超級網銀陷安全質疑漩渦 銀行稱尚未發(fā)現漏洞
問世近4年后,曾經備受銀行推崇的“超級網銀”突然陷入質疑的漩渦。繼360互聯網安全中心發(fā)布報告,稱其已成為黑客惡意利用的目標之后,另一家互聯網安全公司金山毒霸也公開表示其“授權風險較大”。
面對如潮的質疑和使用者的不安,昨日,多家銀行的電子銀行負責人均明確表態(tài)稱,超級網銀在安全性上有保障,且“每日轉賬額度沒有上限”的說法并不屬實。
質疑一
雙方身份和關系無需驗證?
所謂的“超級網銀”,是央行第二代支付系統(tǒng),其中最受關注的功能是能夠方便用戶實時跨行管理不同的銀行賬戶。比如,消費者李女士使用招行網銀,而李女士的家人或朋友持有交通銀行、工商銀行等多家不同銀行的銀行卡,李女士登錄招行網銀后,通過超級網銀授權,可將其他銀行卡授權給招行賬號。這樣只需登錄招行一個網銀,就能管理所有銀行賬號。
互聯網上的行騙者,正是利用了超級網銀的授權這一功能。
360互聯網安全中心給出的一個案例顯示,消費者陳女士在某購物網站選中了一款200元的服裝,在支付貨款時用超級網銀,但因為出現支付“故障”,就按照客服的說法,簽了一份對方發(fā)來的簽約授權協(xié)議,將自己的賬號簽約給了其他賬戶。短短24秒內,網銀里的10萬元就被轉走。
“這個騙局能夠得逞,是由于超級網銀對簽約雙方的身份和關系無需驗證?!?60互聯網安全中心表示,通過超級網銀可以將不同銀行的賬戶關聯到某個指定銀行賬戶,該指定賬戶就可以對關聯賬戶進行查詢和轉賬操作。這樣一來,“超級網銀”就存在了安全隱患。
事實果真如此么?
回應
簽約時必需雙方網銀U盾
即便沒有親屬和血緣關系的兩個人,他們的賬戶也可以在超級網銀中進行授權簽約嗎?記者昨日走訪多家銀行獲悉,在簽約超級網銀時,銀行確實不對雙方身份和關系進行驗證。但銀行方面也表示,簽約時雖然并不驗證雙方身份,卻需要雙方的操作配合。
“如果在簽約時,沒有雙方的網銀U盾和支付密碼,簽約是不可能成功的?!弊蛉漳成虡I(yè)銀行電子銀行部負責人明確表示,一旦超級網銀授權完成后,資金轉出也確實無需再經本人同意確認。
“實際上,即便不用超級網銀,在平時的單獨銀行網銀使用中,轉賬等行為也只需要支付密碼和本人U盾。”該負責人認為,只要消費者保管好自己的U盾,明確授權的含義,類似的騙局就不會發(fā)生。
質疑二
轉賬額度并無上限?
在360互聯網安全中心給出的案例中,消費者陳女士網銀中的10萬元,被分成兩次各5萬元轉走。360因此發(fā)布報告稱,部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬。而在此過程中,并不需要授權賬戶進行二次確認,因此也無法阻止賬戶余額被轉走。
此外據陳女士描述,她在發(fā)現第一筆轉賬行為后,便立即撥打銀行的客服電話。但等到她撥通銀行客服時,賬戶中的資金余額僅剩40.38元。兩筆金額各為5萬元的轉賬操作時間間隔僅為24秒,而銀行客服電話轉人工通常都需要30秒至1分鐘時間,在這么短的時間里,陳女士采取的任何補救措施都是徒勞無功。
因此,“個別銀行解除授權操作復雜”也成為對超級網銀的質疑點。
相關新聞
更多>>