超级网银竟然有漏洞!“24秒被盗转10万元”的活生生案例,再加上360、金山等安全公司的警示,让2010年低调上线运营的超级网银成为关注的焦点。记者昨日获悉,多家银行均对超级网银存在漏洞一事予以回应,但都未明确表示将如何解决这一安全问题。安全专家提醒,网银账户应设置单日最高转账限额,绝对不能将自己的账户授权给陌生人或陌生账户。
■ 深圳特区报记者 王晓晴
授权操作存风险
360互联网安全中心此前发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标。安徽省陈女士(化名)在网购时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。
调查发现,“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。同时,授权操作过程简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。另外,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
多家安全公司发现“超级网银”的授权操作存在一定安全风险。金山毒霸安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估,评估指标包括:超级网银的签约网址是否仅限本机操作、是否限制访问次数、是否有时效性限制、是否允许复制等。在105家银行中符合这一标准的,仅广东发展银行和渤海银行;只要有一项限制的为“安全性中等”,包括民生银行、北京银行、广州银行、东莞银行、青大银行、宁波银行、浙商银行、德阳银行8家商业银行。任何一条限制都没有的视为“安全性低”,共有85家商业银行,中、工、农、建、交、招商、光大、兴业、浦发、中信、华夏等银行均属此列。
银行纷纷予以回应
PC World中国实验室近日公布的四大银行超级网银安全性评测报告显示,多家银行超级网银都存在安全风险。据调查,超级网银允许用户实时跨行管理不同的银行账户。但在提供方便快捷服务的同时,也暴露出了身份验证不健全、操作过程过于简单、转账限额过高以及解除授权复杂等安全隐患。
对于超级网银风险提示不明显的问题,工行称,授权时页面上出现4点提示信息,占了整个页面的一半,提示信息是非常充分,不容易被忽略的。工行的提醒文字还包括,对使用他行网银安全认证方式处理的各项授权业务引起的各类纠纷,均与其无关。
建行方面回应称,限额与风险没有必然联系,风险在客户授权环节。在授权过程中,建行是做了明显的风险提示,且客户需要点击已认真阅读协议后,才能进行下一步操作;使用超级网银转账,同时还要进行短信验证以及网银盾验证,而短信验证还会同时提示风险。
农行客服人员表示,要看授权发起方银行是否允许农行卡单方面解除。据调查,除了个别银行外,绝大多数银行在签约授权之后,都不支持解约操作。银行方面对此给出的解释是:来自他行的授权申请一旦完成,对账户的操作就成了“他行业务”,而一个银行是无权解除其他银行的业务的。
网民须提高安全意识
“对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家表示,从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过程中被骗子误导,例如骗子以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是把整个网银账户都授权给骗子随意转账。
鉴于“超级网银”授权链接都是银行官网地址,此前没有任何安全软件会对其报警拦截。不过随着网银授权骗术兴起,360安全卫士已紧急更新了防护策略,针对来自聊天消息的网银授权链接进行风险提示,建议用户警惕陌生人发来的此类链接。
安全专家提醒,一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;网银账户应设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。