八成超級網銀被曝埋隱患 24秒10萬資金被挪移

　　曾經備受銀行推崇的超級網銀業(yè)務如今卻飽受猜測和指責。近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案件，一位客戶在24秒內被騙子卷走10萬元資金，許多超級網銀使用者惴惴不安。專家認為，造成客戶資金被騙的重要原因在于超級網銀授權規(guī)則過于簡單，容易滋生風險，而這一安全隱患在行業(yè)內部普遍存在。根據(jù)金山毒霸安全中心對105家商業(yè)銀行超級網銀授權功能的驗證，85家超級網銀授權風險較大，占比超八成。

　　事件回放

　　24秒10萬資金被挪移

　　不久前，陳女士在某購物網站選中了一款200元的服裝。商家表示，要先向廠家訂貨，之后再由陳女士來進行支付，并向陳女士提供了一個“代付鏈接”。(注：代付操作是一種網購服務，即甲購買商品，但由乙來付款。上述“代付鏈接”就是店主買了東西生成的一個鏈接，交給陳女士后，由陳女士進行支付。進行代付操作，付款人只能查到資金支出記錄，但賬戶中不會生成交易記錄。)

　　陳女士在代付鏈接上進行了支付，卻無法像往常一樣查到交易記錄，于是向店家咨詢。店家表示，“系統(tǒng)出現(xiàn)異常，您購買的商品無法正常顯示出交易定單，請您現(xiàn)在抓緊時間聯(lián)系異常訂單處理中心客服簽約為您解凍”，并發(fā)給陳女士一個QQ號。

　　焦急的陳女士沒有多想，便與店家提供的客服QQ進行了聯(lián)系?？头硎疽鈨鲋暗挠唵?，需要進行“簽約授權”操作，并在詢問了陳女士使用的是哪家銀行后提供了一個鏈接。

　　陳女士點開了上述鏈接，按照客服QQ的提示進行了逐步操作，但隨后便立即發(fā)現(xiàn)自己網銀賬戶的資金有異常。據(jù)陳女士描述，她在發(fā)現(xiàn)第一筆轉賬行為后，便立即開始撥打銀行的客服電話，希望能盡快凍結自己的銀行賬戶。但等到她撥通銀行客服時，賬戶中的資金余額僅剩40.38元。從銀行賬單記錄來看，兩筆金額各為5萬元的轉賬操作時間間隔僅為24秒，而銀行客服電話轉人工通常都需要30秒至1分鐘時間，在這么短的時間里，陳女士采取的任何補救措施都是徒勞無功。

　　市場質疑

　　超級網銀授權存不安全隱患

　　自去年開始，各大銀行紛紛力推超級網銀業(yè)務。但就在一夜之間，超級網銀就從神壇跌至谷底。

　　所謂的“超級網銀”是央行第二代支付系統(tǒng)，其中最受關注的功能是能夠方便用戶實時跨行管理不同的銀行賬戶。例如，張先生習慣使用招行網銀，平常多用招行網銀客戶端登錄。同時，張先生還持有交通銀行、廣發(fā)銀行、工商銀行等多家不同銀行的銀行卡，張先生先登錄招行網銀，將其他銀行卡授權給招行賬號登錄使用。通過超級網銀授權，張先生只需登錄招行一個客戶端，就能管理所有銀行卡資產。

　　這一功能也讓客戶資金風險大大提高。與之前的普通網銀相比，一旦超級網銀用戶賬號、密碼，甚至口令卡、U盾等安全信息被破解，那么用戶失去的將不僅僅是一家銀行的存款。

　　在本輪超級網銀安全風波中，最核心的問題在于授權規(guī)則。360互聯(lián)網安全中心認為，超級網銀授權并不會對雙方身份和關系進行驗證，網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。其次，授權操作的過程比較簡單，只需將授權頁面的鏈接復制下來，通過聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實現(xiàn)授權。

