超级网银陷安全质疑漩涡 银行称尚未发现漏洞
问世近4年后,曾经备受银行推崇的“超级网银”突然陷入质疑的漩涡。继360互联网安全中心发布报告,称其已成为黑客恶意利用的目标之后,另一家互联网安全公司金山毒霸也公开表示其“授权风险较大”。
面对如潮的质疑和使用者的不安,昨日,多家银行的电子银行负责人均明确表态称,超级网银在安全性上有保障,且“每日转账额度没有上限”的说法并不属实。
质疑一
双方身份和关系无需验证?
所谓的“超级网银”,是央行第二代支付系统,其中最受关注的功能是能够方便用户实时跨行管理不同的银行账户。比如,消费者李女士使用招行网银,而李女士的家人或朋友持有交通银行、工商银行等多家不同银行的银行卡,李女士登录招行网银后,通过超级网银授权,可将其他银行卡授权给招行账号。这样只需登录招行一个网银,就能管理所有银行账号。
互联网上的行骗者,正是利用了超级网银的授权这一功能。
360互联网安全中心给出的一个案例显示,消费者陈女士在某购物网站选中了一款200元的服装,在支付货款时用超级网银,但因为出现支付“故障”,就按照客服的说法,签了一份对方发来的签约授权协议,将自己的账号签约给了其他账户。短短24秒内,网银里的10万元就被转走。
“这个骗局能够得逞,是由于超级网银对签约双方的身份和关系无需验证。”360互联网安全中心表示,通过超级网银可以将不同银行的账户关联到某个指定银行账户,该指定账户就可以对关联账户进行查询和转账操作。这样一来,“超级网银”就存在了安全隐患。
事实果真如此么?
回应
签约时必需双方网银U盾
即便没有亲属和血缘关系的两个人,他们的账户也可以在超级网银中进行授权签约吗?记者昨日走访多家银行获悉,在签约超级网银时,银行确实不对双方身份和关系进行验证。但银行方面也表示,签约时虽然并不验证双方身份,却需要双方的操作配合。
“如果在签约时,没有双方的网银U盾和支付密码,签约是不可能成功的。”昨日某商业银行电子银行部负责人明确表示,一旦超级网银授权完成后,资金转出也确实无需再经本人同意确认。
“实际上,即便不用超级网银,在平时的单独银行网银使用中,转账等行为也只需要支付密码和本人U盾。”该负责人认为,只要消费者保管好自己的U盾,明确授权的含义,类似的骗局就不会发生。
质疑二
转账额度并无上限?
在360互联网安全中心给出的案例中,消费者陈女士网银中的10万元,被分成两次各5万元转走。360因此发布报告称,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。而在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。
此外据陈女士描述,她在发现第一笔转账行为后,便立即拨打银行的客服电话。但等到她拨通银行客服时,账户中的资金余额仅剩40.38元。两笔金额各为5万元的转账操作时间间隔仅为24秒,而银行客服电话转人工通常都需要30秒至1分钟时间,在这么短的时间里,陈女士采取的任何补救措施都是徒劳无功。
因此,“个别银行解除授权操作复杂”也成为对超级网银的质疑点。
相关新闻
更多>>
