问世近4年后,曾经备受银行推崇的“超级网银”突然陷入质疑的漩涡。继360互联网安全中心发布报告,称其已成为黑客恶意利用的目标之后,另一家互联网安全公司金山毒霸也公开表示其“授权风险较大”。
面对如潮的质疑和使用者的不安,昨日,多家银行的电子银行负责人均明确表态称,超级网银在安全性上有保障,且“每日转账额度没有上限”的说法并不属实。
质疑一
双方身份和关系无需验证?
所谓的“超级网银”,是央行第二代支付系统,其中最受关注的功能是能够方便用户实时跨行管理不同的银行账户。比如,消费者李女士使用招行网银,而李女士的家人或朋友持有交通银行、工商银行等多家不同银行的银行卡,李女士登录招行网银后,通过超级网银授权,可将其他银行卡授权给招行账号。这样只需登录招行一个网银,就能管理所有银行账号。
互联网上的行骗者,正是利用了超级网银的授权这一功能。
360互联网安全中心给出的一个案例显示,消费者陈女士在某购物网站选中了一款200元的服装,在支付货款时用超级网银,但因为出现支付“故障”,就按照客服的说法,签了一份对方发来的签约授权协议,将自己的账号签约给了其他账户。短短24秒内,网银里的10万元就被转走。
“这个骗局能够得逞,是由于超级网银对签约双方的身份和关系无需验证。”360互联网安全中心表示,通过超级网银可以将不同银行的账户关联到某个指定银行账户,该指定账户就可以对关联账户进行查询和转账操作。这样一来,“超级网银”就存在了安全隐患。
事实果真如此么?
回应
签约时必需双方网银U盾
即便没有亲属和血缘关系的两个人,他们的账户也可以在超级网银中进行授权签约吗?记者昨日走访多家银行获悉,在签约超级网银时,银行确实不对双方身份和关系进行验证。但银行方面也表示,签约时虽然并不验证双方身份,却需要双方的操作配合。
“如果在签约时,没有双方的网银U盾和支付密码,签约是不可能成功的。”昨日某商业银行电子银行部负责人明确表示,一旦超级网银授权完成后,资金转出也确实无需再经本人同意确认。
“实际上,即便不用超级网银,在平时的单独银行网银使用中,转账等行为也只需要支付密码和本人U盾。”该负责人认为,只要消费者保管好自己的U盾,明确授权的含义,类似的骗局就不会发生。