近日,業内發生(shēng)兩起重大(dà)盜竊新聞。
其一(yī)、微軟Xbox Live被黑客入侵,48萬用戶信息或遭洩露。
其二、360互聯網安全中(zhōng)心發布重大(dà)安全警報稱,“超級網銀”跨行賬戶管理功能已成爲黑客惡意利用的目标。
前者是天災,黑客來襲,别說是微軟,就是蘋果也無能爲力。而後者卻是“人禍”。雞鳴狗盜,人間禍患。
根據媒體(tǐ)報道,近期全國連續出現多起各大(dà)銀行客戶被騙案例,安徽省陳女士(化名)反饋,她在網購衣服時,被騙子誘導進行了“超級網銀”授權支付操作,短短24秒内,銀行賬戶中(zhōng)10萬元就被洗劫一(yī)空。
其實,網銀是一(yī)把雙刃劍,利用互聯網給人們提供便利的同時,也給力騙子可乘之機。爲此,銀聯和電(diàn)信運營商(shāng)爲了支付問題,争争吵吵好幾年,最終産生(shēng)了第三方支付牌照,才算告一(yī)段落。
以安全自我(wǒ)标榜的網銀,支付程序比第三方支付繁瑣10倍都不止,甚至還搞出了U盾、收費(fèi)短信提醒等,該折騰的手段都使用上了,但是,并沒有因爲這樣,網銀失竊事件就會減少。相對來說,第三方支付到顯得安全一(yī)些。
這次出事的是超級網銀。何謂“超級網銀”?“超級網銀”,是2009年央行最新研發的标準化跨銀行網上金融服務産品。通過構建“一(yī)點接入、多點對接”的系統架構,實現企業“一(yī)站式”網上跨銀行财務管理。“超級網銀”的央行第二代支付系統于2010年8月30日正式上線,将開(kāi)通實時跨行轉賬以及跨行賬戶查詢等功能。14家銀行接受了央行的驗收,第三方支付企業并未參與。
超級網銀的牛X之處是“一(yī)站式服務,多點對接”。用戶随意轉賬,比營業廳要便捷。在銀行看來這是優點,卻給騙子打開(kāi)了便利之門。爲何呢?爲此,我(wǒ)專門請教了360安全工(gōng)程師萬仁國。他有幾個觀點,我(wǒ)非常認可。
第一(yī)、“超級網銀”授權并不會對雙方身份和關系進行驗證,也就是說,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。而那個天文“授權書(shū)”用戶根本看不懂,也沒有人會去(qù)看。在營業廳的協議,也沒有幾個人看,這樣就造成了随意授權。
第二、授權操作的過程比較簡單,隻需将授權頁面的鏈接複制下(xià)來,通過聊天軟件發送給他人“簽約”,就可以在不同電(diàn)腦上實現授權。對于普通用戶來說,有些銀行的授權頁面提示信息也過于晦澀,有可能忽視其中(zhōng)的安全隐患。如今,就連京東、淘寶這樣的電(diàn)商(shāng),也知(zhī)道通過手機短信加密賬号,而超級網銀卻将其忽視了。
第三、部分(fēn)銀行沒有在授權界面中(zhōng)提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬。在此過程中(zhōng),并不需要授權賬戶進行二次确認,因此也無法阻止賬戶餘額被轉走。把雞蛋放(fàng)在同樣一(yī)個籃子裏,也不做特殊安全防範,不被盜才怪。
如果将安全外(wài)包給互聯網第三方支付公司或者安全公司來做,安全程度要比網銀高得多。
在營業廳(實體(tǐ)店(diàn))小(xiǎo)心翼翼,用戶丢失身份證持戶口本也别想把丢失的卡補辦回來,他認爲存在不安全因素。然而,到了互聯網上卻如此打開(kāi)門戶,這不是拿用戶的錢在賭博嗎(ma)?
說到底,正是由于銀行等金融系統缺乏互聯網的基因,缺乏對互聯網足夠了解,才導緻了不安全隐患的發生(shēng)。
