八成超級網銀被曝埋隱患：24秒10萬資金被挪移

　　曾經備受銀行推崇的超級網銀業務如今卻飽受猜測和指責。近期全國連續出現多起各大銀行客戶被騙案件，一位客戶在24秒內被騙子卷走10萬元資金，許多超級網銀使用者惴惴不安。專家認為，造成客戶資金被騙的重要原因在於超級網銀授權規則過於簡單，容易滋生風險，而這一安全隱患在行業內部普遍存在。根據金山毒霸安全中心對105家商業銀行超級網銀授權功能的驗証，85家超級網銀授權風險較大，佔比超八成。

　　事件回放

　　24秒10萬資金被挪移

　　不久前，陳女士在某購物網站選中了一款200元的服裝。商家表示，要先向廠家訂貨，之后再由陳女士來進行支付，並向陳女士提供了一個“代付鏈接”。(注：代付操作是一種網購服務，即甲購買商品，但由乙來付款。上述“代付鏈接”就是店主買了東西生成的一個鏈接，交給陳女士后，由陳女士進行支付。進行代付操作，付款人隻能查到資金支出記錄，但賬戶中不會生成交易記錄。)

　　陳女士在代付鏈接上進行了支付，卻無法像往常一樣查到交易記錄，於是向店家咨詢。店家表示，“系統出現異常，您購買的商品無法正常顯示出交易定單，請您現在抓緊時間聯系異常訂單處理中心客服簽約為您解凍”，並發給陳女士一個QQ號。

　　焦急的陳女士沒有多想，便與店家提供的客服QQ進行了聯系。客服表示要解凍之前的訂單，需要進行“簽約授權”操作，並在詢問了陳女士使用的是哪家銀行后提供了一個鏈接。

　　陳女士點開了上述鏈接，按照客服QQ的提示進行了逐步操作，但隨后便立即發現自己網銀賬戶的資金有異常。據陳女士描述，她在發現第一筆轉賬行為后，便立即開始撥打銀行的客服電話，希望能盡快凍結自己的銀行賬戶。但等到她撥通銀行客服時，賬戶中的資金余額僅剩40.38元。從銀行賬單記錄來看，兩筆金額各為5萬元的轉賬操作時間間隔僅為24秒，而銀行客服電話轉人工通常都需要30秒至1分鐘時間，在這麼短的時間裡，陳女士採取的任何補救措施都是徒勞無功。

　　市場質疑

　　超級網銀授權存不安全隱患

　　自去年開始，各大銀行紛紛力推超級網銀業務。但就在一夜之間，超級網銀就從神壇跌至谷底。

　　所謂的“超級網銀”是央行第二代支付系統，其中最受關注的功能是能夠方便用戶實時跨行管理不同的銀行賬戶。例如，張先生習慣使用招行網銀，平常多用招行網銀客戶端登錄。同時，張先生還持有交通銀行、廣發銀行、工商銀行等多家不同銀行的銀行卡，張先生先登錄招行網銀，將其他銀行卡授權給招行賬號登錄使用。通過超級網銀授權，張先生隻需登錄招行一個客戶端，就能管理所有銀行卡資產。

　　這一功能也讓客戶資金風險大大提高。與之前的普通網銀相比，一旦超級網銀用戶賬號、密碼，甚至口令卡、U盾等安全信息被破解，那麼用戶失去的將不僅僅是一家銀行的存款。

　　在本輪超級網銀安全風波中，最核心的問題在於授權規則。360互聯網安全中心認為， 超級網銀授權並不會對雙方身份和關系進行驗証，網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。其次，授權操作的過程比較簡單，隻需將授權頁面的鏈接復制下來，通過聊天軟件發送給他人“簽約”，就可以在不同電腦上實現授權。

　　另外，部分銀行沒有在授權界面中提醒用戶設置額度，獲得授權的賬戶可以無限制轉賬。在此過程中，並不需要授權賬戶進行二次確認，因此也無法阻止賬戶余額被轉走。個別銀行解除授權的操作比授權更復雜，甚至隻允許被授權賬戶確認解除。

　　機構測評

　　85家銀行超級網銀授權存風險

　　目前國內許多商業銀行都支持超級網銀功能，客戶難免心生疑問，超級網銀授權風險究竟是不是行業內普遍現象？究竟有沒有銀行能提供安全可靠的超級網銀功能？

　　據北京商報記者了解，金山毒霸安全中心對國內105家商業銀行超級網銀簽約的安全性進行了簡單評估，評估指標包括：超級網銀的簽約網址是否僅限本機操作﹔超級網銀的簽約網址是否限制訪問次數﹔超級網銀的簽約網址是否有時效性限制﹔超級網銀的簽約網址是否允許復制。

　　金山毒霸安全中心認為，以上四點，有三項安全措施的，被騙子惡意利用的可能性變得非常小，可視為“安全性高”。在105家銀行中符合這一標准的，僅廣東發展銀行和渤海銀行﹔隻要有一項限制，有機會阻止詐騙案發生的，為“安全性中等”，包括民生銀行、北京銀行、廣州銀行、東莞銀行、青大銀行、寧波銀行、浙商銀行、德陽銀行8家商業銀行。任何一條限制都沒有的，容易被詐騙分子利用的，視為“安全性低”，共有85家商業銀行，中、工、農、建、交、招商、光大、興業、浦發、中信、華夏等銀行均屬此列。另外幾家商業銀行的超級網銀簽約網址無法打開，騙子自然也無法訪問。

　　根據北京商報記者實際操作，在簽約超級網銀時，銀行不會對雙方身份和關系進行驗証，沒有親屬和血緣關系的雙方也都可以簽約超級網銀。但是簽約時必須需要雙方的網銀U盾和支付密碼。一旦超級網銀授權完成后，資金轉出無需再經本人同意確認。

　　專家聲音

　　安全防范意識亟待提高

　　隨著網上支付規模的快速增長，黑客攻擊也開始抬頭，安全防范關鍵在於用戶提高安全意識。

　　專家建議，在線購物時，如果對方要求單獨加QQ聊天發送鏈接，要求遠程控制客戶電腦操作的， 100%是騙子無疑。一旦網絡交易出現異常，應當首先通過官方渠道聯系客服，而不要輕信店家發來的客服聊天號碼﹔不要相信所謂的卡單、掉單、解凍資金等說法，這些都是網絡詐騙專用術語﹔絕對不能將自己的賬戶授權給陌生人。

　　另外，目前央行規定超級網銀的轉賬限額單筆5萬元，每日限額則由各家銀行自行決定。例如，工行規定日累計不超5000元(今年2月1日以前辦理超級網易客戶不超50萬元)﹔中行日累計不超20萬元﹔交行日累計不超100萬元﹔農行為日累計不超過5萬元。普通客戶應當在網銀賬戶設置單日最高轉賬限額，避免資金嚴重受損。

　　360公司董事長周鴻?指出，在設計理念上，網絡金融產品不能一味追求交易的方便快捷，應該把用戶的資金安全放在第一位。用戶使用超級網銀時，銀行應該用通俗易懂的語言，給用戶非常強烈的安全風險提示，甚至提供超級網銀詐騙案例供用戶參考，防止更多用戶上當。

　　北京郵電大學信息經濟與競爭力研究中心主任曾劍秋建議，目前國內銀行的發展，不應該被幾家銀行所壟斷，這是不符合市場規律的。與此同時，必須要讓第三方機構參與進來，共同面對存在的危機和挑戰。

　　北京商報記者 孟凡霞/文