八成超級(jí)網(wǎng)銀被曝埋隱患 24秒10萬(wàn)資金被挪移

　　曾經(jīng)備受銀行推崇的超級(jí)網(wǎng)銀業(yè)務(wù)如今卻飽受猜測(cè)和指責(zé)。近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶被騙案件，一位客戶在24秒內(nèi)被騙子卷走10萬(wàn)元資金，許多超級(jí)網(wǎng)銀使用者惴惴不安。專家認(rèn)為，造成客戶資金被騙的重要原因在于超級(jí)網(wǎng)銀授權(quán)規(guī)則過(guò)于簡(jiǎn)單，容易滋生風(fēng)險(xiǎn)，而這一安全隱患在行業(yè)內(nèi)部普遍存在。根據(jù)金山毒霸安全中心對(duì)105家商業(yè)銀行超級(jí)網(wǎng)銀授權(quán)功能的驗(yàn)證，85家超級(jí)網(wǎng)銀授權(quán)風(fēng)險(xiǎn)較大，占比超八成。

　　事件回放

　　24秒10萬(wàn)資金被挪移

　　不久前，陳女士在某購(gòu)物網(wǎng)站選中了一款200元的服裝。商家表示，要先向廠家訂貨，之后再由陳女士來(lái)進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”。(注：代付操作是一種網(wǎng)購(gòu)服務(wù)，即甲購(gòu)買(mǎi)商品，但由乙來(lái)付款。上述“代付鏈接”就是店主買(mǎi)了東西生成的一個(gè)鏈接，交給陳女士后，由陳女士進(jìn)行支付。進(jìn)行代付操作，付款人只能查到資金支出記錄，但賬戶中不會(huì)生成交易記錄。)

　　陳女士在代付鏈接上進(jìn)行了支付，卻無(wú)法像往常一樣查到交易記錄，于是向店家咨詢。店家表示，“系統(tǒng)出現(xiàn)異常，您購(gòu)買(mǎi)的商品無(wú)法正常顯示出交易定單，請(qǐng)您現(xiàn)在抓緊時(shí)間聯(lián)系異常訂單處理中心客服簽約為您解凍”，并發(fā)給陳女士一個(gè)QQ號(hào)。

　　焦急的陳女士沒(méi)有多想，便與店家提供的客服QQ進(jìn)行了聯(lián)系?？头硎疽鈨鲋暗挠唵危枰M(jìn)行“簽約授權(quán)”操作，并在詢問(wèn)了陳女士使用的是哪家銀行后提供了一個(gè)鏈接。

　　陳女士點(diǎn)開(kāi)了上述鏈接，按照客服QQ的提示進(jìn)行了逐步操作，但隨后便立即發(fā)現(xiàn)自己網(wǎng)銀賬戶的資金有異常。據(jù)陳女士描述，她在發(fā)現(xiàn)第一筆轉(zhuǎn)賬行為后，便立即開(kāi)始撥打銀行的客服電話，希望能盡快凍結(jié)自己的銀行賬戶。但等到她撥通銀行客服時(shí)，賬戶中的資金余額僅剩40.38元。從銀行賬單記錄來(lái)看，兩筆金額各為5萬(wàn)元的轉(zhuǎn)賬操作時(shí)間間隔僅為24秒，而銀行客服電話轉(zhuǎn)人工通常都需要30秒至1分鐘時(shí)間，在這么短的時(shí)間里，陳女士采取的任何補(bǔ)救措施都是徒勞無(wú)功。

　　市場(chǎng)質(zhì)疑

　　超級(jí)網(wǎng)銀授權(quán)存不安全隱患

　　自去年開(kāi)始，各大銀行紛紛力推超級(jí)網(wǎng)銀業(yè)務(wù)。但就在一夜之間，超級(jí)網(wǎng)銀就從神壇跌至谷底。

　　所謂的“超級(jí)網(wǎng)銀”是央行第二代支付系統(tǒng)，其中最受關(guān)注的功能是能夠方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶。例如，張先生習(xí)慣使用招行網(wǎng)銀，平常多用招行網(wǎng)銀客戶端登錄。同時(shí)，張先生還持有交通銀行、廣發(fā)銀行、工商銀行等多家不同銀行的銀行卡，張先生先登錄招行網(wǎng)銀，將其他銀行卡授權(quán)給招行賬號(hào)登錄使用。通過(guò)超級(jí)網(wǎng)銀授權(quán)，張先生只需登錄招行一個(gè)客戶端，就能管理所有銀行卡資產(chǎn)。

　　這一功能也讓客戶資金風(fēng)險(xiǎn)大大提高。與之前的普通網(wǎng)銀相比，一旦超級(jí)網(wǎng)銀用戶賬號(hào)、密碼，甚至口令卡、U盾等安全信息被破解，那么用戶失去的將不僅僅是一家銀行的存款。

　　在本輪超級(jí)網(wǎng)銀安全風(fēng)波中，最核心的問(wèn)題在于授權(quán)規(guī)則。360互聯(lián)網(wǎng)安全中心認(rèn)為，超級(jí)網(wǎng)銀授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。其次，授權(quán)操作的過(guò)程比較簡(jiǎn)單，只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)，通過(guò)聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)。

　　另外，部分銀行沒(méi)有在授權(quán)界面中提醒用戶設(shè)置額度，獲得授權(quán)的賬戶可以無(wú)限制轉(zhuǎn)賬。在此過(guò)程中，并不需要授權(quán)賬戶進(jìn)行二次確認(rèn)，因此也無(wú)法阻止賬戶余額被轉(zhuǎn)走。個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜，甚至只允許被授權(quán)賬戶確認(rèn)解除。

