超级网银的安全漏洞谁来补？

    超级网银竟然有漏洞！“24秒被盗转10万元”的活生生案例，再加上360、金山等安全公司的警示，让2010年低调上线运营的超级网银成为关注的焦点。记者昨日获悉，多家银行均对超级网银存在漏洞一事予以回应，但都未明确表示将如何解决这一安全问题。安全专家提醒，网银账户应设置单日最高转账限额，绝对不能将自己的账户授权给陌生人或陌生账户。

    授权操作存风险

    360互联网安全中心此前发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标。安徽省陈女士(化名)在网购时，被骗子诱导进行了“超级网银”授权支付操作，短短24秒内，银行账户中10万元就被洗劫一空。

    调查发现，“超级网银”授权并不会对双方身份和关系进行验证，也就是说，网银用户可以授权任何人对自己的账户进行查询和转账操作。同时，授权操作过程简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。另外，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。

    多家安全公司发现“超级网银”的授权操作存在一定安全风险。金山毒霸安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估，评估指标包括：超级网银的签约网址是否仅限本机操作、是否限制访问次数、是否有时效性限制、是否允许复制等。在105家银行中符合这一标准的，仅广东发展银行和渤海银行；只要有一项限制的为“安全性中等”，包括民生银行、北京银行、广州银行、东莞银行、青大银行、宁波银行、浙商银行、德阳银行8家商业银行。任何一条限制都没有的视为“安全性低”，共有85家商业银行，中、工、农、建、交、招商、光大、兴业、浦发、中信、华夏等银行均属此列。

    银行纷纷予以回应

    PC World中国实验室近日公布的四大银行超级网银安全性评测报告显示，多家银行超级网银都存在安全风险。据调查，超级网银允许用户实时跨行管理不同的银行账户。但在提供方便快捷服务的同时，也暴露出了身份验证不健全、操作过程过于简单、转账限额过高以及解除授权复杂等安全隐患。

    对于超级网银风险提示不明显的问题，工行称，授权时页面上出现4点提示信息，占了整个页面的一半，提示信息是非常充分，不容易被忽略的。工行的提醒文字还包括，对使用他行网银安全认证方式处理的各项授权业务引起的各类纠纷，均与其无关。

    建行方面回应称，限额与风险没有必然联系，风险在客户授权环节。在授权过程中，建行是做了明显的风险提示，且客户需要点击已认真阅读协议后，才能进行下一步操作；使用超级网银转账，同时还要进行短信验证以及网银盾验证，而短信验证还会同时提示风险。

    农行客服人员表示，要看授权发起方银行是否允许农行卡单方面解除。据调查，除了个别银行外，绝大多数银行在签约授权之后，都不支持解约操作。银行方面对此给出的解释是：来自他行的授权申请一旦完成，对账户的操作就成了“他行业务”，而一个银行是无权解除其他银行的业务的。

    网民须提高安全意识

    “对于网银用户来说，更严重的风险在于安全意识薄弱。”360安全专家表示，从近期出现的“超级网银”授权诈骗案例来看，全都是消费者在网购过程中被骗子误导，例如骗子以“交易卡单”等名义发来授权链接，忽悠消费者对交易资金“解冻”，实际上是把整个网银账户都授权给骗子随意转账。

    鉴于“超级网银”授权链接都是银行官网地址，此前没有任何安全软件会对其报警拦截。不过随着网银授权骗术兴起，360安全卫士已紧急更新了防护策略，针对来自聊天消息的网银授权链接进行风险提示，建议用户警惕陌生人发来的此类链接。

    安全专家提醒，一旦网络交易出现异常，应当首先通过官方渠道联系客服，而不要轻信店家发来的客服聊天号码；不要相信所谓的卡单、掉单、解冻资金等说法，这些都是网络诈骗专用术语；网银账户应设置单日最高转账限额，并绝对不能将自己的账户授权给陌生人或陌生账户。

    名词

    解释

    超级网银

    是标准化跨银行网上金融服务产品，能够方便用户实时跨行管理不同的银行账户。通俗地说，就是可以用一个网银账户，实现多张银行卡的跨行查询和转账，国内绝大多数银行均默认支持该项功能。目前存在的安全漏洞，出现了不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，将对方账户余额全部偷走。

    PC world测评“四大银行超级网银业务对比表”

    银行名称提示设置转账限额系统最高限额是否可单方面网上自主解除授权授权支付风险提示短信验证U盾工商银行有2013年2月1日后开通网银：单笔最高5千，日最高5千，月最高5万。是黑色小字提示无需要建设银行无提示，默认每日最高可转500万单笔最高5万，日最高500万，无限制否(需被授权方发起)一次红色字体提示，一次短信验证码提示有需要农业银行有单笔最高5万，日最高5万，月最高150万客服表示不是很清楚，要看授权发起方银行是否允许单方面解除，测试授权给建行卡后无法单方面解除一次红色字体提示，一次授权支付协议签署提示无需要招商银行有单笔最高5万，日最高10万，月最高50万必须有对方U盾才可以网上自行解除，否则只能去柜台办理一次业务类型提示，一次红字风险提示，一次授权支付协议签署提示无需要。