曝8成銀行超級網銀埋安全隱患

2013-06-03 13:39     來源:北京商報     編輯:林天泉

授權漏洞風波升級曝8成銀行超級網銀埋安全隱患

  授權漏洞風波再升級

  曾經備受銀行推崇的超級網銀業務如今卻飽受猜測和指責。近期全國連續出現多起各大銀行客戶被騙案件,一位客戶在24秒內被騙子卷走10萬元資金,許多超級網銀使用者惴惴不安。專家認為,造成客戶資金被騙的重要原因在於超級網銀授權規則過於簡單,容易滋生風險,而這一安全隱患在行業內部普遍存在。根據金山毒霸安全中心對105家商業銀行超級網銀授權功能的驗證,85家超級網銀授權風險較大,佔比超八成。

  事件回放

  24秒10萬資金被挪移

  不久前,陳女士在某購物網站選中了一款200元的服裝。商家表示,要先向廠家訂貨,之後再由陳女士來進行支付,並向陳女士提供了一個“代付連結”。(注:代付操作是一種網購服務,即甲購買商品,但由乙來付款。上述“代付連結”就是店主買了東西生成的一個連結,交給陳女士後,由陳女士進行支付。進行代付操作,付款人只能查到資金支出記錄,但賬戶中不會生成交易記錄。)

  陳女士在代付連結上進行了支付,卻無法像往常一樣查到交易記錄,於是向店家諮詢。店家表示,“系統出現異常,您購買的商品無法正常顯示出交易定單,請您現在抓緊時間聯繫異常訂單處理中心客服簽約為您解凍”,併發給陳女士一個QQ號。

  焦急的陳女士沒有多想,便與店家提供的客服QQ進行了聯繫。客服表示要解凍之前的訂單,需要進行“簽約授權”操作,並在詢問了陳女士使用的是哪家銀行後提供了一個連結。

  陳女士點開了上述連結,按照客服QQ的提示進行了逐步操作,但隨後便立即發現自己網銀賬戶的資金有異常。據陳女士描述,她在發現第一筆轉賬行為後,便立即開始撥打銀行的客服電話,希望能儘快凍結自己的銀行賬戶。但等到她撥通銀行客服時,賬戶中的資金餘額僅剩40.38元。從銀行帳單記錄來看,兩筆金額各為5萬元的轉賬操作時間間隔僅為24秒,而銀行客服電話轉人工通常都需要30秒至1分鐘時間,在這麼短的時間裏,陳女士採取的任何補救措施都是徒勞無功。

  市場質疑

  超級網銀授權存不安全隱患

  自去年開始,各大銀行紛紛力推超級網銀業務。但就在一夜之間,超級網銀就從神壇跌至谷底。

  所謂的“超級網銀”是央行第二代支付系統,其中最受關注的功能是能夠方便用戶實時跨行管理不同的銀行賬戶。例如,張先生習慣使用招行網銀,平常多用招行網銀客戶端登錄。同時,張先生還持有交通銀行、廣發銀行、工商銀行等多家不同銀行的銀行卡,張先生先登錄招行網銀,將其他銀行卡授權給招行賬號登錄使用。通過超級網銀授權,張先生只需登錄招行一個客戶端,就能管理所有銀行卡資産。

  這一功能也讓客戶資金風險大大提高。與之前的普通網銀相比,一旦超級網銀用戶賬號、密碼,甚至密碼卡、U盾等安全資訊被破解,那麼用戶失去的將不僅僅是一家銀行的存款。

  在本輪超級網銀安全風波中,最核心的問題在於授權規則。360網際網路安全中心認為, 超級網銀授權並不會對雙方身份和關係進行驗證,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。其次,授權操作的過程比較簡單,只需將授權頁面的連結複製下來,通過聊天軟體發送給他人“簽約”,就可以在不同電腦上實現授權。

  另外,部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬。在此過程中,並不需要授權賬戶進行二次確認,因此也無法阻止賬戶餘額被轉走。個別銀行解除授權的操作比授權更複雜,甚至只允許被授權賬戶確認解除。

  機構測評

  85家銀行超級網銀授權存風險

  目前國內許多商業銀行都支援超級網銀功能,客戶難免心生疑問,超級網銀授權風險究竟是不是行業內普遍現象?究竟有沒有銀行能提供安全可靠的超級網銀功能?

  據北京商報記者了解,金山毒霸安全中心對國內105家商業銀行超級網銀簽約的安全性進行了簡單評估,評估指標包括:超級網銀的簽約網址是否僅限本機操作;超級網銀的簽約網址是否限制訪問次數;超級網銀的簽約網址是否有時效性限制;超級網銀的簽約網址是否允許複製。

  金山毒霸安全中心認為,以上四點,有三項安全措施的,被騙子惡意利用的可能性變得非常小,可視為“安全性高”。在105家銀行中符合這一標準的,僅廣東發展銀行和渤海銀行;只要有一項限制,有機會阻止詐騙案發生的,為“安全性中等”,包括民生銀行、北京銀行、廣州銀行、東莞銀行、青大銀行、寧波銀行、浙商銀行、德陽銀行8家商業銀行。任何一條限制都沒有的,容易被詐騙分子利用的,視為“安全性低”,共有85家商業銀行,中、工、農、建、交、招商、光大、興業、浦發、中信、華夏等銀行均屬此列。另外幾家商業銀行的超級網銀簽約網址無法打開,騙子自然也無法訪問。

  根據北京商報記者實際操作,在簽約超級網銀時,銀行不會對雙方身份和關係進行驗證,沒有親屬和血緣關係的雙方也都可以簽約超級網銀。但是簽約時必須需要雙方的網銀U盾和支付密碼。一旦超級網銀授權完成後,資金轉出無需再經本人同意確認。

  專家聲音

  安全防範意識亟待提高

  隨著網上支付規模的快速增長,駭客攻擊也開始抬頭,安全防範關鍵在於用戶提高安全意識。

  專家建議,線上購物時,如果對方要求單獨加QQ聊天發送連結,要求遠端控制客戶電腦操作的, 100%是騙子無疑。一旦網路交易出現異常,應當首先通過官方渠道聯繫客服,而不要輕信店家發來的客服聊天號碼;不要相信所謂的卡單、掉單、解凍資金等説法,這些都是網路詐騙專用術語;絕對不能將自己的賬戶授權給陌生人。

  另外,目前央行規定超級網銀的轉賬限額單筆5萬元,每日限額則由各家銀行自行決定。例如,工行規定日累計不超5000元(今年2月1日以前辦理超級網易客戶不超50萬元);中行日累計不超20萬元;交行日累計不超100萬元;農行為日累計不超過5萬元。普通客戶應當在網銀賬戶設置單日最高轉賬限額,避免資金嚴重受損。

  360公司董事長周鴻祎指出,在設計理念上,網路金融産品不能一味追求交易的方便快捷,應該把用戶的資金安全放在第一位。用戶使用超級網銀時,銀行應該用通俗易懂的語言,給用戶非常強烈的安全風險提示,甚至提供超級網銀詐騙案例供用戶參考,防止更多用戶上當。

  北京郵電大學資訊經濟與競爭力研究中心主任曾劍秋建議,目前國內銀行的發展,不應該被幾家銀行所壟斷,這是不符合市場規律的。與此同時,必須要讓第三方機構參與進來,共同面對存在的危機和挑戰。(記者 孟凡霞)

延伸閱讀

訂閱新聞】 

更多專家專欄

更多金融動態

更多金融詞典

    更多投資理財