中国银监会办公厅关于防范网银客户信息泄露风险提示的通知
(银监办发〔2010〕29号)
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行:
近期,某银行业金融机构在对网银系统监控中发现了不法分子攻击迹象,已及时报案并协助公安部门迅速破获了案件。为提高银行业金融机构对类似事件的风险防范及应急处置能力,现就该案件有关情况及风险提示通知如下:
一、案例概况
不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件,该软件在进行账号、口令猜测的同时,“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件,通过锁定某一固定密码反复轮询账号的方式,对多家银行业金融机构的网银系统发起暴力猜测攻击,最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。
二、主要风险点
此案中被不法分子攻击的某银行由于监控到位、及时报警,没有造成客户资金损失,但是暴露出银行业金融机构在网银系统安全方面存在的一些薄弱环节。
一是网银系统“验证码”复杂度不足。被攻击银行的网银系统“验证码”仅采用简单的数字或字母,未进行变形和扭曲,复杂度不高,利用“特征码识别程序”自动识别的准确率几乎达到100%。
二是网银系统缺乏对密码复杂度的检测与提示机制。本案中不法分子尝试成功的密码均为“888888”、“666666”、“555555”、“123456”等弱口令,显示出一些客户缺乏密码设置的安全意识,而网银系统缺乏对密码复杂度的检测与提示机制,增加了不法分子破解密码的可能性。
三是缺乏有效的监测和报警机制。不法分子在发起攻击时,曾经在同一天内,使用同一IP地址和不同账号尝试网银登录高达10多万次,而部分银行缺失监测机制,在接到公安部门配合调查、取证的通知时才获悉网银系统遭到非法攻击。
四是缺乏报告意识。在互联网环境下,不法分子攻击范围广泛,攻击手段不断翻新,因此各银行业金融机构及时了解风险趋势并采取防范措施十分必要。本案中涉及的银行业金融机构均未向银监会及其派出机构报告,监管部门不能及时掌握有关情况并向各银行业金融机构警示风险。
三、风险防控要求