日志
【前注】:此文于2009/11/24原发 文学城,《谈:网上银行安全(四)--- 中国的经验》。上接《谈谈网上银行安全(三)---美国的经验》
中国是快速发展的发展中国家,的确是快速发展,表面上看,许多事与美国同步,可是还是有距离,不能用等同于美国的眼光看她。我这次,在网银问题上就吃了一亏!
在国内有一些账户,以前一直让家人代为管理,去年回国,听说中国也有网上银行服务,于是在中行,工行,都建立了一套,这样就可以自己遥控管理这些账户了。不过,回来之后,一直没有机会用,直到前几天,由于在国内帮朋友买了一些东西,尝试了一下国内的网上付款。结果付款没成功,我的电脑反被侵入的病毒彻底打死。
下面是这次事件的一些诊断和推断,希望给大家一点经验教训。
我是用淘宝网,一个号称“亚洲最大、最安全的网上交易平台”来购物的,服务不错。交款时,这个网自动通过支付宝,号称中国最大的网上支付平台,来付账。而支付宝可以又若干不同的网上银行来充值。也就是,这个过程:
淘宝网 ==》支付宝 ==》网上银行(我用 中行 或 工行)
按照我在美国行事的原则,非收费服务不用,或者说,对收费的服务不存疑虑。于是,我按照网上指示,一步步运作。在运作期间,中行和工行都曾要求我在第一次使用时,要下载安装一些程序(ActiveX)。由于信任,一切照办。最后结果,我的电脑被病毒彻底打死:五个木马程序同时侵入我的电脑,而Norton的反病毒软件竟束手无策,……。
分析,问题何在?!
我用Norton Ghost 软件,把被病毒打死的Windows全部消除,恢复以前存有的完好的备份。然后,我重新一步步地试着单独联通中行和工行 的网银。分别连接成功,也可以转账!
那么,与美国的网银有何不同呢?我发现,
1. 中行和工行在第一次链接时,都要分别下载一个ActiveX软件到电脑进行安装。
这个特点,使得这个中国的网银,好像不是纯粹的 Internet Banking,就是我说的第三代电子银行,而是一个Internet Banking 和 PC Banking 的混合体,或说是,第二代半电子银行。做电脑软件的都知道,下载ActiveX是有风险的。这是一种老技术,需要更强的安全处置,包括软件本身和用户的小心。所以,这个不是一个“当前时刻”的安全技术。当然,可以肯定,无论中行,还是工行,下载的这个ActiveX本身,肯定不会有问题,我的意思,它一定不是病毒,比如 木马病毒。
2.当我打开一个工行的窗口进行操作,由于某种原因,又打开另外一个网页做其它事。这时,新的窗口显示,这个网页:at risk --- 有风险!当我把工行的窗口关掉,那个已经打开的窗口和以后再打开的窗口,仍旧显示,有风险。一个合理的推测,是当打开工行或中行的网页时,ActiveX运 行,改变了网页或电脑的安全设置,使其适合运行中行或工行的操作,同时也使电脑处于一定风险中。而当操作完毕,正常关闭这个网页时,安全设置被回置,这种 风险也消失。可是如果客户操作不当,用过中行或工行的网页后,没有正常关闭,或期间又打开其它网页,就可能将这种风险留在电脑中。于是,在一定条件下,就 会使病毒侵入!
试想我的电脑被打死的情形,我按照这个程序运行:
很可能在运行一项任务完成后,没有将有关窗口正常关闭,于是留下安全隐患!
打 电话,向国内的朋友请教,她告诉我,很可能是我没有严格按照中行或工行的操作程序去操作,说我是菜鸟或傻瓜。想想,也是,我很可能是傻瓜。不过,一般说 来,美国人比我更傻,所以,我想,大概中国人太聪明,中国的网上产品,包括网上银行,对我这样的傻瓜或更傻的人,不安全,不保险!
谈谈网上银行安全(三)--- 美国的经验
