“超級(jí)網(wǎng)銀”被曝存重大安全隱患
核心問(wèn)題在于授權(quán)規(guī)則
□ 孟凡霞
近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶被騙案件����,一位客戶在24秒內(nèi)被騙子卷走10萬(wàn)元資金,許多超級(jí)網(wǎng)銀使用者惴惴不安��。專家認(rèn)為����,造成客戶資金被騙的重要原因在于超級(jí)網(wǎng)銀授權(quán)規(guī)則過(guò)于簡(jiǎn)單,容易滋生風(fēng)險(xiǎn)����,而這一安全隱患在行業(yè)內(nèi)部普遍存在��。根據(jù)金山毒霸安全中心對(duì)105家商業(yè)銀行超級(jí)網(wǎng)銀授權(quán)功能的驗(yàn)證����,85家超級(jí)網(wǎng)銀授權(quán)風(fēng)險(xiǎn)較大,占比超8成�。
24秒10萬(wàn)資金被挪移
不久前,陳女士在某購(gòu)物網(wǎng)站選中了一款200元的服裝�。商家表示,要先向廠家訂貨����,之后再由陳女士來(lái)進(jìn)行支付,并向陳女士提供了一個(gè)“代付鏈接”。
陳女士在代付鏈接上進(jìn)行了支付�,卻無(wú)法像往常一樣查到交易記錄����,于是向店家咨詢。店家表示����,“系統(tǒng)出現(xiàn)異常,您購(gòu)買的商品無(wú)法正常顯示出交易定單����,請(qǐng)您現(xiàn)在抓緊時(shí)間聯(lián)系異常訂單處理中心客服簽約為您解凍”����,并發(fā)給陳女士一個(gè)QQ號(hào)����。
陳女士與店家提供的客服QQ進(jìn)行了聯(lián)系��??头o陳女士提供了一個(gè)鏈接。陳女士點(diǎn)開了上述鏈接�,按照客服QQ的提示進(jìn)行了逐步操作,但隨后便立即發(fā)現(xiàn)自己網(wǎng)銀賬戶的資金有異常����。據(jù)陳女士描述,她在發(fā)現(xiàn)第一筆轉(zhuǎn)賬行為后��,便立即開始撥打銀行的客服電話�,希望能盡快凍結(jié)自己的銀行賬戶。但等到她撥通銀行客服時(shí)�,賬戶中的資金余額僅剩40.38元。從銀行賬單記錄來(lái)看�,兩筆金額各為5萬(wàn)元的轉(zhuǎn)賬操作時(shí)間間隔僅為24秒,而銀行客服電話轉(zhuǎn)人工通常都需要30秒至1分鐘時(shí)間����,在這么短的時(shí)間里��,陳女士采取的任何補(bǔ)救措施都是徒勞無(wú)功�。
超級(jí)網(wǎng)銀授權(quán)存隱患
自去年開始����,各大銀行紛紛力推超級(jí)網(wǎng)銀業(yè)務(wù)。但就在一夜之間����,超級(jí)網(wǎng)銀就從神壇跌至谷底。
所謂的“超級(jí)網(wǎng)銀”是央行第2代支付系統(tǒng)����,其中最受關(guān)注的功能是能夠方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶。這一功能也讓客戶資金風(fēng)險(xiǎn)大大提高�。與之前的普通網(wǎng)銀相比,一旦超級(jí)網(wǎng)銀用戶賬號(hào)�、密碼,甚至口令卡����、U盾等安全信息被破解,那么用戶失去的將不僅僅是一家銀行的存款��。
在本輪超級(jí)網(wǎng)銀安全風(fēng)波中,最核心的問(wèn)題在于授權(quán)規(guī)則�。360互聯(lián)網(wǎng)安全中心認(rèn)為�,超級(jí)網(wǎng)銀授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證,網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作��。其次��,授權(quán)操作的過(guò)程比較簡(jiǎn)單�,只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái),通過(guò)聊天軟件發(fā)送給他人“簽約”��,就可以在不同電腦上實(shí)現(xiàn)授權(quán)����。
85家銀行超級(jí)網(wǎng)銀授權(quán)存風(fēng)險(xiǎn)
目前國(guó)內(nèi)許多商業(yè)銀行都支持超級(jí)網(wǎng)銀功能,客戶難免心生疑問(wèn)��,超級(jí)網(wǎng)銀授權(quán)風(fēng)險(xiǎn)究竟是不是行業(yè)內(nèi)普遍現(xiàn)象�?據(jù)了解,金山毒霸安全中心對(duì)國(guó)內(nèi)105家商業(yè)銀行超級(jí)網(wǎng)銀簽約的安全性進(jìn)行了簡(jiǎn)單評(píng)估��,評(píng)估指標(biāo)包括:超級(jí)網(wǎng)銀的簽約網(wǎng)址是否僅限本機(jī)操作�,超級(jí)網(wǎng)銀的簽約網(wǎng)址是否限制訪問(wèn)次數(shù),超級(jí)網(wǎng)銀的簽約網(wǎng)址是否有時(shí)效性限制�,超級(jí)網(wǎng)銀的簽約網(wǎng)址是否允許復(fù)制。
金山毒霸安全中心認(rèn)為,以上4點(diǎn)��,有3項(xiàng)安全措施的����,被騙子惡意利用的可能性變得非常小,可視為“安全性高”�。在105家銀行中符合這一標(biāo)準(zhǔn)的,僅廣東發(fā)展銀行和渤海銀行��;任何一條限制都沒有的��,容易被詐騙分子利用的�,視為“安全性低”����,共有85家商業(yè)銀行。
隨著網(wǎng)上支付規(guī)模的快速增長(zhǎng)�,黑客攻擊也開始抬頭。如何加強(qiáng)防范�?北京郵電大學(xué)信息經(jīng)濟(jì)與競(jìng)爭(zhēng)力研究中心主任曾劍秋建議,目前國(guó)內(nèi)銀行的發(fā)展�,不應(yīng)該被幾家銀行所壟斷,這是不符合市場(chǎng)規(guī)律的�。與此同時(shí)�,必須要讓第三方機(jī)構(gòu)參與進(jìn)來(lái)�,共同面對(duì)存在的危機(jī)和挑戰(zhàn)。
《中國(guó)質(zhì)量報(bào)》
京公網(wǎng)安備11010802046783號(hào)