注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

毛启盈的博客

新闻推动产业

 
 
 

日志

 
 

超级网银,超级骗!  

2013-05-28 21:56:00|  分类: 网银,超级网银,网 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

   文/毛启盈 今天,发现有两起重大盗窃新闻。其一、微软Xbox Live被黑客入侵,48万用户信息或遭泄露。其二、360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已成为黑客恶意利用的目标。



  前者是天灾,黑客来袭,别说是微软,就是苹果也无能为力。而后者却是“人祸”。鸡鸣狗盗,人间祸患。

  根据媒体报道,近期全国连续出现多起各大银行客户被骗案例,安徽省陈女士(化名)反馈,她在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。

  其实,网银是一把“双刃剑”,利用互联网给人们提供便利的同时,也给力骗子可乘之机。为此,银联和电信运营商为了支付问题,争争吵吵好几年,最终产生了数百张第三方支付牌照,才算告一段落。

  以“安全”自我标榜的网银,支付程序比第三方支付繁琐10倍都不止,甚至还搞出了U盾、收费短信提醒等,该折腾的手段都使用上了,但是,并没有因为这样,网银失窃事件就会减少。相对来说,第三方支付到显得安全一些。

  这次出事的是超级网银。何谓“超级网银”?“超级网银”,是2009年央行最新研发的标准化跨银行网上金融服务产品。通过构建“一点接入、多点对接”的系统架构,实现企业“一站式”网上跨银行财务管理。“超级网银”的央行第二代支付系统于2010年8月30日正式上线,将开通实时跨行转账以及跨行账户查询等功能。14家银行接受了央行的验收,第三方支付企业并未参与。

  超级网银的牛X之处是“一站式服务,多点对接”。用户随意转账,比营业厅要便捷。在银行看来这是优点,却给骗子打开了便利之门。为何呢?为此,我专门请教了360安全工程师万仁国。他有几个观点,我非常认可。

  第一、“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。而那个天文“授权书”用户根本看不懂,也没有人会去看。在营业厅的协议,也没有几个人看,这样就造成了随意授权。

  第二、授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息也过于晦涩,有可能忽视其中的安全隐患。如今,就连京东、淘宝这样的电商,也知道通过手机短信加密账号,而超级网银却将其忽视了。

  第三、部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。把鸡蛋放在同样一个篮子里,也不做特殊安全防范,不被盗才怪。

  第四、如果将安全外包给互联网第三方支付公司或者安全公司来做,安全程度要比网银高得多。

  银行在营业厅(实体店)小心翼翼,用户丢失身份证持户口本也别想把丢失的卡补办回来,认为存在不安全因素。然而,到了互联网上却如此大开门户,这不是拿用户的钱在赌博吗?说到底,正是由于银行等金融系统缺乏互联网的基因,缺乏对互联网足够了解,才导致了不安全隐患的发生。(微信公众账号:maoqiying2008)

  评论这张
 
阅读(251)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017