IT蓝图五年曲折路 中行网银窃案曝安全漏洞

garysu

闹了半天原来是包给了tata做的 - FNS(塔塔咨询的前身金融网络服务公司)


ZT

IT蓝图五年曲折路 中行网银窃案曝安全漏洞http://www.sina.com.cn 2011年03月16日 22:41 21世纪经济报道
　　林晓

　　近几个月，中行网银以一种意外的方式广受关注。

　　“经过社会各界的共同努力，针对中行网银客户的诈骗案件已得到有效遏制。截至目前，中行已配合公安部门封堵假冒钓鱼网站524个，协助破获90多起网银诈骗案件，打掉3个犯罪团伙，抓获犯罪嫌疑人30多名。”中行相关负责人近日对外界表示。

　　他所指的诈骗案即去年底和今年初，部分中行网银客户遭到钓鱼网站欺诈，网银账户内款项被转走。事发后，中行已在网银转账业务上增设防线，包括降低单笔转账限额、对所有向他人转账交易全面应用手机交易码认证服务等。

　　“这些措施应该足以防止网银客户再遭钓鱼网站诈骗。”一位从事银行IT外包服务的工作人员称，尽管网银在银行IT系统中只是很小一部分，但其漏洞还是暴露出银行IT系统建设的不足，“还有改进空间。”

　　“过去十年IT系统是银行业第一生产力，但这些年中行IT系统建设可能走了些弯路，包括网银在内的很多业务难免受到影响。”一位接近中行的人士表示。

　　三个关键环节

　　目前，对于涉案总金额还没有完全统计，但据媒体报道，仅1月10-20日，江苏省此类案件就发生上百起，浙江省有近50起。

　　与以往电信和网络诈骗案件相比，犯罪分子针对中行网银用户的作案手法并不新鲜。

　　据了解，不法分子的主要作案手法是：制作假冒中行门户网站及网银首页，然后在境内外注册类似中行域名，并用普通手机号假冒中行身份向数千万人群发短信，以中行网银系统升级或动态口令牌过期更换为由，诱骗客户登录钓鱼网站，盗取客户网银用户名、密码、动态口令等安全信息，转移客户资金。

　　山东的赵先生便遇此一劫。1月2日晚，他接到短信称其中行E令即将过期，请其尽快登入一网站进行升级。“信以为真的我马上在家里登录了对方提供的网站，并根据提示输入网银用户名、密码及动态口令，按了3次升级按钮，网站页面提示升级成功，我便关闭了网页。”

　　直到1月4日中午，赵先生想把钱转到股市发现只有6000元。“打开中行网银，发现34万转出了。”赵先生无奈地表示，“据我了解，这种网络诈骗，客户的资金一分钟内就会被转走，之后骗子会把钱拆成多笔小金额转入不同账户。”

　　整个过程中，诈骗短信、钓鱼网站和动态口令无疑是三个关键环节。

　　“诈骗短信很好识别，都是私人号码发出的，从这点来说，银行其实也挺冤。”上述从事银行IT外包服务的工作人员表示。

　　安全机制漏洞

　　受骗用户自身虽难辞其咎，但上述人士也指出，中行网银安全机制设计确实存在漏洞。

　　“动态口令是通过一个特定的计算方式产生随机密码，银行后台利用同样技术也能产生相同的密码，可在一定程度上保证用户安全登录网银。但缺陷是，银行端可以用这个密码来辨认用户，用户却无法使用密码来辨认自己登录的是否是正确的网站。”上述人士表示。

　　与此同时，钓鱼网站的“以假乱真”也让用户防不胜防。据了解，与真正的中行网站主页相比，假冒网站的页面颜色、字体、版式等一模一样，两者最大区别在于假网站右侧第一栏按钮名称是“网银E令升级”，而真网站的同样位置则是“登录中行网银BOCNET”。

　　“2008年测试中行e令时，它的技术并不比U盾落后，问题在于尽管动态口令能提供第一重防线，但网银的第二、三重防线基本形同虚设。另外中行网站的架构比较单一，容易被模仿。”上述接近中行的人士表示。

　　针对上述客户遭钓鱼网站诈骗事件，中行也实施了一连串补救措施：从1月21日起，大幅降低用户单笔转账金额至500元；自动向用户发送交易口令确认码，只有用户确认才能转账成功；大幅提高对客户风险提示和安全教育的密度。

