近日���,業(yè)內(nèi)發(fā)生兩起重大盜竊新聞�。
其一�、微軟Xbox Live被黑客入侵����,48萬(wàn)用戶(hù)信息或遭泄露。
其二����、360互聯(lián)網(wǎng)安全中心發(fā)布重大安全警報(bào)稱(chēng)����,“超級(jí)網(wǎng)銀”跨行賬戶(hù)管理功能已成為黑客惡意利用的目標(biāo)�。
前者是天災(zāi),黑客來(lái)襲�,別說(shuō)是微軟,就是蘋(píng)果也無(wú)能為力��。而后者卻是“人禍”��。雞鳴狗盜�,人間禍患。
根據(jù)媒體報(bào)道��,近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶(hù)被騙案例��,安徽省陳女士(化名)反饋��,她在網(wǎng)購(gòu)衣服時(shí)����,被騙子誘導(dǎo)進(jìn)行了“超級(jí)網(wǎng)銀”授權(quán)支付操作�����,短短24秒內(nèi),銀行賬戶(hù)中10萬(wàn)元就被洗劫一空�。
其實(shí),網(wǎng)銀是一把雙刃劍�����,利用互聯(lián)網(wǎng)給人們提供便利的同時(shí)����,也給力騙子可乘之機(jī)。為此���,銀聯(lián)和電信運(yùn)營(yíng)商為了支付問(wèn)題���,爭(zhēng)爭(zhēng)吵吵好幾年,最終產(chǎn)生了第三方支付牌照��,才算告一段落�����。
以安全自我標(biāo)榜的網(wǎng)銀�����,支付程序比第三方支付繁瑣10倍都不止,甚至還搞出了U盾����、收費(fèi)短信提醒等,該折騰的手段都使用上了��,但是��,并沒(méi)有因?yàn)檫@樣��,網(wǎng)銀失竊事件就會(huì)減少�����。相對(duì)來(lái)說(shuō)�����,第三方支付到顯得安全一些�����。
這次出事的是超級(jí)網(wǎng)銀��。何謂“超級(jí)網(wǎng)銀”��?“超級(jí)網(wǎng)銀”�����,是2009年央行最新研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品����。通過(guò)構(gòu)建“一點(diǎn)接入、多點(diǎn)對(duì)接”的系統(tǒng)架構(gòu)���,實(shí)現(xiàn)企業(yè)“一站式”網(wǎng)上跨銀行財(cái)務(wù)管理��?�!俺?jí)網(wǎng)銀”的央行第二代支付系統(tǒng)于2010年8月30日正式上線(xiàn)�����,將開(kāi)通實(shí)時(shí)跨行轉(zhuǎn)賬以及跨行賬戶(hù)查詢(xún)等功能�。14家銀行接受了央行的驗(yàn)收�����,第三方支付企業(yè)并未參與。
超級(jí)網(wǎng)銀的牛X之處是“一站式服務(wù)�,多點(diǎn)對(duì)接”。用戶(hù)隨意轉(zhuǎn)賬��,比營(yíng)業(yè)廳要便捷��。在銀行看來(lái)這是優(yōu)點(diǎn)��,卻給騙子打開(kāi)了便利之門(mén)��。為何呢��?為此��,我專(zhuān)門(mén)請(qǐng)教了360安全工程師萬(wàn)仁國(guó)���。他有幾個(gè)觀點(diǎn)����,我非常認(rèn)可�����。
第一���、“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證�,也就是說(shuō)����,網(wǎng)銀用戶(hù)可以授權(quán)任何人對(duì)自己的賬戶(hù)進(jìn)行查詢(xún)和轉(zhuǎn)賬操作。而那個(gè)天文“授權(quán)書(shū)”用戶(hù)根本看不懂��,也沒(méi)有人會(huì)去看��。在營(yíng)業(yè)廳的協(xié)議�����,也沒(méi)有幾個(gè)人看�����,這樣就造成了隨意授權(quán)�。
第二、授權(quán)操作的過(guò)程比較簡(jiǎn)單���,只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)��,通過(guò)聊天軟件發(fā)送給他人“簽約”����,就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對(duì)于普通用戶(hù)來(lái)說(shuō)�����,有些銀行的授權(quán)頁(yè)面提示信息也過(guò)于晦澀���,有可能忽視其中的安全隱患�。如今���,就連京東�、淘寶這樣的電商�,也知道通過(guò)手機(jī)短信加密賬號(hào),而超級(jí)網(wǎng)銀卻將其忽視了�。
第三、部分銀行沒(méi)有在授權(quán)界面中提醒用戶(hù)設(shè)置額度����,獲得授權(quán)的賬戶(hù)可以無(wú)限制轉(zhuǎn)賬。在此過(guò)程中�,并不需要授權(quán)賬戶(hù)進(jìn)行二次確認(rèn),因此也無(wú)法阻止賬戶(hù)余額被轉(zhuǎn)走����。把雞蛋放在同樣一個(gè)籃子里,也不做特殊安全防范��,不被盜才怪����。
如果將安全外包給互聯(lián)網(wǎng)第三方支付公司或者安全公司來(lái)做,安全程度要比網(wǎng)銀高得多�。
在營(yíng)業(yè)廳(實(shí)體店)小心翼翼,用戶(hù)丟失身份證持戶(hù)口本也別想把丟失的卡補(bǔ)辦回來(lái)�,他認(rèn)為存在不安全因素。然而�,到了互聯(lián)網(wǎng)上卻如此打開(kāi)門(mén)戶(hù),這不是拿用戶(hù)的錢(qián)在賭博嗎�����?
說(shuō)到底�����,正是由于銀行等金融系統(tǒng)缺乏互聯(lián)網(wǎng)的基因�,缺乏對(duì)互聯(lián)網(wǎng)足夠了解,才導(dǎo)致了不安全隱患的發(fā)生���。
