超级网银曝安全黑洞
业内呼吁央行出手
来源:中国企业报 作者:本报记者郭奎涛
超级网银曝安全黑洞业内呼吁央行出手
作为央行积极推动的第二代网银系统,拥有一户多卡管理功能的超级网银推出近4年来非但未能普及,反而接连被曝光存在安全隐患。
多位行业人士在接受《中国企业报》记者采访时表示,超级网银的安全漏洞并非技术方面的硬伤,而是各个银行之间的系统衔接上出现了问题。这种银行各自为战的局面还造成超级网银的用户体验超级糟糕,最终造成了该产品推出4年来一直发展缓慢。
24秒被骗10万元
360互联网安全中心日前发布安全提醒,安徽陈女士在使用某国有银行“超级网银”授权支付时,签了一份客服发来的签约授权协议,将自己的账号关联了对方账户。短短24秒内,网银内的10万元被对方分5次盗取。
“超级网银服务的风险主要在于客户授权环节。多数超级网银的授权并不需要验证双方的身份和关系。陈女士输入自己的账号、密码之后,即授权他人可以从自己的账户里进行跨行转账。”360相关人士对《中国企业报》记者说。
这位人士还认为,超级网银授权操作的过程过于简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。经过确认,陈女士当时收到的链接并非钓鱼网站,正是银行的“超级网银”授权链接。
令陈女士比较困惑的是,在发现账户资金被非法转移之后,无法单方面解除授权,只能眼睁睁地看着不法分子继续盗取。实际上,多数银行的超级网银解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
银行推广超级网银缺乏积极性
对于超级网银被指安全漏洞,各大银行纷纷出面否认。建行相关负责人即表示,为了防范风险,建行已经通过验证网银盾等安全工具以及短信验证码等增强认证措施,在超级网银授权前会有风险提示,授权时也会通过短信验证码增强认证。
“只要遇到超级网银问题,银行的惯用答复都是,自己的超级网银没问题,让用户与对方行联系。结果找到对方银行以后,得到的也是同样的答复。其实,他们确实没有问题,而是超级网银的互联互通出了问题。”一位超级网银观察人士说。
这位人士认为,严格来讲,直接说超级网银存在安全漏洞并不准确,因为签约超级网银时,确实不对双方身份和关系进行验证,但是需要双方提供网银U盾和支付密码,这在前端已经保障了授权的安全,而在后端用户打算授权给谁,就不是银行所能左右的了。
银行不可推卸的责任在于,默认为网银用户开通了超级网银功能,却没有对如何防范授权风险做出说明,甚至一些银行的客服都不了解这项服务的内容,不能准确回答相关问题。作为负责全国超级网银维护的央行,也没有建立专业的客服统一接受用户的相关咨询。
“这一点也不难理解,各家银行都有自己的网银系统,如果都用超级网银了,自己的平台不就面临用户流失了。实际上,各家银行对于推广超级网银并不卖力,主要还是由央行在做。”上述银行业人士说。
用户体验糟糕超级网银陷发展瓶颈
按照央行官网对超级网银的解释,“能为银行业金融机构提供灵活的接入方式、清算模式和更加全面的流动性风险管理手段,实现网银互联,支撑新兴电子支付的业务处理和人民币跨境支付结算,实现本外币交易的对等支付(PVP)结算。”
“从这里可以看出,超级网银一定程度上是为电子商务量身定做的,尤其是在跨境电子商务上,第三方支付至今都没有跨境支付结算、本外币交易等功能。”一位支付企业人士认为,理论上超级网银相比第三方支付优势非常明显。
2010年超级网银推出的时候,支付宝等都还没有拿到牌照,业内还担心银行会放弃支付企业而率先与超级网银对接,公司、个人用户也会更多地选择这种可以跨行操作网银系统。然而,4年多来,第三方支付连年保持50%以上的增速,超级网银的发展却陷入了停滞。
这位支付企业人士指出,原因在于商业银行各自为战,超级网银的用户体验非常糟糕。在申请开通上,操作的步骤和提交的内容五花八门,更不用说用户界面各式各样的菜单设置了,有的菜单甚至需要寻找好几层才能找到。
“现在超级网银的局面就是一盘散沙,央行作为主导单位是时候出面收拾残局了,尤其需要统一优化用户体验,统一市场推广,同时加强对于用户风险意识特别是授权风险意识的培养,避免类似陈女士安全事件的重演。”上述超级网银观察人士指出。