日前�����,被稱為“超級網(wǎng)銀”的央行第二代支付系統(tǒng)卷入了安全風(fēng)波�����。國內(nèi)兩大知名網(wǎng)絡(luò)安全公司先后發(fā)布警報�����,稱其在授權(quán)操作時存在系統(tǒng)風(fēng)險�����,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬�����。對此記者采訪多家銀行電子銀行部人士均得到否定答案�����,專業(yè)人士表示�����,超級網(wǎng)銀授權(quán)需持兩家銀行U盾�����,任何人都可操作的可行性小�����。
■事件
超級網(wǎng)銀被指存在漏洞
根據(jù)某網(wǎng)絡(luò)安全公司提供的一起案例�����,安徽省陳女士在網(wǎng)購衣服時�����,就被騙子誘導(dǎo)進行了“超級網(wǎng)銀”授權(quán)支付操作�����,短短24秒內(nèi)�����,其銀行賬戶中10萬元就被洗劫一空�����。
對此,該網(wǎng)絡(luò)安全公司認為�����,“超級網(wǎng)銀服務(wù)的風(fēng)險主要在于客戶授權(quán)環(huán)節(jié)�����。多數(shù)超級網(wǎng)銀的授權(quán)并不需要驗證雙方的身份和關(guān)系�����。陳女士輸入自己的賬號�����、密碼之后�����,即授權(quán)他人可以從自己的賬戶里進行跨行轉(zhuǎn)賬�����?����!辈⒅赋龀壘W(wǎng)銀的四個漏洞:對雙方身份和關(guān)系無需驗證�����、操作過于簡單�����、沒有轉(zhuǎn)賬額度限制�����、個別銀行解除授權(quán)操作復(fù)雜�����。
對于超級網(wǎng)銀被指安全漏洞�����,各大銀行紛紛出面否認�����。建行相關(guān)負責人即表示,為了防范風(fēng)險�����,建行已經(jīng)通過驗證網(wǎng)銀盾等安全工具以及短信驗證碼等增強認證措施�����,在超級網(wǎng)銀授權(quán)前會有風(fēng)險提示�����,授權(quán)時也會通過短信驗證碼增強認證�����。
■觀點
使用網(wǎng)銀需謹防受騙
有網(wǎng)絡(luò)安全機構(gòu)認為�����,在本輪超級網(wǎng)銀安全風(fēng)波中�����,最核心的問題在于授權(quán)規(guī)則�����。超級網(wǎng)銀授權(quán)并不會對雙方身份和關(guān)系進行驗證�����,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作�����。其次�����,授權(quán)操作的過程比較簡單�����,只需將授權(quán)頁面的鏈接復(fù)制下來�����,通過聊天軟件發(fā)送給他人“簽約”�����,就可以在不同電腦上實現(xiàn)授權(quán)。對于普通用戶來說�����,有些銀行的授權(quán)頁面提示信息過于晦澀�����,有可能忽視其中的安全隱患�����。
專家表示�����,普通的轉(zhuǎn)賬每次都需要授權(quán)�����,而“超級網(wǎng)銀”一旦授權(quán)就可連續(xù)操作�����。
但有業(yè)內(nèi)人士認為,目前被曝出資金被盜的案例根本的原因在于用戶不了解超級網(wǎng)銀授權(quán)的基本原理�����,被騙子誘騙泄露個人身份信息�����,并非超級網(wǎng)銀本身有什么技術(shù)漏洞�����。這相當于把家里的鑰匙給了誤以為是朋友的小偷�����,跟網(wǎng)友上釣魚網(wǎng)站的道理一樣�����。當然�����,超級網(wǎng)銀在客戶咨詢指導(dǎo)�����、額度限定�����、單方解約等方面也需要進一步完善服務(wù)�����。
■調(diào)查
超級網(wǎng)銀轉(zhuǎn)賬有限額
為了了解超級網(wǎng)銀是否存在相關(guān)漏洞�����,記者日前體驗了超級網(wǎng)銀�����。通過超級網(wǎng)銀的確可以將不同銀行的賬戶關(guān)聯(lián)到某個指定銀行賬戶�����,該指定賬戶就可以對關(guān)聯(lián)賬戶進行查詢和轉(zhuǎn)賬操作�����。
記者在簽約超級網(wǎng)銀時發(fā)現(xiàn),銀行確實未對雙方身份和關(guān)系進行驗證�����,沒有要求一定要是親屬�����,只要雙方出示網(wǎng)銀UKEY和支付密碼�����,都可以簽約超級網(wǎng)銀�����。一旦超級網(wǎng)銀授權(quán)完成后�����,資金轉(zhuǎn)出也確實無需再經(jīng)本人同意確認�����。
此外�����,針對報告中所指“部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度�����,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬”�����,記者通過咨詢發(fā)現(xiàn)�����,目前央行規(guī)定超級網(wǎng)銀的轉(zhuǎn)賬限額單筆5萬元�����,每日限額則由各家銀行自行決定�����,基本上各銀行都有自己的規(guī)定�����。
