超级网银,为什么超级不安全?

昨天的两起重大盗窃新闻:微软Xbox Live被黑客入侵;360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已成黑客恶意利用目标。前者是天灾,后者是人祸,四个方面看超级网银为何不安全?

 

昨天,发生两起重大盗窃新闻。

其一、微软Xbox Live被黑客入侵,48万用户信息或遭泄露。

其二、360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已成为黑客恶意利用的目标。

前者是天灾,黑客来袭,别说是微软,就是苹果也无能为力。而后者却是“人祸”。鸡鸣狗盗,人间祸患。

根据媒体报道,近期全国连续出现多起各大银行客户被骗案例,安徽省陈女士(化名)反馈,她在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。

其实,网银是一把“双刃剑”,利用互联网给人们提供便利的同时,也给力骗子可乘之机。为此,银联和电信运营商为了支付问题,争争吵吵好几年,最终产生了数百张第三方支付牌照,才算告一段落。

以“安全”自我标榜的网银,支付程序比第三方支付繁琐10倍都不止,甚至还搞出了U盾、收费短信提醒等,该折腾的手段都使用上了,但是,并没有因为这样,网银失窃事件就会减少。相对来说,第三方支付到显得安全一些。

这次出事的是超级网银。何谓“超级网银”?“超级网银”,是2009年央行最新研发的标准化跨银行网上金融服务产品。通过构建“一点接入、多点对接”的系统架构,实现企业“一站式”网上跨银行财务管理。“超级网银”的央行第二代支付系统于2010年8月30日正式上线,将开通实时跨行转账以及跨行账户查询等功能。14家银行接受了央行的验收,第三方支付企业并未参与。

超级网银的牛X之处是“一站式服务,多点对接”。用户随意转账,比营业厅要便捷。在银行看来这是优点,却给骗子打开了便利之门。为何呢?为此,我专门请教了360安全工程师万仁国。他有几个观点,我非常认可。

第一、“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。而那个天文“授权书”用户根本看不懂,也没有人会去看。在营业厅的协议,也没有几个人看,这样就造成了随意授权。

第二、授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息也过于晦涩,有可能忽视其中的安全隐患。如今,就连京东、淘宝这样的电商,也知道通过手机短信加密账号,而超级网银却将其忽视了。

第三、部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。把鸡蛋放在同样一个篮子里,也不做特殊安全防范,不被盗才怪。

第四、如果将安全外包给互联网第三方支付公司或者安全公司来做,安全程度要比网银高得多。

银行在营业厅(实体店)小心翼翼,用户丢失身份证持户口本也别想把丢失的卡补办回来,认为存在不安全因素。然而,到了互联网上却如此大开门户,这不是拿用户的钱在赌博吗?说到底,正是由于银行等金融系统缺乏互联网的基因,缺乏对互联网足够了解,才导致了不安全隐患的发生。(钛媒体作者毛启盈的微信公众账号:maoqiying2008)

本文系作者 毛启盈 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本内容来源于钛媒体钛度号,文章内容仅供参考、交流、学习,不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
  • 。。。

    回复 2013.05.29 · via pc
  • 这么可怕,以后怎么使用网银啊(惊讶)

    回复 2013.05.29 · via pc
113
2
102

扫描下载App