近期全国连续出现多起各大银行客户被骗案件,一位客户在24秒内被骗子卷走10万元资金,许多超级网银使用者惴惴不安。专家认为,造成客户资金被骗的重要原因在于超级网银授权规则过于简单,容易滋生风险,而这一安全隐患在行业内部普遍存在。根据金山毒霸安全中心对105家商业银行超级网银授权功能的验证,85家超级网银授权风险较大,占比超8成。
24秒10万资金被挪移
不久前,陈女士在某购物网站选中了一款200元的服装。商家表示,要先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。
陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,于是向店家咨询。店家表示,“系统出现异常,您购买的商品无法正常显示出交易定单,请您现在抓紧时间联系异常订单处理中心客服签约为您解冻”,并发给陈女士一个QQ号。
陈女士与店家提供的客服QQ进行了联系。客服给陈女士提供了一个链接。陈女士点开了上述链接,按照客服QQ的提示进行了逐步操作,但随后便立即发现自己网银账户的资金有异常。据陈女士描述,她在发现第一笔转账行为后,便立即开始拨打银行的客服电话,希望能尽快冻结自己的银行账户。但等到她拨通银行客服时,账户中的资金余额仅剩40.38元。从银行账单记录来看,两笔金额各为5万元的转账操作时间间隔仅为24秒,而银行客服电话转人工通常都需要30秒至1分钟时间,在这么短的时间里,陈女士采取的任何补救措施都是徒劳无功。
超级网银授权存隐患
自去年开始,各大银行纷纷力推超级网银业务。但就在一夜之间,超级网银就从神坛跌至谷底。
所谓的“超级网银”是央行第2代支付系统,其中最受关注的功能是能够方便用户实时跨行管理不同的银行账户。这一功能也让客户资金风险大大提高。与之前的普通网银相比,一旦超级网银用户账号、密码,甚至口令卡、U盾等安全信息被破解,那么用户失去的将不仅仅是一家银行的存款。
在本轮超级网银安全风波中,最核心的问题在于授权规则。360互联网安全中心认为,超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。
85家银行超级网银授权存风险
目前国内许多商业银行都支持超级网银功能,客户难免心生疑问,超级网银授权风险究竟是不是行业内普遍现象?据了解,金山毒霸安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估,评估指标包括:超级网银的签约网址是否仅限本机操作,超级网银的签约网址是否限制访问次数,超级网银的签约网址是否有时效性限制,超级网银的签约网址是否允许复制。
金山毒霸安全中心认为,以上4点,有3项安全措施的,被骗子恶意利用的可能性变得非常小,可视为“安全性高”。在105家银行中符合这一标准的,仅广东发展银行和渤海银行;任何一条限制都没有的,容易被诈骗分子利用的,视为“安全性低”,共有85家商业银行。
随着网上支付规模的快速增长,黑客攻击也开始抬头。如何加强防范?北京邮电大学信息经济与竞争力研究中心主任曾剑秋建议,目前国内银行的发展,不应该被几家银行所垄断,这是不符合市场规律的。与此同时,必须要让第三方机构参与进来,共同面对存在的危机和挑战。
【来源:中国质量网 2014.5.9稿件】