24秒被盗10万元 “超级网银”安全面临大考
中国IDC圈6月13日报道:近日,媒体曝出某“超级网银”用户在24秒内被盗10万元,引发轩然大波。专家指出,“超级网银”独有的跨行管理银行账户功能,极大地便利了企业和个人用户资金归集、管理的需求。而面对“超级网银”时代的更多挑战和层出不穷的安全问题,银行的风险提示和安全防护能力仍有待加强,用户的风险防范意识也亟须进一步提高。
切中市场需求 “超级网银”快速兴起
“‘超级网银’真的很有用。”天津某事业单位的小何告诉记者,自己每个月都会把中行工资卡里的钱转到常用的招行卡里,自从用“超级网银”把两张银行卡关联了,只要在招行的网银界面就可以把中行卡里的钱转过来,过程很简单,而且没有任何手续费。
事实上,和小何一样使用“超级网银”的人正越来越多。所谓“超级网银”,即央行第二代支付系统,其最被关注的功能便是能通过网银跨行管理其他的银行账户。
招商银行天津市迎水道支行大堂助理谷博涵告诉记者:“使用‘超级网银’,首先需要在网银界面上对多个银行卡账号进行关联,关联后,即可登录‘发起行’的网银,管理其他网银账户。这些银行卡不需要是同一个人的,只要同时使用U盾认证即可。”
“很多人都有很多银行卡。以往各个银行网银相互独立,查询、归集资金很麻烦也很昂贵。使用‘超级网银’,只需要登录一个网银就可以管理全部关联银行账户,极大地方便了人们的生活。”中央财经大学民生经济研究中心主任李永壮认为,“超级网银”同样满足了企业运行中母公司、子公司之间资金上划下拨以及家庭成员之间资金管理的需要,准确地切中了市场的需求。
方便了用户的同时,“超级网银”也“方便”了银行——中国人民大学财政金融学院副院长赵锡军认为,各银行大力推广“超级网银”同样包含着从其他银行“争夺存款”的目的。由于各银行网银功能类似、替代性强,一旦客户以某银行为“发起行”,其他银行账户的资金自然被“归集”到这家银行,成为该银行的存款。而在市场竞争中,许多中小银行也的确“归集”到了很多大银行的存款。
24秒被盗10万元 “超级网银”遭质疑
近日,“超级网银”的安全问题频频出现,使其深陷质疑漩涡。某用户前不久使用网银支付货款,因为出现“支付故障”,按照客服的说法,签了一份对方发来的签约授权协议,将自己的账号关联了对方账户。短短24秒内,网银内的10万元被对方悉数盗取。
360互联网安全中心认为,与“超级网银”有关的诈骗案例日渐增多,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,由于“超级网银”并不对双方关系进行认证,骗子可轻易将受害者的资金盗取。金山毒霸安全中心在对国内105家商业银行超级网银签约的安全性进行简单评估后亦认为,从“超级网银”的授权过程来看,包括中、农、工、建在内的绝大多数商业银行的“超级网银”并不安全。
在业内人士看来,“超级网银”的安全漏洞主要体现在以下几个方面:首先,授权过程较为简单——用户只需输入账号、密码,使用U盾等完成动态认证并登录网银;其次,关联账户转账过程中既不需要输入密码,也没有手机短信等信息提醒,一旦发生诈骗事件,用户无从得知,且部分银行关联关系的解除过程较为繁琐;第三,银行对“超级网银”存在的风险,并未做到足够的提示。
对于以上问题,经过记者实测,确实不同程度地存在。
“超级网银”如何度过“安全高考”?
天津万华律师事务所律师李琳认为,出现24秒被盗10万元等诈骗案例,恰恰说明许多用户对“超级网银”的功能并不了解,这也一定程度上表明涉案银行对“超级网银”的风险提示并不到位。李琳认为,对于客户资金被盗取的案件,涉案银行同样需要承担一定的责任。
李永壮认为,银行卡关联的过程中,需要双方同时进行U盾的动态认证,一般可以认为双方是知情的、自愿的。但技术层面的安全并不代表现实操作层面的安全。李永壮建议,应在关联过程中进行更充分的风险提示,对关联双方的关系有所限制,在转账过程中增加输入密码、短信确认等程序,简化解除关联的流程,使犯罪分子得手的可能性降到最低。
赵锡军指出,确保“超级网银”的安全性,不仅需要银行增强风险提示,加强防护能力,也需要用户增强甄别能力,提升“金融素质”。
建设银行工作人员提醒,“超级网银”在为客户带来便捷的同时,也在改变用户的使用习惯。以往很多用户认为只要银行卡在自己身上,钱就在自己身上,而在“超级网银”时代,一些使用习惯可能发生了变化。这需要用户对“超级网银”进一步增进了解。
中信银行工作人员则表示,用户在办理“超级网银”业务前,一定要认真阅读相关协议,慎重选择相关服务。不要轻信网络上的“付款链接”,更不要把自己的银行账户和陌生人关联。