ATM机存在重大安全隐患 网络钓鱼有机可乘

　　美国每年有300万人因此蒙受经济损失

　　本报记者 张燕 综合报道

　　据市场研究机构嘉纳公司(Gartner Inc.)统计，仅去年一年，美国就有300万人因ATM机泄漏信息、银行借记卡诈骗而蒙受巨额损失，总金额高达27.5亿美元，平均每起案件金

额约为900美元。

　　嘉纳公司是全球领先信息科技业界研究及分析机构，据该机构本周二公布的一份报告显示，由于银行借记卡的磁条在经ATM机扫描时缺少一个重要步骤——未扫描安全校验码，因此存在许多安全隐患，容易泄漏信息，让犯罪分子有机可乘，导致用户蒙受损失。

　　国际商用机器公司(IBM)的服务部门周二也出台报告指出，近来涉嫌银行卡诈骗的网络攻击越来越多，包括“网络钓鱼(Phishing)”、秘密安装恶意的按键侧录(key stroke logging)程序等(按键侧录程序会使用户在使用电脑的同时向外发送报告，所有操作一览无遗)。

　　嘉纳的分析师Avivah Litan认为，犯罪分子最常用的一种手段是叫“网络钓鱼”，这是一种网络诈骗手段，算不上新鲜事物，而且没有太多技术含量，主要是利用人们的心理来实现诈骗。犯罪分子通常会给用户发送一封看似合法的电子邮件，然后提供链接，登陆到假冒的银行网站，同时要求对方提供银行账号和密码。在得到这些信息后，犯罪分子就可以通过自制的银行卡到ATM机上提款。

　　有专家解读上述犯罪行为后表示，这种情况其实完全可以避免。银行卡磁条上包含有许多信息，包括用户的姓名和账号、安全校验码等，而用户本人并不知道自己的安全校验码，犯罪分子通过“网络钓鱼”更是无从得知。

　　令人感到惊讶的是，约有一半美国金融机构的ATM系统并不检测安全校验码，也就是说，银行卡的磁条并没有充分利用。Litan表示，造成这种现象的部分原因是，许多银行并不知道这其中存在的安全隐患，以及将会带来的后果。还有另一种可能是，部分银行一开始可能是检测该校验码的，但随后由于操作麻烦而中止。因为如果启动安全校验码，那么用户每次修改密码都需到银行柜台办理相关手续。然而专家观点认为，银行在业务正常运行的情况下放松警惕，导致此类诈骗案发生，应该属于“失职”范畴。

　　当然有的用户卡密码位数过少也给犯罪分子以可乘之机。现在，“黑客”们可以通过一些网络程序如brute force，很容易破解密码。因此，有专家建议银行新发行的银行卡的密码位数尽量延长。

　　据IBM的网络监控统计，今年上半年，在美国的犯罪分子为获得商业金融数据发送的电子邮件数目高达3500万封，而且犯罪分子所使用的手法也越来越隐蔽。尽管在安全技术人员眼里，对付“网络钓鱼”不过是小菜一碟。但在近几年，“网络钓鱼”活动猖獗，相关的犯罪量急剧攀升。

　　同时这股邪风也渐渐影响到中国，近期中国境内也频频出现利用假的“中国银行”、“中国工商银行”主页网站进行诈骗的违法事件。