“尊敬的网银用户：您的中行E令即将过期，请您尽快登录www.bocccb.com进行升级，详询95566。”1月10日至今，江苏省内不少网银用户收到这样一条提示短信。苏州唐先生恰好是中国银行的网银用户，他在家中电脑上登录升级，可当输入用户名、密码、动态口令后没几分钟，发现卡内的198万余元被分两笔转走。原来，唐先生中了新出现的“中行网银E令升级”诈骗。

最近一个月的时间内，江苏连续发生了100多起网银用户被骗的案件，中国银行百名用户被钓鱼，其中一名网银用户一次就被诈骗转账走101万元。解放网25日亦报道，一名“80后”网络公司维修员，利用“钓鱼链接”向网络买家发送山寨版支付宝网页，骗取货款6000余元。另据RSA反欺诈指挥中心2010年12月报告显示，中国已成为遭受网络钓鱼攻击数量最多的五个国家之一，并较上月呈现了4%的增长。

记者为此采访了国内专业的动态密码身份认证企业——上海动联信息技术有限公司技术总监胡永刚。胡总监介绍了黑客犯罪的过程：近期的网络安全欺诈实际上主要是利用普通时间型动态密码令牌不能防钓鱼的漏洞。首先，犯罪分子通过发送诈骗短信，诱骗登陆欺诈钓鱼网站，并诱使用户输入帐号、密码和动态口令，在获取用户真实密码和动态口令后，在1分钟内犯罪分子快速登录中国银行网上银行官方页面完成转账。在短短的1分钟内，由于动态口令还没来得及更新，犯罪分子可以轻易登录客户账户，将帐户上的金额全部转走。

胡总监介绍说，上述案例再次证明，安全问题是一个综合性的问题。上述案例中的被盗，并不是由于动态口令自身被破解或伪造造成，而是黑客通过钓鱼得到了真实的动态口令。任何单一的技术手段，在应用上，都可能存在漏洞。就像普通Usbkey不能防止木马攻击一样，普通时间型动态口令不能防止钓鱼。

胡总监继续说，不过，合理应用动态密码，完全可以达到网络安全的要求。动态密码有多种种类，在国外是一个应用成熟的身份认证技术形式，因其较高的安全性、简单易用的模式而被网银用户高度认可。

针对此情况，业内专家认为，像中国银行网银出现的问题，其实可以通过以下几种方式来避免：1、采用挑战应答动态令牌，用交易的关键信息作为挑战输入令牌，得到动态口令；这样交易信息就跟动态口令捆绑在了一起，黑客如果篡改了交易信息，认证将无法通过。2、建立用于交易确认的第二通道，如短信、电话等，当用户需要交易时，将交易信息和确认码通过短信或电话通知用户，用户输入确认码才能完成交易。3、交易风险实时监控，对于非常用的IP和不符合交易习惯的操作，进行动态密码二次甚至多次认证；通过上述方式，完全可以保障交易的安全。另外，动联现在能够提供更强功能的K8动态密码令牌产品，该产品拥有高于USBKEY的安全性，包含开机密码保护、主机验证、挑战应答、交易签名等方式，真正做到网银安全的无懈可击。