-
-
超级网银被指存在漏洞 安全性受质疑
-
发表于: 2013-6-23 20:12 1906
-
新闻链接:http://security.chinaitlab.com/aqzx/930637.html
新闻时间:2013-6-22 9:14:24
新闻正文:
日前,被称为“超级网银”的央行第二代支付系统卷入了安全风波。国内两大知名网络安全公司先后发布警报,称其在授权操作时存在系统风险,网银用户可以授权任何人对自己的账户进行查询和转账。对此记者采访多家银行电子银行部人士均得到否定答案,专业人士表示,超级网银授权需持两家银行U盾,任何人都可操作的可行性小。
■事件
超级网银被指存在漏洞
根据某网络安全公司提供的一起案例,安徽省陈女士在网购衣服时,就被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,其银行账户中10万元就被洗劫一空。
对此,该网络安全公司认为,“超级网银服务的风险主要在于客户授权环节。多数超级网银的授权并不需要验证双方的身份和关系。陈女士输入自己的账号、密码之后,即授权他人可以从自己的账户里进行跨行转账。”并指出超级网银的四个漏洞:对双方身份和关系无需验证、操作过于简单、没有转账额度限制、个别银行解除授权操作复杂。
对于超级网银被指安全漏洞,各大银行纷纷出面否认。建行相关负责人即表示,为了防范风险,建行已经通过验证网银盾等安全工具以及短信验证码等增强认证措施,在超级网银授权前会有风险提示,授权时也会通过短信验证码增强认证。
■观点
使用网银需谨防受骗
有网络安全机构认为,在本轮超级网银安全风波中,最核心的问题在于授权规则。超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息过于晦涩,有可能忽视其中的安全隐患。
专家表示,普通的转账每次都需要授权,而“超级网银”一旦授权就可连续操作。
但有业内人士认为,目前被曝出资金被盗的案例根本的原因在于用户不了解超级网银授权的基本原理,被骗子诱骗泄露个人身份信息,并非超级网银本身有什么技术漏洞。这相当于把家里的钥匙给了误以为是朋友的小偷,跟网友上钓鱼网站的道理一样。当然,超级网银在客户咨询指导、额度限定、单方解约等方面也需要进一步完善服务。
■调查
超级网银转账有限额
为了了解超级网银是否存在相关漏洞,记者日前体验了超级网银。通过超级网银的确可以将不同银行的账户关联到某个指定银行账户,该指定账户就可以对关联账户进行查询和转账操作。
记者在签约超级网银时发现,银行确实未对双方身份和关系进行验证,没有要求一定要是亲属,只要双方出示网银UKEY和支付密码,都可以签约超级网银。一旦超级网银授权完成后,资金转出也确实无需再经本人同意确认。
此外,针对报告中所指“部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账”,记者通过咨询发现,目前央行规定超级网银的转账限额单笔5万元,每日限额则由各家银行自行决定,基本上各银行都有自己的规定。
目前,工行是日累计不超5000元(今年2月1日以前办理超级网银客户不超50万元);中行是日累计不超20万元;交行日累计不超100万元;农行为日累计不超过5万元。
■小贴士
银行支招安全秘籍
(1)开通短信服务。网上银行提供了从登录、查询、交易、直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
(2)授权他人查询本人账户和授权他人支付本人资金属高风险交易行为,请务必小心谨慎,严防诈骗,并定期关注账户资金变动情况。
(3)不要通过电子邮件以及qq、msn、旺旺等即时通信工具对话信息中的网址登录银行或者淘宝等商户网站,同时,也不要随意接收和打开卖家传送的文件。
(4)当发现账户存在欺诈风险时,及时拨打银行热线电话对账户进行挂失等手段保障账户资金安全。
新闻时间:2013-6-22 9:14:24
新闻正文:
日前,被称为“超级网银”的央行第二代支付系统卷入了安全风波。国内两大知名网络安全公司先后发布警报,称其在授权操作时存在系统风险,网银用户可以授权任何人对自己的账户进行查询和转账。对此记者采访多家银行电子银行部人士均得到否定答案,专业人士表示,超级网银授权需持两家银行U盾,任何人都可操作的可行性小。
■事件
超级网银被指存在漏洞
根据某网络安全公司提供的一起案例,安徽省陈女士在网购衣服时,就被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,其银行账户中10万元就被洗劫一空。
对此,该网络安全公司认为,“超级网银服务的风险主要在于客户授权环节。多数超级网银的授权并不需要验证双方的身份和关系。陈女士输入自己的账号、密码之后,即授权他人可以从自己的账户里进行跨行转账。”并指出超级网银的四个漏洞:对双方身份和关系无需验证、操作过于简单、没有转账额度限制、个别银行解除授权操作复杂。
对于超级网银被指安全漏洞,各大银行纷纷出面否认。建行相关负责人即表示,为了防范风险,建行已经通过验证网银盾等安全工具以及短信验证码等增强认证措施,在超级网银授权前会有风险提示,授权时也会通过短信验证码增强认证。
■观点
使用网银需谨防受骗
有网络安全机构认为,在本轮超级网银安全风波中,最核心的问题在于授权规则。超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息过于晦涩,有可能忽视其中的安全隐患。
专家表示,普通的转账每次都需要授权,而“超级网银”一旦授权就可连续操作。
但有业内人士认为,目前被曝出资金被盗的案例根本的原因在于用户不了解超级网银授权的基本原理,被骗子诱骗泄露个人身份信息,并非超级网银本身有什么技术漏洞。这相当于把家里的钥匙给了误以为是朋友的小偷,跟网友上钓鱼网站的道理一样。当然,超级网银在客户咨询指导、额度限定、单方解约等方面也需要进一步完善服务。
■调查
超级网银转账有限额
为了了解超级网银是否存在相关漏洞,记者日前体验了超级网银。通过超级网银的确可以将不同银行的账户关联到某个指定银行账户,该指定账户就可以对关联账户进行查询和转账操作。
记者在签约超级网银时发现,银行确实未对双方身份和关系进行验证,没有要求一定要是亲属,只要双方出示网银UKEY和支付密码,都可以签约超级网银。一旦超级网银授权完成后,资金转出也确实无需再经本人同意确认。
此外,针对报告中所指“部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账”,记者通过咨询发现,目前央行规定超级网银的转账限额单笔5万元,每日限额则由各家银行自行决定,基本上各银行都有自己的规定。
目前,工行是日累计不超5000元(今年2月1日以前办理超级网银客户不超50万元);中行是日累计不超20万元;交行日累计不超100万元;农行为日累计不超过5万元。
■小贴士
银行支招安全秘籍
(1)开通短信服务。网上银行提供了从登录、查询、交易、直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
(2)授权他人查询本人账户和授权他人支付本人资金属高风险交易行为,请务必小心谨慎,严防诈骗,并定期关注账户资金变动情况。
(3)不要通过电子邮件以及qq、msn、旺旺等即时通信工具对话信息中的网址登录银行或者淘宝等商户网站,同时,也不要随意接收和打开卖家传送的文件。
(4)当发现账户存在欺诈风险时,及时拨打银行热线电话对账户进行挂失等手段保障账户资金安全。
赞赏
看原图
赞赏
雪币:
留言: