風控技術並非金鐘罩 包商銀行被曝存互聯網安全漏洞

　　一直以來標榜自己比互聯網金融風控、安全技術更優的商業銀行如今也中招。近日，來自“烏雲”、“補天”等多家漏洞響應平台的數據顯示，部分銀行網站存在漏洞，銀行轉賬記錄、交易時間、持卡人戶名、賬戶等信息存泄露風險。

　　例如，最近被曝出網站系統存在漏洞的包商銀行可被利用查看部分銀行轉賬記錄，包括轉賬金額、時間以及持卡人戶名、賬號、電話號碼等信息。據了解，該漏洞現在已被包商銀行修復。

　　不僅如此，此前百度安全、烏雲都曾發布警告，某大型銀行網銀存在重大漏洞。百度安全指出，該銀行網銀助手等安全控件存在“災難級”漏洞，該漏洞可致遠程任意代碼執行，對用戶電腦安全造成極大危害。烏雲則對該漏洞給出了詳細的說明，該漏洞的具體執行過程為：該行網銀控件在安裝和每次啟動時，會自動檢查網銀環境，這時它會將自家網站地址添加到IE的受信任站點列表裡，並且把“對未標記為可安全執行腳本的ActiveX控件初始化並執行腳本”的開關設置為啟動。

　　一旦啟用了這一選項，信用站點列表中的網站可以無需用戶許可即能執行高危代碼，比如打開任意程序、讀寫本地文件。不僅如此，很多ActiveX會將自身的域名寫入“受信任列表”，降低了黑客攻擊難度，從而導致風險擴大。故而當用戶訪問“受信任列表”中的網站時（如網購的時候），將可能會遭遇惡意攻擊（黑客採用XSS攻擊、DNS劫持、WiFi釣魚等手段，在公共網絡環境下的風險尤為嚴重），通過執行任意惡意代碼，給電腦帶來極高風險。

　　近年來，網絡安全問題日趨嚴重，相關報告指出，網民因為網絡詐騙、垃圾信息、個人信息泄露等侵權現象而產生的損失達千億元。那麼，金融機構網站漏洞會給消費者帶來怎樣的影響？專家表示，部分敏感信息通過金融機構網站漏洞泄露，最直接的影響是導致推銷電話騷擾乃至財產損失。例如，這些漏洞可能泄露大量用戶數據，如郵箱、手機、銀行賬號等。泄露的信息主要被用於電話銷售、欺詐投資等用途。

　　中國電子信息產業發展研究院副院長樊會文指出，按照全國人大常委會《關於加強網絡信息保護的決定》，遭遇信息泄露的個人有權要求網絡服務提供者刪除有關信息或者採取其他必要措施予以制止。但實際情況是，消費者很難通過技術手段驗証泄密源頭的責任，難以維權。在維權難的現實下，客戶隻能盡量降低自身風險，包括保護好敏感信息和動態交易碼，不要輕信不明電話和短信，留意短信中的提示網站是否與銀行對外公布的網站域名一致。另外，客戶在辦理銀行卡時，不管是儲蓄卡還是信用卡，盡量要開通短信提醒業務，雖然有的銀行要收取短信通知手續費，但比起資金安全，這點手續費的支出還是必要的。