超级网银曝安全漏洞 合理使用谨防受骗

2013-06-20 09:23    来源:京华时报

  日前,被称为“超级网银”的央行第二代支付系统卷入了安全风波。国内两大知名网络安全公司先后发布警报,称其在授权操作时存在系统风险,网银用户可以授权任何人对自己的账户进行查询和转账。对此记者采访多家银行电子银行部人士均得到否定答案,专业人士表示,超级网银授权需持两家银行U盾,任何人都可操作的可行性小。

  ■事件

  超级网银被指存在漏洞

  根据某网络安全公司提供的一起案例,安徽省陈女士在网购衣服时,就被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,其银行账户中10万元就被洗劫一空。

  对此,该网络安全公司认为,“超级网银服务的风险主要在于客户授权环节。多数超级网银的授权并不需要验证双方的身份和关系。陈女士输入自己的账号、密码之后,即授权他人可以从自己的账户里进行跨行转账。”并指出超级网银的四个漏洞:对双方身份和关系无需验证、操作过于简单、没有转账额度限制、个别银行解除授权操作复杂。

  对于超级网银被指安全漏洞,各大银行纷纷出面否认。建行相关负责人即表示,为了防范风险,建行已经通过验证网银盾等安全工具以及短信验证码等增强认证措施,在超级网银授权前会有风险提示,授权时也会通过短信验证码增强认证。

  ■观点

  使用网银需谨防受骗

  有网络安全机构认为,在本轮超级网银安全风波中,最核心的问题在于授权规则。超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息过于晦涩,有可能忽视其中的安全隐患。

  专家表示,普通的转账每次都需要授权,而“超级网银”一旦授权就可连续操作。

  但有业内人士认为,目前被曝出资金被盗的案例根本的原因在于用户不了解超级网银授权的基本原理,被骗子诱骗泄露个人身份信息,并非超级网银本身有什么技术漏洞。这相当于把家里的钥匙给了误以为是朋友的小偷,跟网友上钓鱼网站的道理一样。当然,超级网银在客户咨询指导、额度限定、单方解约等方面也需要进一步完善服务。

  ■调查

  超级网银转账有限额

  为了了解超级网银是否存在相关漏洞,记者日前体验了超级网银。通过超级网银的确可以将不同银行的账户关联到某个指定银行账户,该指定账户就可以对关联账户进行查询和转账操作。

  记者在签约超级网银时发现,银行确实未对双方身份和关系进行验证,没有要求一定要是亲属,只要双方出示网银UKEY和支付密码,都可以签约超级网银。一旦超级网银授权完成后,资金转出也确实无需再经本人同意确认。

  此外,针对报告中所指“部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账”,记者通过咨询发现,目前央行规定超级网银的转账限额单笔5万元,每日限额则由各家银行自行决定,基本上各银行都有自己的规定。

责编:赵惠
0
我要评论
用户名 注册新用户
密码 忘记密码?

专题推荐

电商风云2013

电商风云2013

2013风起再起,电商企业如何脱颖而出。

投资者如何看球?

投资者如何看球?

中国足球有望获得国家层面上的支持。