　　另外，部分銀行沒有在授權界面中提醒用戶設置額度，獲得授權的賬戶可以無限制轉賬。在此過程中，并不需要授權賬戶進行二次確認，因此也無法阻止賬戶余額被轉走。個別銀行解除授權的操作比授權更復雜，甚至只允許被授權賬戶確認解除。

　　機構測評

　　85家銀行超級網銀授權存風險

　　目前國內許多商業(yè)銀行都支持超級網銀功能，客戶難免心生疑問，超級網銀授權風險究竟是不是行業(yè)內普遍現(xiàn)象？究竟有沒有銀行能提供安全可靠的超級網銀功能？

　　據(jù)北京商報記者了解，金山毒霸安全中心對國內105家商業(yè)銀行超級網銀簽約的安全性進行了簡單評估，評估指標包括：超級網銀的簽約網址是否僅限本機操作；超級網銀的簽約網址是否限制訪問次數(shù)；超級網銀的簽約網址是否有時效性限制；超級網銀的簽約網址是否允許復制。

　　金山毒霸安全中心認為，以上四點，有三項安全措施的，被騙子惡意利用的可能性變得非常小，可視為“安全性高”。在105家銀行中符合這一標準的，僅廣東發(fā)展銀行和渤海銀行；只要有一項限制，有機會阻止詐騙案發(fā)生的，為“安全性中等”，包括民生銀行、北京銀行、廣州銀行、東莞銀行、青大銀行、寧波銀行、浙商銀行、德陽銀行8家商業(yè)銀行。任何一條限制都沒有的，容易被詐騙分子利用的，視為“安全性低”，共有85家商業(yè)銀行，中、工、農、建、交、招商、光大、興業(yè)、浦發(fā)、中信、華夏等銀行均屬此列。另外幾家商業(yè)銀行的超級網銀簽約網址無法打開，騙子自然也無法訪問。

　　根據(jù)北京商報記者實際操作，在簽約超級網銀時，銀行不會對雙方身份和關系進行驗證，沒有親屬和血緣關系的雙方也都可以簽約超級網銀。但是簽約時必須需要雙方的網銀U盾和支付密碼。一旦超級網銀授權完成后，資金轉出無需再經本人同意確認。

　　專家聲音

　　安全防范意識亟待提高

　　隨著網上支付規(guī)模的快速增長，黑客攻擊也開始抬頭，安全防范關鍵在于用戶提高安全意識。

　　專家建議，在線購物時，如果對方要求單獨加QQ聊天發(fā)送鏈接，要求遠程控制客戶電腦操作的， 100%是騙子無疑。一旦網絡交易出現(xiàn)異常，應當首先通過官方渠道聯(lián)系客服，而不要輕信店家發(fā)來的客服聊天號碼；不要相信所謂的卡單、掉單、解凍資金等說法，這些都是網絡詐騙專用術語；絕對不能將自己的賬戶授權給陌生人。

　　另外，目前央行規(guī)定超級網銀的轉賬限額單筆5萬元，每日限額則由各家銀行自行決定。例如，工行規(guī)定日累計不超5000元(今年2月1日以前辦理超級網易客戶不超50萬元)；中行日累計不超20萬元；交行日累計不超100萬元；農行為日累計不超過5萬元。普通客戶應當在網銀賬戶設置單日最高轉賬限額，避免資金嚴重受損。

　　360公司董事長周鴻祎指出，在設計理念上，網絡金融產品不能一味追求交易的方便快捷，應該把用戶的資金安全放在第一位。用戶使用超級網銀時，銀行應該用通俗易懂的語言，給用戶非常強烈的安全風險提示，甚至提供超級網銀詐騙案例供用戶參考，防止更多用戶上當。

　　北京郵電大學信息經濟與競爭力研究中心主任曾劍秋建議，目前國內銀行的發(fā)展，不應該被幾家銀行所壟斷，這是不符合市場規(guī)律的。與此同時，必須要讓第三方機構參與進來，共同面對存在的危機和挑戰(zhàn)。