360曝“超級網銀”漏洞 互聯網金融安全存隱患
5月28日,一向以“大嘴”著稱的360互聯網安全中心發布了超級網銀風險提示,并曝出該產品多次被黑客利用的案例。超級網銀作為央行2009年研發并力推的標準化跨銀行網上金融服務產品,四年來一直默默無聞,卻因360舉動被推上了風口浪尖。案例:全國多發網購被騙案
西南財大的學生小李已經有4年的網購年齡,他非常謹慎,也具有一定安全防范意識,但近日他在網上購買iphone5手機時,卻遭遇了騙局。“當時客服通過QQ把付款鏈接發給我,他說完成操作后,就可以到實體店中去領取手機了。我再三確認了客服給我的是銀行合法鏈接后,才按對方的要求完成了網銀操作。可是交易完成后我查不到有交易記錄,沒過到兩三分鐘,我手機短信使勁響,一看全是建行的短信提示,就這么點時間里,我卡上1萬多塊錢分三次轉進了一個陌生賬戶。”小李告訴《金融投資報》記者,從銀行賬單記錄來看,三筆金額不同的轉賬,時間間隔僅為47秒。
另外,360互聯網安全中心還公布了幾例類似案件,受害者均是在網購的過程中受騙,涉案金額總共超過數百萬的資金,均是在不足5分鐘之類被洗劫一空。360說法:互聯網金融應以安全第一
《金融投資報》記者發現,在發布超級網銀風險提示之后,360安全衛士已緊急更新防護策略,針對來自聊天消息的網銀授權鏈接增加了風險提示。360公司董事長周鴻祎告訴《金融投資報》記者:“超級網銀是為了極大程度上方便用戶使用而產生的,但在設計理念上,網絡金融產品不能一味追求交易的方便快捷,應該把用戶的資金安全放在第一位。比如超級網銀的頁面上應該加入更多的防詐騙案例,在用戶操作步驟中,應該給與更多地風險警示。”
“對于網銀用戶來說,更嚴重的風險在于安全意識薄弱。”360安全專家萬仁國表示,從近期出現的“超級網銀”授權詐騙案例來看,全都是消費者在網購過程中被騙子誤導。騙子有時會以“交易卡單”等名義發來授權鏈接,忽悠消費者對交易資金“解凍”,實際上是要消費者把整個網銀賬戶都授權給騙子隨意轉賬。“金融機構也應該注意跨行賬戶管理功能的雙刃劍,帶來便利的同時也制造了風險。”
360互聯網安全中心還提醒網民,一旦網絡交易出現異常,應當首先通過官方渠道聯系銀行的客服,而不要輕信店家發來的客服聊天號碼;不要相信所謂的卡單、掉單、解凍資金等說法,這些都是網絡詐騙專用術語;網民應該給自己的網銀賬戶設置單日最高轉賬限額,并絕對不能將自己的賬戶授權給陌生人或陌生賬戶。銀行回應:已盡力增強認證措施
記者了解到,“超級網銀”是2009年央行研發的標準化跨銀行網上金融服務產品,可以用一個網銀賬戶,實現多張銀行卡的跨行查詢和轉賬。而將不同銀行的賬戶關聯到某個指定銀行賬戶的過程,就是“授權”操作。《金融投資報》記者從360安全中心的風險提示中發現,現有超級網銀詐騙案中,漏洞均是在“授權”操作環節。
就“超級網銀”授權的業務問題,記者走訪成都數家銀行網點。建行雙楠支行的大堂經理告訴《金融投資報》記者:“為了防范風險,建行已經通過驗證網銀盾等安全工具以及短信驗證碼等增強認證措施,在超級網銀授權前,網銀頁面會有風險提示,授權時也會通過短信驗證碼增強認證。”
不過,某股份制銀行個金部負責人表示:“由其他銀行發來的請求授權申請,在授權用戶的銀行看來應當屬于‘他行業務’,因此用戶一旦完成授權,用戶所在的銀行就不能擅自解除‘他行業務’,而只能由被授權一方來解除授權簽約,或者是雙方同時使用U盾才能解除簽約。”業內人士告訴記者,這也就意味著,用戶除非掛失或暫時凍結自己的賬戶,否則無法自保。記者調查:“超級網銀”均不完善
《金融投資報》記者將國內網銀使用率較高的工商銀行、建設銀行和招商銀行三家的“超級網銀”進行了對比,發現工商銀行的授權提示,容易被用戶忽略,但工行設置了單筆最高5千、單日最高5萬元的轉賬限額,也可以比較方便地解除授權;建設銀行相對風險最高,每日轉賬上限竟然達到500萬元,授權過程中也沒有提示用戶設置轉賬限額;而招行對于“超級網銀”授權后果提示得更充分一些,但是和建行一樣,都不方便解除授權。
相關新聞
更多>>