“超级网银”授权验证曝安全漏洞 24秒被划走10万
【作者】管理员  【来源】本站编辑  【发布日期】2013-06-19  【点击量】752次

"超级网银"授权验证曝安全漏洞 24秒被划走10万

www.langya.cn 琅琊网    发布时间:2013-06-19 10:18:00 论坛

  原标题:“超级网银”授权验证曝安全漏洞

   

  漫画:吴奎

  □本报记者 孟佳 

  近日,360、金山等网络安全平台先后发布安全警示,称“超级网银”存在安全漏洞,一时引起轩然大波。记者从省内各大银行了解到,人民银行济南分行已就“超级网银”业务现状和安全问题,对各行进行了咨询和调查。

  5月21日,安徽阜阳的陈女士在网购裙子时,卖家称其订单未支付成功,若退款需进行“交易解冻”授权。通过QQ聊天软件,陈女士收到对方发来的银行页面的授权链接,急于退回款项的陈女士,按上面的提示进行了操作。谁知短短24秒内,陈女士银行账户上的10万元资金不翼而飞。

  陈女士打开的链接并不是“交易解冻”授权,而是“超级网银”的授权。“超级网银”是银行近几年推出的一种网络金融产品,开通“超级网银”后,用户可实时跨行管理不同的银行账户。通俗地说,用户只登陆一个网银账户,就能实现自己名下所有银行卡的跨行查询与转账。目前,国内绝大多数银行已支持该项功能。

  由于“超级网银”费率低,资金可实时到账,近几年来渐趋流行。不过,由于“超级网银”也可以授权他人对自己的账户进行查询和转账,消费者在点击陌生人发来的网银链接时,一定要谨慎小心。

  互联网安全人士也指出,“超级网银”服务的风险主要在客户授权环节。目前“超级网银”的授权并不需要验证双方的身份和关系,输入自己的账号、密码,即可授权他人从自己的账户转账。不法分子只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上获得授权。业内人士还表示,收到“超级网银”授权支付链接后,很多消费者误以为是登录个人网银,并不知道这个链接是授权他人从自己的账户里进行跨行转账,更不会注意到相关的风险提示。

  除了授权环节,日转账额度上限也是“超级网银”的一个隐忧。据了解,“超级网银”每日转账限额的决定权在各银行,因此各行日累计转账限额差距非常大。记者从多家大型商业银行了解的情况显示,各大行“超级网银”的日累计转账额度从5000到100万元不等。为此,业内人士提醒客户,应尽快设置单日最高转账限额,避免资金严重受损。

  不过,面对媒体舆论的口诛笔伐,一位银行业人士表示,目前部分银行确实存在授权支付签约的风险揭示不充分、不全面的情况,例如授权支付页面的风险提示不够醒目。但从技术上来说,“超级网银”并不存在明显的“安全漏洞”。该人士表示,在上述案例中,不法分子没有通过钓鱼网站等技术手段盗取资金,而是设计了一个圈套,这实际上利用的是消费者的粗心大意。

  因此,消费者在使用“超级网银”时,也应更加谨慎小心。广发银行个金部建议,消费者使用聊天工具时,要谨慎打开涉及网上银行业务的链接,并注意核实对方身份,即便是给熟人转账也应打电话确认。

  目前,监管部门尚未出台针对“超级网银”授权签约的风险揭示要求。业内人士呼吁尽快建立起这一规范,确保客户在任何一家银行进行“超级网银”授权签约时,均能得到充分、全面的风险揭示,防范诈骗风险。此外,主动终止授权的机制也应尽快建立,以确保发生误授权或客户被骗授权等特殊情况时,客户可以方便、及时、有效地收回相关授权,防范资金风险。

来源:大众网  编辑:浮光