24秒10万元被挪移 原因在于超级网银授权规则过于简单
近期全国连续出现多起各大银行客户被骗案件,一位客户在24秒内被骗子卷走10万元资金,许多超级网银使用者惴惴不安。
专家认为,造成客户资金被骗的重要原因在于超级网银授权规则过于简单,而这一安全隐患在行业内部普遍存在。根据金山毒霸安全中心对105家商业银行超级网银授权功能的验证,85家超级网银授权风险较大,占比超八成。
事件回放
24秒10万资金被挪移
不久前,陈女士在某购物网站选中了一款200元的服装。商家表示,要先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。(注:代付操作是一种网购服务,即甲购买商品,但由乙来付款。)
陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,于是向店家咨询。店家表示:“系统出现异常,请您现在抓紧时间联系异常订单处理中心客服签约为您解冻”,并发给陈女士一个QQ号。
陈女士按照客服QQ的提示进行了“签约授权”操作,但随后便立即发现自己网银账户的资金有异常。等到她拨通银行客服时,账户中的资金余额仅剩40.38元。从银行账单记录来看,两笔金额各为5万元的转账操作时间间隔仅为24秒。
市场质疑
超级网银授权存安全隐患
自去年开始,各大银行纷纷力推超级网银业务。但就在一夜之间,超级网银就从神坛跌至谷底。
在本轮超级网银安全风波中,最核心的问题在于授权规则。360互联网安全中心认为,超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。
另外,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。
机构测评
85家银行超级网银授权存风险
目前国内许多商业银行都支持超级网银功能,超级网银授权风险究竟是不是行业内普遍现象?
金山毒霸安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估,评估指标包括:超级网银的签约网址是否仅限本机操作;超级网银的签约网址是否限制访问次数;超级网银的签约网址是否有时效性限制;超级网银的签约网址是否允许复制。
金山毒霸安全中心认为,以上四点,有三项安全措施的,可视为“安全性高”。在105家银行中符合这一标准的,仅有两家;只要有一项限制,为“安全性中等”,有8家商业银行符合。任何一条限制都没有的,视为“安全性低”,共有85家商业银行符合。另外几家商业银行的超级网银签约网址无法打开,骗子自然也无法访问。
专家声音
安全防范意识亟待提高
随着网上支付规模的快速增长,黑客攻击也开始抬头,安全防范关键在于用户提高安全意识。
专家建议,在线购物时,如果对方要求单独加QQ聊天发送链接,要求远程控制客户电脑操作的,100%是骗子无疑。一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;绝对不能将自己的账户授权给陌生人。
另外,目前央行规定超级网银的转账限额单笔5万元,每日限额则由各家银行自行决定。普通客户应当在网银账户设置单日最高转账限额,避免资金严重受损。
[责任编辑: 雍紫薇]