前你会不会原始备份?这两点,你都很难找出对你有力的证据来.因此, 你也要做好应对准备.
所以,我想提醒你的是,你现在提出的理由,站在你的立场上,我们都相信你支持你,但是站在打官司的立场上,仍不足以推翻不可抵赖性.
另外,据我所知, 建行的网行,不是神码开发的, 应该是宇信. 但安全服务器不是应用开发商提供的,以前是HP,现在就不知道了. |
|
发表于 2022-9-11 09:03:56
发表于 2025-7-5 18:27:40
