超級網銀”授權驗證曝安全漏洞

網際網路安全人士也指出,“超級網銀”服務的風險主要在客戶授權環節。目前“超級網銀”的授權並不需要驗證雙方的身份和關係,輸入自己的賬號、密碼,即 可授權他人從自己的賬戶轉賬。不法分子只需將授權頁面的連結複製下來,透過聊天軟體傳送給他人“簽約”,就可以在不同電腦上獲得授權。業內人士還表示,收 到“超級網銀”授權支付連結後,很多消費者誤以為是登入個人網銀,並不知道這個連結是授權他人從自己的賬戶裡進行跨行轉賬,更不會注意到相關的風險提示。　　

除了授權環節,日轉賬額度上限也是“超級網銀”的一個隱憂。據瞭解,“超級網銀”每日轉賬限額的決定權在各銀行,因此各行日累計轉賬限額差距非常大。 記者從多家大型商業銀行了解的情況顯示,各大行“超級網銀”的日累計轉賬額度從5000到100萬元不等。為此,業內人士提醒客戶,應儘快設定單日最高轉 賬限額,避免資金嚴重受損。　　

不過,面對媒體輿論的口誅筆伐,一位銀行業人士表示,目前部分銀行確實存在授權支付簽約的風險揭示不充分、不全面的情況,例如授權支付頁面的風險提示 不夠醒目。但從技術上來說,“超級網銀”並不存在明顯的“安全漏洞”。該人士表示,在上述案例中,不法分子沒有透過釣魚網站等技術手段盜取資金,而是設計 了一個圈套,這實際上利用的是消費者的粗心大意。　　

因此,消費者在使用“超級網銀”時,也應更加謹慎小心。廣發銀行個金部建議,消費者使用聊天工具時,要謹慎開啟涉及網上銀行業務的連結,並注意核實對方身份,即便是給熟人轉賬也應打電話確認。　　

目前,監管部門尚未出臺針對“超級網銀”授權簽約的風險揭示要求。業內人士呼籲儘快建立起這一規範,確保客戶在任何一家銀行進行“超級網銀”授權簽約 時,均能得到充分、全面的風險揭示,防範詐騙風險。此外,主動終止授權的機制也應儘快建立,以確保發生誤授權或客戶被騙授權等特殊情況時,客戶可以方便、 及時、有效地收回相關授權,防範資金風險。

事件回顧：

用一個網銀賬戶，實現多張銀行卡的跨行查詢和轉賬。因為方便，現在很多人用上了超級網銀。不過，超級網銀可能有安全漏洞。360網際網路安全中心昨日釋出重大安全警報稱，“超級網銀”跨行賬戶管理功能已經成為駭客惡意利用的目標，近期全國連續出現多起各大銀行客戶被騙案例。安徽省的陳女士，近期在網購時，就被騙子誘導進行了“超級網銀”授權支付操作，短短5分鐘內，賬戶中10多萬元就被洗劫一空。

原因：

外部原因：

整個過程中，陳女士沒有洩露密碼，騙子是怎麼得逞的呢？這裡最關鍵的一環，就是“超級網銀”的授權支付功能。銀行電子銀行部負責人說，除了“跨行資金歸集業務”，一般客戶很少了解和使用“超級網銀”中的授權操作功能，因此給騙子可乘之機。

內部原因：

陳女士所犯的致命錯誤是將賬號、開戶行等資訊告訴了對方，然後在不知風險的情況下，登入網銀，插入U盾，確認、簽訂了跨行支付協議。這位負責人說，一般銀行客戶能守住密碼，卻不知熟悉“超級網銀”功能的騙子在無需獲取密碼的情況下，引導受害人一步步交出賬戶控制權。

建議：

不要輕易將賬戶授權給陌生人。銀行人士提醒，為防止“超級網銀”的授權功能被竊取，在網購時，不要相信所謂的卡單、掉單和解凍資金等說法；絕對不能將賬戶授權給陌生人；要對網銀設定轉賬限額；如果僅僅是查詢，可以關閉“支付”功能；或者在超級網銀中指定收款人。如何安全使用超級網銀(一)授權他人查詢本人賬戶和授權他人支付本人資金屬高風險交易行為，請務必小心謹慎，嚴防詐騙，並定期關注賬戶資金變動情況。　(二)不要透過電子郵件以及qq、msn、旺旺等即時通訊工具對話資訊中的網址登入銀行或者淘寶等商戶網站，同時，也不要隨意接收和開啟賣家傳送的檔案。　(三)當發現賬戶存在欺詐風險時，及時撥打銀行熱線電話對賬戶進行掛失等手段保障賬戶資金安全。