首页
社区
课程
招聘
超级网银授权操作存四大漏洞 或非技术问题
发表于: 2013-6-9 19:07 2070

超级网银授权操作存四大漏洞 或非技术问题

2013-6-9 19:07
2070
新闻链接:http://bank.hexun.com/2013-06-08/154994164.html
新闻时间:2013年06月08日
新闻正文:
  曾经备受推崇的“超级网银”正陷入了舆论的质疑旋涡中。近期全国连续出现多起各大银行的“超级网银”客户被骗案件。而继360互联网安全中心发布报告指“超级网银”已成为黑客恶意利用的目标后,金山毒霸也公开表示“超级网银”的“授权风险较大”。
  专家认为,造成客户资金被骗的重要原因在于“超级网银”的签约授权支付存在安全风险,以及网民缺乏对“超级网银”的了解。
  据《中国经营报(博客,微博)》记者获悉,近日央行相关部门就超级网银出现的安全问题紧急组织情况了解会,参会的包括几家银行及软件商。
  “超级网银”新骗术
  “超级网银”的转账支付功能正成为网络骗钱的新工具。那么,究竟“超级网银”行骗术是怎样实施的?我们来看一个“24秒内被骗子卷走10万元资金”的案例:
  陈女士在某购物网站看中一款服装,店主表示需要先向厂家订货,再由陈女士支付,所以向陈女士提供了一个“代付链接”。陈女士在代付链接上进行了支付,却无法如往常一样查到交易记录。店家表示:“由于系统异常,购买的商品无法正常显示出交易订单,请抓紧时间联系异常订单处理中心客服签约解冻”,并发给陈女士一个客服QQ号。陈女士与这个“异常订单处理中心”的客服QQ联系,得到的回复是:要解冻之前的订单,需要进行“签约授权”操作,并询问陈女士使用哪家银行,提供了一个链接。陈女士点开链接,按照客服QQ的提示进行了操作,但随后立即发现自己的网银账户资金异常。在之后约5分钟时间内,陈女士账户中分6次共被转走了10多万元,账户中的资金余额仅剩40.38元。
  更要命的是,陈女士在发现第一笔转账行为后,便立即拨打银行的客服电话,希望冻结自己的银行账户。但等到她拨通银行客服时,账户资金已几乎全部被转走。从银行账单记录来看,前两笔金额各为5万元的转账,时间间隔仅为24秒,在这么短的时间内,陈女士来不及采取任何补救措施。
  陈女士并不是唯一受骗上当的人,还有多位网购人士都遭遇到了“超级网银”的骗术,情况大同小异。
  “超级网银”,是央行打造的标准化跨银行网上金融服务产品,可以实现各大银行网银的互联互通,方便用户跨行管理账户。那么,方便快捷的“超级网银”怎么就会成为网上诈骗的工具了呢?
  事实上,记者在采访中,不少网络安全工程师提醒记者,此骗术或为一种有组织的新骗术。与传统的钓鱼网站或木马程序来盗取购物者的银行卡账号和密码欺诈案例不同,“超级网银”的案例中,骗子虽然也是通过QQ发送钓鱼链接欺骗受害者,但受害者的主要损失并不是因为在虚假的购物网站上进行购物,而是因为他们在“交易失败”后向店家进行申诉时,被骗子的客服QQ诱骗进入了一个称为“授权××银行账户支付协议签约”的页面,当受害者按照骗子客服的指示完成操作后,实际上就已经授权了骗子使用另外一个网银账户对自己的网银进行转账或支付操作。在完成授权后,受害者网银账户中的资金就会被大量转出。
  漏洞或非技术问题
  360网络工程师万仁国告诉记者,造成客户资金被骗的重要原因在于“超级网银”的签约授权支付存在安全风险,容易被不法分子利用,以此实施诈骗。
  这一安全隐患或在行业内部普遍存在。根据金山毒霸安全中心对105家商业银行超级网银授权功能的验证,85家超级网银授权风险较大,占比超八成。
  金山毒霸安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估,评估以下4个指标:超级网银的签约网址是否仅限本机操作、是否限制访问次数、是否有时效性限制、是否允许复制。
  金山毒霸安全中心在报告中认为,以上4个指标中能做到3个的,被骗子恶意利用的可能性变得非常小,可视为安全性高。符合这一标准的,仅广发银行和渤海银行;只要有一项限制,有机会阻止诈骗案发生的,为安全性中,包括民生银行(600016,股吧)、北京银行(601169,股吧)、广州银行在内有8家商业银行。任何一条限制都没有的,容易被诈骗分子利用的,视为安全性低,共有85家商业银行。
  不过,360网络安全中心认为,“超级网银”存在的漏洞并不是技术的问题,而与银行的“超级网银”的理念有关。360董事长周鸿祎公开建议:在设计理念上,网络金融产品应该把保证用户的资金安全放在第一位,而不是一味追求交易的方便、快捷。用户使用“超级网银”的时候,银行应该用通俗易懂的语言,给用户非常强烈的安全风险提示,甚至提供超级网银诈骗案例,供用户参考,防止更多用户上当。
  在记者的采访中,普遍的观点是,银行方面应完善交易操作规则,对于高风险的操作进行更加严格的审核至关重要。“如果"超级网银"能够加入更高强度的风险控制措施,包括限制同一台电脑主机操作授权,甚至"超级网银"业务需要授权双方到银行柜台办理开通,就可以最大程度避免不法分子利用该业务实施网络诈骗。”万仁国说。
  而在“超级网银”案件中,各家银行被普遍诟病的还有其复杂、枯燥、“格式化”的风险提示,使受害者在特定环境下没有详细阅读相关规则,轻信骗子。“国内大部分网民缺乏安全常识,也根本不了解"超级网银"业务,才会给骗子可乘之机。从受骗者反馈来看,他们在受骗之前,完全没有意识到自己的网银账户有可能被他人任意转账。”万仁国说。
  针对“超级网银”的问题,广发银行网络金融安全专家对本报记者表示,该行将坚持不懈地开展网上银行安全宣教,提高客户的风险防范意识和能力,避免客户被不法分子蒙蔽而遭致被骗。并建议广大客户在使用任何互联网金融服务时,要坚持通过银行或正规购物网站等机构的官方网站或官方客户端办理,切勿轻信他人发送的不明网络链接,防止落入骗子圈套。如果万一发生意外受骗、被盗,应立即办理挂失。
  延伸阅读
  “超级网银”授权操作存四大漏洞
  “超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。
  授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息过于晦涩,有可能忽视其中的安全隐患。
  部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。
  个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
  资料来源:360互联网安全中心

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//