“超级网银”授权验证曝安全漏洞 24秒被划走10万
来源:大众日报 作者: 2013-06-19 06:55:00
原标题:“”授权验证曝安全漏洞
漫画:吴奎
□本报记者 孟佳近日,360、金山等网络安全平台先后发布安全警示,称“超级网银”存在安全漏洞,一时引起轩然大波。记者从省内各大银行了解到,人民银行济南分行已就“超级网银”业务现状和安全问题,对各行进行了咨询和调查。
5月21日,安徽阜阳的陈女士在网购裙子时,卖家称其订单未支付成功,若退款需进行“交易解冻”授权。通过QQ聊天软件,陈女士收到对方发来的银行页面的授权链接,急于退回款项的陈女士,按上面的提示进行了操作。谁知短短24秒内,陈女士银行账户上的10万元资金不翼而飞。
陈女士打开的链接并不是“交易解冻”授权,而是“超级网银”的授权。“超级网银”是银行近几年推出的一种网络金融产品,开通“超级网银”后,用户可实时跨行管理不同的银行账户。通俗地说,用户只登陆一个网银账户,就能实现自己名下所有银行卡的跨行查询与转账。目前,国内绝大多数银行已支持该项功能。
由于“超级网银”费率低,资金可实时到账,近几年来渐趋流行。不过,由于“超级网银”也可以授权他人对自己的账户进行查询和转账,消费者在点击陌生人发来的网银链接时,一定要谨慎小心。
互联网安全人士也指出,“超级网银”服务的风险主要在客户授权环节。目前“超级网银”的授权并不需要验证双方的身份和关系,输入自己的账号、密码,即可授权他人从自己的账户转账。不法分子只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上获得授权。业内人士还表示,收到“超级网银”授权支付链接后,很多消费者误以为是登录个人网银,并不知道这个链接是授权他人从自己的账户里进行跨行转账,更不会注意到相关的风险提示。
除了授权环节,日转账额度上限也是“超级网银”的一个隐忧。据了解,“超级网银”每日转账限额的决定权在各银行,因此各行日累计转账限额差距非常大。记者从多家大型商业银行了解的情况显示,各大行“超级网银”的日累计转账额度从5000到100万元不等。为此,业内人士提醒客户,应尽快设置单日最高转账限额,避免资金严重受损。
不过,面对媒体舆论的口诛笔伐,一位银行业人士表示,目前部分银行确实存在授权支付签约的风险揭示不充分、不全面的情况,例如授权支付页面的风险提示不够醒目。但从技术上来说,“超级网银”并不存在明显的“安全漏洞”。该人士表示,在上述案例中,不法分子没有通过钓鱼网站等技术手段盗取资金,而是设计了一个圈套,这实际上利用的是消费者的粗心大意。
因此,消费者在使用“超级网银”时,也应更加谨慎小心。广发银行个金部建议,消费者使用聊天工具时,要谨慎打开涉及网上银行业务的链接,并注意核实对方身份,即便是给熟人转账也应打电话确认。
目前,监管部门尚未出台针对“超级网银”授权签约的风险揭示要求。业内人士呼吁尽快建立起这一规范,确保客户在任何一家银行进行“超级网银”授权签约时,均能得到充分、全面的风险揭示,防范诈骗风险。此外,主动终止授权的机制也应尽快建立,以确保发生误授权或客户被骗授权等特殊情况时,客户可以方便、及时、有效地收回相关授权,防范资金风险。
大众网版权与免责声明
1、大众网所有内容的版权均属于作者或页面内声明的版权人。未经大众网的书面许可,任何其他个人或组织均不得以任何形式将大众网的各项资源转载、复制、编辑或发布使用于其他任何场合;不得把其中任何形式的图片切换散发给其他方,不可把这些信息在其他的服务器或文档中作镜像复制或保存;不得修改或再使用大众网的任何资源。若有意转载本站信息资料,必需取得大众网书面授权。
2、已经本网授权使用作品的,应在授权范围内使用,并注明“来源:大众网”。违反上述声明者,本网将追究其相关法律责任。
3、凡本网注明“来源:XXX(非大众网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
4、如因作品内容、版权和其它问题需要同本网联系的,请30日内进行。