超級網銀曝安全漏洞 合理使用謹防受騙
日前,被稱為“超級網銀”的央行第二代支付系統卷入了安全風波。國內兩大知名網絡安全公司先后發布警報,稱其在授權操作時存在系統風險,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬。對此記者采訪多家銀行電子銀行部人士均得到否定答案,專業人士表示,超級網銀授權需持兩家銀行U盾,任何人都可操作的可行性小。
■事件
超級網銀被指存在漏洞
根據某網絡安全公司提供的一起案例,安徽省陳女士在網購衣服時,就被騙子誘導進行了“超級網銀”授權支付操作,短短24秒內,其銀行賬戶中10萬元就被洗劫一空。
對此,該網絡安全公司認為,“超級網銀服務的風險主要在于客戶授權環節。多數超級網銀的授權并不需要驗證雙方的身份和關系。陳女士輸入自己的賬號、密碼之后,即授權他人可以從自己的賬戶里進行跨行轉賬。”并指出超級網銀的四個漏洞:對雙方身份和關系無需驗證、操作過于簡單、沒有轉賬額度限制、個別銀行解除授權操作復雜。
對于超級網銀被指安全漏洞,各大銀行紛紛出面否認。建行相關負責人即表示,為了防范風險,建行已經通過驗證網銀盾等安全工具以及短信驗證碼等增強認證措施,在超級網銀授權前會有風險提示,授權時也會通過短信驗證碼增強認證。
■觀點
使用網銀需謹防受騙
有網絡安全機構認為,在本輪超級網銀安全風波中,最核心的問題在于授權規則。超級網銀授權并不會對雙方身份和關系進行驗證,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。其次,授權操作的過程比較簡單,只需將授權頁面的鏈接復制下來,通過聊天軟件發送給他人“簽約”,就可以在不同電腦上實現授權。對于普通用戶來說,有些銀行的授權頁面提示信息過于晦澀,有可能忽視其中的安全隱患。
專家表示,普通的轉賬每次都需要授權,而“超級網銀”一旦授權就可連續操作。
但有業內人士認為,目前被曝出資金被盜的案例根本的原因在于用戶不了解超級網銀授權的基本原理,被騙子誘騙泄露個人身份信息,并非超級網銀本身有什么技術漏洞。這相當于把家里的鑰匙給了誤以為是朋友的小偷,跟網友上釣魚網站的道理一樣。當然,超級網銀在客戶咨詢指導、額度限定、單方解約等方面也需要進一步完善服務。
■調查
超級網銀轉賬有限額
為了了解超級網銀是否存在相關漏洞,記者日前體驗了超級網銀。通過超級網銀的確可以將不同銀行的賬戶關聯到某個指定銀行賬戶,該指定賬戶就可以對關聯賬戶進行查詢和轉賬操作。
記者在簽約超級網銀時發現,銀行確實未對雙方身份和關系進行驗證,沒有要求一定要是親屬,只要雙方出示網銀UKEY和支付密碼,都可以簽約超級網銀。一旦超級網銀授權完成后,資金轉出也確實無需再經本人同意確認。
此外,針對報告中所指“部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬”,記者通過咨詢發現,目前央行規定超級網銀的轉賬限額單筆5萬元,每日限額則由各家銀行自行決定,基本上各銀行都有自己的規定。
相關新聞
更多>>
