超級網(wǎng)銀曝安全漏洞 合理使用謹防受騙
日前,被稱為“超級網(wǎng)銀”的央行第二代支付系統(tǒng)卷入了安全風波。國內(nèi)兩大知名網(wǎng)絡安全公司先后發(fā)布警報,稱其在授權操作時存在系統(tǒng)風險,網(wǎng)銀用戶可以授權任何人對自己的賬戶進行查詢和轉(zhuǎn)賬。對此記者采訪多家銀行電子銀行部人士均得到否定答案,專業(yè)人士表示,超級網(wǎng)銀授權需持兩家銀行U盾,任何人都可操作的可行性小。
■事件
超級網(wǎng)銀被指存在漏洞
根據(jù)某網(wǎng)絡安全公司提供的一起案例,安徽省陳女士在網(wǎng)購衣服時,就被騙子誘導進行了“超級網(wǎng)銀”授權支付操作,短短24秒內(nèi),其銀行賬戶中10萬元就被洗劫一空。
對此,該網(wǎng)絡安全公司認為,“超級網(wǎng)銀服務的風險主要在于客戶授權環(huán)節(jié)。多數(shù)超級網(wǎng)銀的授權并不需要驗證雙方的身份和關系。陳女士輸入自己的賬號、密碼之后,即授權他人可以從自己的賬戶里進行跨行轉(zhuǎn)賬。”并指出超級網(wǎng)銀的四個漏洞:對雙方身份和關系無需驗證、操作過于簡單、沒有轉(zhuǎn)賬額度限制、個別銀行解除授權操作復雜。
對于超級網(wǎng)銀被指安全漏洞,各大銀行紛紛出面否認。建行相關負責人即表示,為了防范風險,建行已經(jīng)通過驗證網(wǎng)銀盾等安全工具以及短信驗證碼等增強認證措施,在超級網(wǎng)銀授權前會有風險提示,授權時也會通過短信驗證碼增強認證。
■觀點
使用網(wǎng)銀需謹防受騙
有網(wǎng)絡安全機構認為,在本輪超級網(wǎng)銀安全風波中,最核心的問題在于授權規(guī)則。超級網(wǎng)銀授權并不會對雙方身份和關系進行驗證,網(wǎng)銀用戶可以授權任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作。其次,授權操作的過程比較簡單,只需將授權頁面的鏈接復制下來,通過聊天軟件發(fā)送給他人“簽約”,就可以在不同電腦上實現(xiàn)授權。對于普通用戶來說,有些銀行的授權頁面提示信息過于晦澀,有可能忽視其中的安全隱患。
專家表示,普通的轉(zhuǎn)賬每次都需要授權,而“超級網(wǎng)銀”一旦授權就可連續(xù)操作。
但有業(yè)內(nèi)人士認為,目前被曝出資金被盜的案例根本的原因在于用戶不了解超級網(wǎng)銀授權的基本原理,被騙子誘騙泄露個人身份信息,并非超級網(wǎng)銀本身有什么技術漏洞。這相當于把家里的鑰匙給了誤以為是朋友的小偷,跟網(wǎng)友上釣魚網(wǎng)站的道理一樣。當然,超級網(wǎng)銀在客戶咨詢指導、額度限定、單方解約等方面也需要進一步完善服務。
■調(diào)查
超級網(wǎng)銀轉(zhuǎn)賬有限額
為了了解超級網(wǎng)銀是否存在相關漏洞,記者日前體驗了超級網(wǎng)銀。通過超級網(wǎng)銀的確可以將不同銀行的賬戶關聯(lián)到某個指定銀行賬戶,該指定賬戶就可以對關聯(lián)賬戶進行查詢和轉(zhuǎn)賬操作。
記者在簽約超級網(wǎng)銀時發(fā)現(xiàn),銀行確實未對雙方身份和關系進行驗證,沒有要求一定要是親屬,只要雙方出示網(wǎng)銀UKEY和支付密碼,都可以簽約超級網(wǎng)銀。一旦超級網(wǎng)銀授權完成后,資金轉(zhuǎn)出也確實無需再經(jīng)本人同意確認。
此外,針對報告中所指“部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉(zhuǎn)賬”,記者通過咨詢發(fā)現(xiàn),目前央行規(guī)定超級網(wǎng)銀的轉(zhuǎn)賬限額單筆5萬元,每日限額則由各家銀行自行決定,基本上各銀行都有自己的規(guī)定。
相關新聞
更多>>