　　其中最关键的是手机交易码认证服务。“手机交易码配合动态口令，通过双通道、双因素认证来加强网银安全防护。手机交易码短信中含有收款人姓名、收款账号、交易金额等关键交易信息，客户只有确认这些交易信息后输入手机交易码方可完成交易，起到了良好的提示和防护作用。”中行相关负责人表示。

　　IT蓝图曲折路

　　“这些年来，中行的IT系统已经成了业务发展的一个软肋，新系统推广了好几年，但遇到不少阻力。”中行一从事软件开发的人士表示。

　　他所说的新系统即IT蓝图项目。该项目始于2004年。按中行早先规划，这项总投资约100亿元的银行IT系统及流程再造工程本应在2008年底完成，
但因与外包商塔塔咨询磨合困难等原因，上线一再拖延。


　　林晓

　　2009年初，中行对IT蓝图进行了重新规划，从最初主要依靠外包商转变成“以我为主”自行研发，并与塔塔咨询签订了补充协议，确立了双方的权利义务。

　　“可以说是FNS(塔塔咨询的前身金融网络服务公司)耽误了中行三年时间，其实很多IT人士当初对这家公司都不认可，因为它缺乏对大型银行数据集中的经验。中行转为自我开发为主后，可能也是在‘BANCS’(FNS的核心银行业务解决方案)原码基础上改进，原有的一些问题可能很难解决。”上述接近中行的人士表示。

　　不过，改弦易辙后，中行IT蓝图项目明显加速，并于2009年10月在河北省分行正式投产上线。中行2010年半年报显示，去年2月，IT蓝图2.0版本已在河北省分行成功投产。随后以该版本作为基准版，分三批次在西北五行、西南五行、黑吉蒙晋赣皖六行上线投产。

　　“目前已有大约三分之二的分行上线投产，实现了数据上的逻辑集中。”上述在中行从事软件开发的人士表示，预计新系统今年将推广到所有分行，年内还将逐步完成先期投产分行升级工作。

　　“投产以来，系统运行平稳，业务开展也很顺利。”中行河北省分行一支行人士称。

　　不过，也有中行内部人士认为，即便年底新系统推广到所有分行，也难以就此认为IT蓝图项目圆满完成。“还是要看新系统对业务的促进作用，至少目前来说不很明显。”

oldqin

IT蓝图就是个笑话，搞到现在快6年了吧，还是那个鸟样

oceangod

这个俺要来澄清，本人参加过这个项目（FNS/TCS是ex-employer），但是网上银行不是TCS做的。
那个CORE BANKING SYSTEM本来很好，但是为了节约成本在中国雇了很多刚毕业或毕业不久的人。而且最后这个局面，并不是哪一方单方面的错！

zhongbingo

中银是最烂的网银

coolioo

提起中行就恼火！！网银具难用！最近还强制加了一个手机短信认证。都没法取消。海外用户根本没法在网上转帐！！！！我擦！！！！IT都是一群脑残。

frankielynna

中行it的步伐是4大行中最慢的。。。。。。可惜啊。

飞翔翼

中行的网银一堆事情不能做，连7天通知存款都没有

Roman

国内网银他妈的要下一些安全套件，VISTA还不兼容，中银的动态密码我一开始还以为像汇丰那样方便，结果用户密码忘记了还要手机银行认证，即使没开通这个服务，艹！

greed

出来前公司正赶上中银100亿大单。当时去现场谈需求，一个感觉：乱。
当时在总部基地，乱哄哄号称核心系统加外围有六七十的系统要升级。可是核心系统（FNS）能提供啥业务大家一概不知。估计连tata的人也搞不清呢。最后快到国庆放假了，才说tata不承认FNS是个账务系统，说自己是业务系统。结果所谓的核心系统不管总账。银行又计划另买个总账系统。然后又涉及总分对账问题。tata说这不关它的事，要求各个业务系统自己跟总账系统对账。反正到国庆回家前，一个多月，偶这边啥需求都没定下来，连核心系统能做啥不能做啥也不知道。当时的schedule是来年春节系统上线。
中行当时据说花了1亿（好像还是美刀）在FNS上，结果连人家能做啥不能做啥都没搞清楚就拍板了。反正中国的银行都有钱，市值top10的有4家是中国的银行。

tony534

垃圾，强制手机认证，我在国外，相当于资金冻结了