問世近4年后,曾經備受銀行推崇的“超級網銀”突然陷入質疑的漩渦。繼360互聯網安全中心發布報告,稱其已成為黑客惡意利用的目標之后,另一家互聯網安全公司金山毒霸也公開表示其“授權風險較大”。
面對如潮的質疑和使用者的不安,昨日,多家銀行的電子銀行負責人均明確表態稱,超級網銀在安全性上有保障,且“每日轉賬額度沒有上限”的說法並不屬實。
質疑一
雙方身份和關系無需驗証?
所謂的“超級網銀”,是央行第二代支付系統,其中最受關注的功能是能夠方便用戶實時跨行管理不同的銀行賬戶。比如,消費者李女士使用招行網銀,而李女士的家人或朋友持有交通銀行、工商銀行等多家不同銀行的銀行卡,李女士登錄招行網銀后,通過超級網銀授權,可將其他銀行卡授權給招行賬號。這樣隻需登錄招行一個網銀,就能管理所有銀行賬號。
互聯網上的行騙者,正是利用了超級網銀的授權這一功能。
360互聯網安全中心給出的一個案例顯示,消費者陳女士在某購物網站選中了一款200元的服裝,在支付貨款時用超級網銀,但因為出現支付“故障”,就按照客服的說法,簽了一份對方發來的簽約授權協議,將自己的賬號簽約給了其他賬戶。短短24秒內,網銀裡的10萬元就被轉走。
“這個騙局能夠得逞,是由於超級網銀對簽約雙方的身份和關系無需驗証。”360互聯網安全中心表示,通過超級網銀可以將不同銀行的賬戶關聯到某個指定銀行賬戶,該指定賬戶就可以對關聯賬戶進行查詢和轉賬操作。這樣一來,“超級網銀”就存在了安全隱患。
事實果真如此麼?
回應
簽約時必需雙方網銀U盾
即便沒有親屬和血緣關系的兩個人,他們的賬戶也可以在超級網銀中進行授權簽約嗎?記者昨日走訪多家銀行獲悉,在簽約超級網銀時,銀行確實不對雙方身份和關系進行驗証。但銀行方面也表示,簽約時雖然並不驗証雙方身份,卻需要雙方的操作配合。
“如果在簽約時,沒有雙方的網銀U盾和支付密碼,簽約是不可能成功的。”昨日某商業銀行電子銀行部負責人明確表示,一旦超級網銀授權完成后,資金轉出也確實無需再經本人同意確認。
“實際上,即便不用超級網銀,在平時的單獨銀行網銀使用中,轉賬等行為也隻需要支付密碼和本人U盾。”該負責人認為,隻要消費者保管好自己的U盾,明確授權的含義,類似的騙局就不會發生。