您好,欢迎来到皮书数据库! 登录|注册

更多>>专题子库

国际移民研究
  国际移民,作为一个... 详情>>

更多>> 热点聚焦

更多>>皮书作者

蔡 昉
  1956年9月生于北京。现任中国社会科学院副院长、党组成员... 详情>>
安全事件
“超级网银”授权漏洞风波
来源:皮书数据库  作者:刘姝   发布时间:2014-10-29

2013年6月,被称为“超级网银”的央行第二代支付系统卷入了安全风波,全国连续出现多起各大银行客户被骗案例安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作,短短24秒内10万元被骗。

24秒内10万元被骗

陈女士在一家购物网站看中一件200元的衣服,店家表示需要向厂家订货,再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。陈女士在代付链接上进行了支付,却无法查到交易记录,于是向店家咨询。店家表示:“由于系统异常,无法正常显示交易订单,请联系客服解冻订单”,并发给陈女士一个QQ号。陈女士没有多想,便与店家提供的客服QQ进行了联系。客服QQ表示:要解冻订单,需要进行“签约授权”操作,并提供了一个链接。陈女士点开了上述链接,按照客服QQ的提示进行了逐步操作,但随后便发现网银账户的资金出现异常。在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了108800元,其中,前两笔金额各为5万元的转账,时间间隔仅为24秒。

“超级网银被指存在漏洞”

有网络安全机构认为,在本轮超级网银安全风波中,最核心的问题在于授权规则。超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息过于晦涩,有可能忽视其中的安全隐患。

专家表示,普通的转账每次都需要授权,而“超级网银”一旦授权就可连续操作。

但有业内人士认为,目前被曝出资金被盗的案例根本的原因在于用户不了解超级网银授权的基本原理,被骗子诱骗泄露个人身份信息,并非超级网银本身有什么技术漏洞。这相当于把家里的钥匙给了误以为是朋友的小偷,跟网友上钓鱼网站的道理一样。当然,超级网银在客户咨询指导、额度限定、单方解约等方面也需要进一步完善服务。

某银行电子银行部负责人说,除了“跨行资金归集业务”,一般客户很少了解和使用“超级网银”中的授权操作功能,因此给骗子可乘之机。陈女士所犯的致命错误是将账号、开户行等信息告诉了对方,然后在不知风险的情况下,登录网银,插入U盾,确认、签订了跨行支付协议。这位负责人说,一般银行客户能守住密码,却不知熟悉“超级网银”功能的骗子在无需获取密码的情况下,引导受害人一步步交出账户控制权。(资料来源:都市快报)

分享到: