近日,业内发生两起重大盗窃新闻。
其一、微软Xbox Live被黑客入侵,48万用户信息或遭泄露。
其二、360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已成为黑客恶意利用的目标。
前者是天灾,黑客来袭,别说是微软,就是苹果也无能为力。而后者却是“人祸”。鸡鸣狗盗,人间祸患。
根据媒体报道,近期全国连续出现多起各大银行客户被骗案例,安徽省陈女士(化名)反馈,她在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。
其实,网银是一把双刃剑,利用互联网给人们提供便利的同时,也给力骗子可乘之机。为此,银联和电信运营商为了支付问题,争争吵吵好几年,最终产生了第三方支付牌照,才算告一段落。
以安全自我标榜的网银,支付程序比第三方支付繁琐10倍都不止,甚至还搞出了U盾、收费短信提醒等,该折腾的手段都使用上了,但是,并没有因为这样,网银失窃事件就会减少。相对来说,第三方支付到显得安全一些。
这次出事的是超级网银。何谓“超级网银”?“超级网银”,是2009年央行最新研发的标准化跨银行网上金融服务产品。通过构建“一点接入、多点对接”的系统架构,实现企业“一站式”网上跨银行财务管理。“超级网银”的央行第二代支付系统于2010年8月30日正式上线,将开通实时跨行转账以及跨行账户查询等功能。14家银行接受了央行的验收,第三方支付企业并未参与。
超级网银的牛X之处是“一站式服务,多点对接”。用户随意转账,比营业厅要便捷。在银行看来这是优点,却给骗子打开了便利之门。为何呢?为此,我专门请教了360安全工程师万仁国。他有几个观点,我非常认可。
第一、“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。而那个天文“授权书”用户根本看不懂,也没有人会去看。在营业厅的协议,也没有几个人看,这样就造成了随意授权。
第二、授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息也过于晦涩,有可能忽视其中的安全隐患。如今,就连京东、淘宝这样的电商,也知道通过手机短信加密账号,而超级网银却将其忽视了。
第三、部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。把鸡蛋放在同样一个篮子里,也不做特殊安全防范,不被盗才怪。
如果将安全外包给互联网第三方支付公司或者安全公司来做,安全程度要比网银高得多。
在营业厅(实体店)小心翼翼,用户丢失身份证持户口本也别想把丢失的卡补办回来,他认为存在不安全因素。然而,到了互联网上却如此打开门户,这不是拿用户的钱在赌博吗?
说到底,正是由于银行等金融系统缺乏互联网的基因,缺乏对互联网足够了解,才导致了不安全隐患的发生。