　　機(jī)構(gòu)測(cè)評(píng)

　　85家銀行超級(jí)網(wǎng)銀授權(quán)存風(fēng)險(xiǎn)

　　目前國(guó)內(nèi)許多商業(yè)銀行都支持超級(jí)網(wǎng)銀功能，客戶難免心生疑問(wèn)，超級(jí)網(wǎng)銀授權(quán)風(fēng)險(xiǎn)究竟是不是行業(yè)內(nèi)普遍現(xiàn)象？究竟有沒(méi)有銀行能提供安全可靠的超級(jí)網(wǎng)銀功能？

　　據(jù)北京商報(bào)記者了解，金山毒霸安全中心對(duì)國(guó)內(nèi)105家商業(yè)銀行超級(jí)網(wǎng)銀簽約的安全性進(jìn)行了簡(jiǎn)單評(píng)估，評(píng)估指標(biāo)包括：超級(jí)網(wǎng)銀的簽約網(wǎng)址是否僅限本機(jī)操作；超級(jí)網(wǎng)銀的簽約網(wǎng)址是否限制訪問(wèn)次數(shù)；超級(jí)網(wǎng)銀的簽約網(wǎng)址是否有時(shí)效性限制；超級(jí)網(wǎng)銀的簽約網(wǎng)址是否允許復(fù)制。

　　金山毒霸安全中心認(rèn)為，以上四點(diǎn)，有三項(xiàng)安全措施的，被騙子惡意利用的可能性變得非常小，可視為“安全性高”。在105家銀行中符合這一標(biāo)準(zhǔn)的，僅廣東發(fā)展銀行和渤海銀行；只要有一項(xiàng)限制，有機(jī)會(huì)阻止詐騙案發(fā)生的，為“安全性中等”，包括民生銀行、北京銀行、廣州銀行、東莞銀行、青大銀行、寧波銀行、浙商銀行、德陽(yáng)銀行8家商業(yè)銀行。任何一條限制都沒(méi)有的，容易被詐騙分子利用的，視為“安全性低”，共有85家商業(yè)銀行，中、工、農(nóng)、建、交、招商、光大、興業(yè)、浦發(fā)、中信、華夏等銀行均屬此列。另外幾家商業(yè)銀行的超級(jí)網(wǎng)銀簽約網(wǎng)址無(wú)法打開(kāi)，騙子自然也無(wú)法訪問(wèn)。

　　根據(jù)北京商報(bào)記者實(shí)際操作，在簽約超級(jí)網(wǎng)銀時(shí)，銀行不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，沒(méi)有親屬和血緣關(guān)系的雙方也都可以簽約超級(jí)網(wǎng)銀。但是簽約時(shí)必須需要雙方的網(wǎng)銀U盾和支付密碼。一旦超級(jí)網(wǎng)銀授權(quán)完成后，資金轉(zhuǎn)出無(wú)需再經(jīng)本人同意確認(rèn)。

　　專家聲音

　　安全防范意識(shí)亟待提高

　　隨著網(wǎng)上支付規(guī)模的快速增長(zhǎng)，黑客攻擊也開(kāi)始抬頭，安全防范關(guān)鍵在于用戶提高安全意識(shí)。

　　專家建議，在線購(gòu)物時(shí)，如果對(duì)方要求單獨(dú)加QQ聊天發(fā)送鏈接，要求遠(yuǎn)程控制客戶電腦操作的， 100%是騙子無(wú)疑。一旦網(wǎng)絡(luò)交易出現(xiàn)異常，應(yīng)當(dāng)首先通過(guò)官方渠道聯(lián)系客服，而不要輕信店家發(fā)來(lái)的客服聊天號(hào)碼；不要相信所謂的卡單、掉單、解凍資金等說(shuō)法，這些都是網(wǎng)絡(luò)詐騙專用術(shù)語(yǔ)；絕對(duì)不能將自己的賬戶授權(quán)給陌生人。

　　另外，目前央行規(guī)定超級(jí)網(wǎng)銀的轉(zhuǎn)賬限額單筆5萬(wàn)元，每日限額則由各家銀行自行決定。例如，工行規(guī)定日累計(jì)不超5000元(今年2月1日以前辦理超級(jí)網(wǎng)易客戶不超50萬(wàn)元)；中行日累計(jì)不超20萬(wàn)元；交行日累計(jì)不超100萬(wàn)元；農(nóng)行為日累計(jì)不超過(guò)5萬(wàn)元。普通客戶應(yīng)當(dāng)在網(wǎng)銀賬戶設(shè)置單日最高轉(zhuǎn)賬限額，避免資金嚴(yán)重受損。

　　360公司董事長(zhǎng)周鴻祎指出，在設(shè)計(jì)理念上，網(wǎng)絡(luò)金融產(chǎn)品不能一味追求交易的方便快捷，應(yīng)該把用戶的資金安全放在第一位。用戶使用超級(jí)網(wǎng)銀時(shí)，銀行應(yīng)該用通俗易懂的語(yǔ)言，給用戶非常強(qiáng)烈的安全風(fēng)險(xiǎn)提示，甚至提供超級(jí)網(wǎng)銀詐騙案例供用戶參考，防止更多用戶上當(dāng)。

　　北京郵電大學(xué)信息經(jīng)濟(jì)與競(jìng)爭(zhēng)力研究中心主任曾劍秋建議，目前國(guó)內(nèi)銀行的發(fā)展，不應(yīng)該被幾家銀行所壟斷，這是不符合市場(chǎng)規(guī)律的。與此同時(shí)，必須要讓第三方機(jī)構(gòu)參與進(jìn)來(lái)，共同面對(duì)存在的危機(jī)和挑戰(zhàn)。