“任何在电脑上存在的非硬件文件理论上都可能被破解。”昨日,瑞星安全工程师王占涛向记者如是说,自央视315晚会曝光了木马制作者如何利用木马病毒盗取大量用户网上银行(以下称“网银”)信息的案例后,网银安全问题一下子成为了众多网银用户关注的焦点。

　　用户担忧:网银不再安全

　　“连网络银行都不安全,那证券账户、手机账户岂不更加危险?”“哪天银行卡里面的钱不翼而飞了,我们找谁去?”央视网银安全问题曝光之后,不少网银用户纷纷表示了担忧。

　　昨日,记者接连拨打了中国工商银行、中国农业银行等各大银行的服务热线,并以消费者的身份询问了网银服务热线的工作人员,在问答过程中,对方工作人员均表示目前暂未接到顾客因网银问题而遭受个人财产损失的案例。

　　中国工商银行的网银服务热线的工作人员告诉记者,为了保证用户正常使用个人网上银行,办理网银业务的用户通过身份证明到柜台开通业务,随后通过下载个人网上银行控件,并配合U盾(移动版证书)来实现个人网上银行交易。“从目前来看,U盾还是比较安全的。”

　　王占涛说,网银系统是相对安全的,黑客想进入银行的数据库,并盗取用户个人财产的可能性相当小,“事实上,最大的要害之处还是在用户方面,由于用户平时对个人信息的保护过于轻率,而这也给黑客带来可乘之机。”

　　金山反病毒专家李铁军昨日在接受记者采访时也表示,没有人希望自己的电脑被其他人控制,但很多用户网络安全意识薄弱,电脑几乎不设任何防线,很容易被远程攻击者完全控制。

　　反病毒专家:网银盗窃有抬头之势

　　“目前针对网银盗窃虽然还没有达到团伙的程度,但偶尔‘捞一票’心理相当普遍。”王占强告诉记者,而来自江民反病毒中心检测的数据也显示,在过去盗窃网上银行用户大量资金的“网银大盗”病毒改头换面卷土重来,最新截获的“网银窃贼”病毒在技术上已经远胜昔日的毒王“网银大盗”,不但可以盗窃网上银行用户的账号密码,甚至可以突破银行U盾的防线,进行网上转账。

　　江民反病毒专家介绍,“网银窃贼”最新变种病毒是一个专门窃取用户网上银行账号和密码的间谍程序,该病毒会在被感染计算机的后台秘密监视用户打开的所有窗口标题,一旦发现指定标题的窗口,便会通过对页面各个元素的匹配,向用户提供与所打开网上银行相匹配的仿真页面,然后利用鼠标钩子、消息截取等技术将用户输入到假网上银行页面的账号和密码信息截获。

　　李铁军指出,一旦用户的网银账号被盗,最多见的就是要为别人的消费买单,不仅如此,通过网上炒股、证券大盗之类的木马,攻击者还可以轻易获得网上炒股的账号。

　　李铁军还表示,目前除了网银面临着安全问题外,包括用户电脑的虚拟财产、隐私数据均有可能成为黑客盗取的目标。“黑客的任何攻击行为都可能留下痕迹,为了更好地隐藏自己,必然要经过多次代理的跳转,攻击者为传播更多的木马,也许会把所攻击的用户电脑当做木马下载站。其中,网速快,机器性能好的电脑被用作代理服务器的可能性更大。”

　　银行说法:财产安全用户有责

　　在采访过程中,面对着因网银安全问题而遭遇个人财产被盗的问题,不少商业银行的工作人员均向记者表示,“这要看被盗的原因”。如果因为储户不慎,包括储户的客户端被黑客攻击,银行不负赔偿责任。如果是因为银行自身网络被攻击,银行会履行相应的法律责任。

　　中国建设银行工作人员坦言,一些案件发生的关键就在于这些受害者没有及时修改该网上银行自动设置的初始密码,而初始密码往往非常简单,通常由几个简单的数字组成,如连续6个“1”等,因此非常容易被人破解。而密码通常是电子银行服务的第一道防线,客户应重视对个人账户密码的保护。部分银行还推出利用手机短信提示客户网上银行的登录和操作信息等服务,进一步保障了网银使用的安全性。

　　该工作人员还表示,用户在使用网上银行时,一定要配合U盾或者加密锁使用,同时要注意不要把密码透露给其它人。如果怀疑网上银行账户安全,可以马上停止网上银行的服务。

　　律师说法:银行不该规避相应责任

　　如果银行交易系统存在安全性能问题导致消费者网上银行的账号密码被窃取,责任到底该由谁来承担?广东明镜律师事务所伍艳萍昨日在接受记者采访时则表示,银行应当承担相应的民事责任:“消费者和银行之间存在网上银行服务协议,银行应当为消费者提供安全的网上银行交易服务。在类似事件中,如果消费者尽到了安全注意义务(如输入个人账号信息未被其他人从旁窃取、交易完毕后关闭了交易窗口、未丢失银行卡或存折等),但因为银行交易系统存在安全性能问题致使消费者账号信息被窃取而丢失财产,则银行未尽到协议中约定的安全交易保障义务,银行对此损失应当根据其过错程度承担相应民事责任。”

　　广东法制盛邦律师事务所律师郭秋丽则向记者表示,在用户与银行没有签订网银被盗免责条款的情况下,无论银行提供的何种网银安全工具,包括U盾在内,一旦发生漏洞或被绕过而导致用户财产损失,银行都应该承当相应的民事责任。“这与运钞车被劫并不能将责任摊到用户身上的道理一样。”

　　然而在现实中,在判定是客户端原因还是银行系统原因时,消费者很难举证———消费者受到专业知识的限制,而全部网银的交易资料又都由银行控制,用户在举证上明显处于不利地位。北京邮电大学网络法律研究中心主任刘德良则认为,因网上银行安全问题导致的经济纠纷的审理中,比较公平的原则是适用“举证责任倒置”的举证原则,即由银行方面证明自己的系统没有漏洞,从而增强司法实践的可操作性。

　　事实上,在去年3月河南最大网上银行被盗案中,就是根据这一举证原则,法院判决银行一审败诉。其判决认定银行应当对用户网银丢失付举证责任,如果银行不能证明用户有过失的,则就需对用户的损失承担赔偿责任。上海中汇律师事务所知识产权律师游云庭分析:如果该判决确立的举证责任原则被更多的法院采纳,那将来储户因网银被盗状告银行的案件胜诉率将大大提高。(记者蔡伟 实习生袁喆)