一条标题为《假冒中行网银血洗客户涉数千万资金》的新闻迅速占据了各大财经网站与门户科技频道的重要位置，而中国银行作为该系列事件的参与者被推上了争议的顶端，而针对网络财产（虚拟财产）的安全保障问题再次成为大家关注的焦点。事件的经过概要如下：1.近期出现大量中国银行的网银用户被诈骗；2.大多数受骗的中国银行客户都是因为虚假钓鱼网页被骗；3.钓鱼网页在获取用户输入的中行E令动态口令后，利用获取到的用户账号信息及中行E令动态口令，在短暂的时间内利用程序或者快速手动完成被钓鱼客户账户中的资金转移。

所以核心的中行E令便成为了众多受害客户争议的焦点，中行E令这种设备其实和动态口令卡是差不多的东西，利用设备自身算法计算出一个动态口令，这个动态口令可以被作为转账等交易的授权凭证。之所以中国银行的网银用户受害者众多，是因为中国银行的网银转账在早些时候只需要中行E令的动态口令即可进行，而且为了降低用户操作繁琐这一口令在一段时间内持续有效，这就给了犯罪分子可乘之机。

中国银行不对转账这样的操作进行二次验证？这恐怕不仅仅是为了减少用户操作，更多可能是安全防范逻辑层面的考虑不足，导致了用户财产的大量流失。此外，除了动态口令设备外，更多银行选择了硬件数字证书（USBKey、U盾）再结合帐户密码、手机动态口令进行验证，与动态口令相比数字证书对于用户是无法识别并读取的，也就不存在用户主观被骗泄密的可能，而且数字证书的加密方式也决定了它更高的安全性。

这次中国银行的网银漏洞已经足够引起大家对虚拟财产安全的认识，也许未来会有更多使用动态口令设备的银行切换为数字证书。值得注意的是，在线支付工具支付宝也推出了名为“支付盾”的动态口令设备，而腾讯也针对用户虚拟财产安全推出了“QQ令牌”的动态口令设备，面对传统银行面临的网络安全威胁，互联网公司更应该保持足够高得警惕，避免给骗子以可乘之机。对于用户而言，注意分辨虚假钓鱼网址，养成良好的网页浏览安全意识比任何安全工具都有效。

摆在中国银行面前的一个难题，对于这些受骗客户自己究竟是否应该赔付。中国银行网银对于中行E令用户的验证机制肯定存在不严谨的地方，并且尽管这些损失主观上是由钓鱼网站造成的，但是用户购买你的安全保障设备之后反而更不安全了，用户在向你额外付费的时候银行也应该承担更多的安全保障义务。最重要的是，中国银行应该考虑到这一事件对自身商誉的影响，大白话就是“这么不安全，以后谁还敢到你那里存钱”。

(责任编辑：)