日前��,被稱為“超級(jí)網(wǎng)銀”的央行第二代支付系統(tǒng)卷入了安全風(fēng)波�。國內(nèi)兩大知名網(wǎng)絡(luò)安全公司先后發(fā)布警報(bào)��,稱其在授權(quán)操作時(shí)存在系統(tǒng)風(fēng)險(xiǎn)����,網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬。對(duì)此記者采訪多家銀行電子銀行部人士均得到否定答案����,專業(yè)人士表示,超級(jí)網(wǎng)銀授權(quán)需持兩家銀行U盾���,任何人都可操作的可行性小�。
■事件
超級(jí)網(wǎng)銀被指存在漏洞
根據(jù)某網(wǎng)絡(luò)安全公司提供的一起案例�����,安徽省陳女士在網(wǎng)購衣服時(shí)�����,就被騙子誘導(dǎo)進(jìn)行了“超級(jí)網(wǎng)銀”授權(quán)支付操作��,短短24秒內(nèi)�,其銀行賬戶中10萬元就被洗劫一空。
對(duì)此�,該網(wǎng)絡(luò)安全公司認(rèn)為,“超級(jí)網(wǎng)銀服務(wù)的風(fēng)險(xiǎn)主要在于客戶授權(quán)環(huán)節(jié)��。多數(shù)超級(jí)網(wǎng)銀的授權(quán)并不需要驗(yàn)證雙方的身份和關(guān)系����。陳女士輸入自己的賬號(hào)、密碼之后����,即授權(quán)他人可以從自己的賬戶里進(jìn)行跨行轉(zhuǎn)賬?�!辈⒅赋龀?jí)網(wǎng)銀的四個(gè)漏洞:對(duì)雙方身份和關(guān)系無需驗(yàn)證�、操作過于簡單、沒有轉(zhuǎn)賬額度限制�����、個(gè)別銀行解除授權(quán)操作復(fù)雜�。
對(duì)于超級(jí)網(wǎng)銀被指安全漏洞,各大銀行紛紛出面否認(rèn)��。建行相關(guān)負(fù)責(zé)人即表示��,為了防范風(fēng)險(xiǎn),建行已經(jīng)通過驗(yàn)證網(wǎng)銀盾等安全工具以及短信驗(yàn)證碼等增強(qiáng)認(rèn)證措施�����,在超級(jí)網(wǎng)銀授權(quán)前會(huì)有風(fēng)險(xiǎn)提示��,授權(quán)時(shí)也會(huì)通過短信驗(yàn)證碼增強(qiáng)認(rèn)證����。
■觀點(diǎn)
使用網(wǎng)銀需謹(jǐn)防受騙
有網(wǎng)絡(luò)安全機(jī)構(gòu)認(rèn)為,在本輪超級(jí)網(wǎng)銀安全風(fēng)波中�,最核心的問題在于授權(quán)規(guī)則。超級(jí)網(wǎng)銀授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證�,網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。其次�����,授權(quán)操作的過程比較簡單�����,只需將授權(quán)頁面的鏈接復(fù)制下來���,通過聊天軟件發(fā)送給他人“簽約”��,就可以在不同電腦上實(shí)現(xiàn)授權(quán)����。對(duì)于普通用戶來說�,有些銀行的授權(quán)頁面提示信息過于晦澀,有可能忽視其中的安全隱患�����。
專家表示�����,普通的轉(zhuǎn)賬每次都需要授權(quán)����,而“超級(jí)網(wǎng)銀”一旦授權(quán)就可連續(xù)操作。
但有業(yè)內(nèi)人士認(rèn)為�����,目前被曝出資金被盜的案例根本的原因在于用戶不了解超級(jí)網(wǎng)銀授權(quán)的基本原理����,被騙子誘騙泄露個(gè)人身份信息�,并非超級(jí)網(wǎng)銀本身有什么技術(shù)漏洞�����。這相當(dāng)于把家里的鑰匙給了誤以為是朋友的小偷�����,跟網(wǎng)友上釣魚網(wǎng)站的道理一樣���。當(dāng)然��,超級(jí)網(wǎng)銀在客戶咨詢指導(dǎo)���、額度限定、單方解約等方面也需要進(jìn)一步完善服務(wù)����。
■調(diào)查
超級(jí)網(wǎng)銀轉(zhuǎn)賬有限額
為了了解超級(jí)網(wǎng)銀是否存在相關(guān)漏洞,記者日前體驗(yàn)了超級(jí)網(wǎng)銀�����。通過超級(jí)網(wǎng)銀的確可以將不同銀行的賬戶關(guān)聯(lián)到某個(gè)指定銀行賬戶�,該指定賬戶就可以對(duì)關(guān)聯(lián)賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。
記者在簽約超級(jí)網(wǎng)銀時(shí)發(fā)現(xiàn)�����,銀行確實(shí)未對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證�,沒有要求一定要是親屬,只要雙方出示網(wǎng)銀UKEY和支付密碼����,都可以簽約超級(jí)網(wǎng)銀。一旦超級(jí)網(wǎng)銀授權(quán)完成后��,資金轉(zhuǎn)出也確實(shí)無需再經(jīng)本人同意確認(rèn)����。
此外,針對(duì)報(bào)告中所指“部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度�����,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬”�,記者通過咨詢發(fā)現(xiàn),目前央行規(guī)定超級(jí)網(wǎng)銀的轉(zhuǎn)賬限額單筆5萬元����,每日限額則由各家銀行自行決定�����,基本上各銀行都有自己的規(guī)定��。
目前�,工行是日累計(jì)不超5000元(今年2月1日以前辦理超級(jí)網(wǎng)銀客戶不超50萬元)�����;中行是日累計(jì)不超20萬元�����;交行日累計(jì)不超100萬元�����;農(nóng)行為日累計(jì)不超過5萬元�。
■小貼士
銀行支招安全秘籍
(1)開通短信服務(wù)。網(wǎng)上銀行提供了從登錄���、查詢�、交易、直到退出的每一個(gè)環(huán)節(jié)的短信提醒服務(wù)���,客戶可以直接通過網(wǎng)上銀行捆綁其手機(jī)�,隨時(shí)掌握網(wǎng)上銀行使用情況��。
(2)授權(quán)他人查詢本人賬戶和授權(quán)他人支付本人資金屬高風(fēng)險(xiǎn)交易行為���,請(qǐng)務(wù)必小心謹(jǐn)慎,嚴(yán)防詐騙����,并定期關(guān)注賬戶資金變動(dòng)情況。
(3)不要通過電子郵件以及qq�、msn、旺旺等即時(shí)通信工具對(duì)話信息中的網(wǎng)址登錄銀行或者淘寶等商戶網(wǎng)站��,同時(shí)��,也不要隨意接收和打開賣家傳送的文件�����。
(4)當(dāng)發(fā)現(xiàn)賬戶存在欺詐風(fēng)險(xiǎn)時(shí)��,及時(shí)撥打銀行熱線電話對(duì)賬戶進(jìn)行掛失等手段保障賬戶資金安全。
?。ㄓ浾吒叱?馬文婷京華時(shí)報(bào)制圖楊佳寧)
