近一個月內眾多中行網銀客戶先後經歷「驚魂300秒」，賬戶內資金瞬間被釣魚網站洗劫一空。中國互聯網信息舉報中心監測數據顯示，近期網銀盜竊侵財型案件舉報甚多，特別是假冒中國銀行[3.27 -0.30%]網站大幅增加，數量已多達近70個。針對中行網銀的高智能詐騙案呈高發態勢，並以驚人速度向全國蔓延。

一時間，人人自危。中行陷入輿論風暴眼，不得不面對安全性的質疑和考驗。

假冒中行網銀詐騙案件井噴

2011年1月13日，南京的王言(化名)先生突然收到一條手機短訊：「尊敬的網銀用戶，你的中行E令將於次日過期，請儘快進行升級，給您帶來不便請諒解，詳詢95566(中國銀行)。」

而王先生正是中國銀行的網銀用戶，王先生向記者道:」銀行的客戶經理平時也常發短訊提示用戶辦理各項業務」，所以王先生雖然發現是來自一個陌生手機，但也並沒有產生懷疑，隨即利用電腦，根據短訊提示的內容登錄短訊內的「中國銀行」的網址，並未發現異常，便根據網頁提示，輸入自己的用戶名、密碼以及隨機產生的中行E令(動態口令)等信息，在頁面顯示升級成功。王先生在退出頁面後猛然發覺不對，再次登錄時，發現自己賬戶內的100萬元已經被全部轉走。

無獨有偶，來自深圳的黃先生也遭遇了同樣的經歷。其賬戶內存款被分四次轉出，只剩下零頭。而紹興的一位商人則被同樣的手段騙取資金接近200萬元。

上述幾位受害者告訴理財周報記者，近期江蘇浙江地區此類案件高發近乎猖獗。全國範圍來看，涉案金額應已接近1個億，保守估計最少也超過4000萬元。超過百萬元的大案並不鮮見。

究竟在這短短的一個多月里，有多少客戶的資產遭到假冒中國銀行釣魚網站的侵蝕，暫難獲得準確數據。但是事態的嚴重性已從公開信息中得到證實，據不完全統計，僅1月10日-20日之間，江蘇省此類案件就發生上百起，浙江省也有近50起，涉案總金額巨大。據金山網絡雲安全中心統計數據顯示，近期已有超過 5萬名用戶訪問過中國銀行的仿冒網站。

據了解，上述案件中犯罪分子的作案手法如出一轍。受害人均收到陌生手機號碼發送的短訊，提示其銀行網銀動態口令將於次日過期，讓其儘快登入中國銀行網站進行升級。一旦事主登錄短訊內留下的網站，所輸入的網銀用戶名、密碼、動態口令等就會被「釣魚」程序竊取，其網銀賬戶內款項在幾分鐘內被迅速轉走。

E令設計被疑潛藏安全漏洞

有關釣魚網站的詐騙相信都早有耳聞，不少銀行也都會面對此類的困擾，但是為什麼如此集中於中國銀行，很多人都在疑問。

中國互聯網信息舉報中心主任助理郝志超曾在接受採訪時有所言明：「中行的網銀系統還是有問題的，它的動態E令被犯罪分子利用了。中國互聯網信息舉報中心已經敦請中國銀行進一步完善網銀業務流程，不給犯罪分子可乘之機。」

E令到底存在怎樣的問題？

中國金融認證中心相關負責人告訴記者，目前用戶端網銀安全工具主要包括：數字證書、動態口令、手機驗證三種。得到廣泛使用並且安全保障程度較高的是數字證書，通常被存儲在USBKey(俗稱的「U盾」)之中。用戶在登錄銀行網站進行交易時，在電腦上插入Ukey，就相當於向銀行亮出「網絡身份證」。

UKey硬件本身有一個PIN碼，相當於我們銀行卡的密碼，當用戶在電腦中插入UKey時，只有在輸入PIN碼以後才能使用。同時，UKey證書中不僅包含用戶的身份信息，還包含另外一段由用戶獨有的特殊數據信息，在學術上叫做「私鑰「，只由用戶自己所特有，而且每個用戶持有的都不相同。用戶每次在網銀中交易時，交易的關鍵信息都會送入USBKey，在USBKey中進行電子簽名。簡單來說，只要USBKey在用戶手中，黑客就很難攔截這個密碼，即使得逞也難以完成轉賬。招商銀行[12.96 -1.14%]、工商銀行[4.31 -0.46%]等目前採取的就是以USBKey為主的安全工具。

而中國銀行選擇的是用動態口令保護用戶網銀安全。動態口令就是只能使用一次的密碼，這種動態密碼的原理在於：它通過特定的計算方式在用戶處產生一個隨機變化的密碼，同時銀行處也能產生一個相同的密碼，用戶使用這個密碼登錄網銀時，兩個密碼相比較，若匹配則表示已通過驗證，用戶可進行下一步的操作。

中行「E令」，實際上就是「電子動態口令生成器」，是由中國銀行推出的一種硬件動態口令牌。它由內置電源、密碼生成晶片和顯示屏等組成，根據專門的計算法則，每隔60秒會自動更新一個動態口令，要求用戶在60秒內輸入，以保障網銀操作安全。然而此輪網銀詐騙，絕大部分案例都以「中行E令」為幌子，眾多用戶質疑號稱動態安保的「中行E令」此時已形同虛設。