科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道超级网银一天能转走500万存巨大风险

超级网银一天能转走500万存巨大风险

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

超级网银暴出安全事件,可能最坐立不安的人也包括央行负责超级网银开发维护的一班人马。最让我等P民着急的是本来非常便利的超级网银,因为可能层出不穷的民间安全事故,加上一些变态鸡贼银行的闭关自守,可能会很快寿终正寝,让我们的汇款收款不再免费实时便捷。

来源:ZDNet安全频道 2013年5月31日

关键字: 超级网银

  • 评论
  • 分享微博
  • 分享邮件

转载自:新浪微博:@超级网银那些事。

超级网银暴出安全事件,可能最坐立不安的人也包括央行负责超级网银开发维护的一班人马。最让我等P民着急的是本来非常便利的超级网银,因为可能层出不穷的民间安全事故,加上一些变态鸡贼银行的闭关自守,可能会很快寿终正寝,让我们的汇款收款不再免费实时便捷。

受骗的人都是因为不了十分了解网银的一些基本原则,甚至这个被骗与超级网银并无直接关系而受骗上当。最先暴出的受骗人群是淘宝上的许多专家,为了刷信用,需要登记不同的用户,使用不同的借记卡。于是第一批骗子出来了,通过不知道哪儿来的身份证号,开通了许多借记卡,同时也签约了这些卡的超级网银被扣款,接着把这些借记卡卖给了许多淘宝卖家。淘宝卖家收到卡后,为了刷信用,于是就利用这些借记卡开通新的买家,进行买卖。这时候骗子的机会来了,只要淘宝卖家一往这个卡里汇款,骗子可能就收到了消息提示,然后立刻对该卡发起扣款操作。于是卖家的钱一下子就不见了。

第二类被骗的用户就是用户不懂超级网银,被骗子要求主动开通被它行扣款可能;有些银行签约被它行扣款时,非常简单,只需要输入主动扣款方的账号和密码就完成设置了。360这两天提到的“【24秒被骗10万】”中建行就是这样的设置模式。当年我使用这个功能时,心里隐隐觉得这是一个漏洞,应该非常容易被骗子使用,可是又心存侥幸,觉得骗子应该不会这么用功和可恶;或者被要求签约的人应该知道被它行扣款的后果,不会轻易答应。没有想到,骗子们是如此与时俱进,很快就学会了这一招,并且对超级网银的了解比许多普通用户要深刻得多。所以千万不要小看骗子的“学习”精神。

央行应该首先从普及超级网银上下工夫。就超级网银普及而言,指望各大银行像民生、招行、广发等行那样卖力推广非常不靠谱,因为让他们大行推广超级网银就像叫他们拿刀割自己的肉一样不现实。作为负责全国超级网银维护的央行,应该迅速扩大对超级网银的维护。应该立刻建立一支专一的客服部门,首先要学习全国各主要银行超级网银的设置和使用,而后开通全国超级网银客服热线,接受全国用户的咨询和质询。

目前签约超级网银还是非常的麻烦,每家银行的要求和菜单设置,都是八仙过海,各显神通。第一次使用超级网银的人,不花了几个小时时间,可能很难签通超级网银。最著名的工商银行扣款它行进行签约时,需要指定收款人,哪怕收款人就是你自己正在签约的这张工行卡,也必须指定。然而在签约的过程中,那个“指定收款人”的选项框,并未要求强制勾上;所以许多用户在签约时,因为没有勾上这个选项,可能折腾半天,也没有签约成功,并且没有任何报错提示,非常的坑爹。诸如此类的问题,还非常多。一个好的东西,没有好的使用体验,它的推广和便利就难以体现,也就不容易被用户接受。

在解决超级网银的普通的同时,遇到超级网银问题时,需要央行实施一站式跟踪,不是推诿。只要遇到超级网银问题,许多银行的惯用答复(在确认自己的系统“无恙”之后)就是:“我们的超级网银目前正常,请你与对方行联系。”结果找到对方银行以后,答复也上述户名基本雷同。许多超级网银问题,确实两家银行自身都没有问题,而是央行系统之间的互联互通出了问题。

而根据本人的多次实践,许多银行客服和技术支持部门和央行客服或者技术支持部门没有统一的接口,出了问题,像民生银行,解决态度相当好,最后我测试完毕基本定位问题应该是央行系统问题,与两家银行无关;建议民生技术支持部门直接找到央行系统。在这种情况下,民生的客服和技术支持人员就显得无能为力。我完全不认为民生银行后台支持人员的服务态度有问题,所以当时就确认遇到央行系统自身的问题,各银行和央行之间没有形成一个合理有效的渠道把问题反馈到央行系统。所以改变超级网银问题的解决流程,由央行建立统一客服部门,或者直接面对客户,或者至少面对各加入超级网银的技术支持部门,显得尤为重要。

同时央行要从技术上至少解决以下几个问题。

一是被授权的确认机制。可以加上短消息认证过程。其实目前所有被骗案例中,都是因为不懂超级网银而被骗。所有超级网银的认证过程,还是严格的,都是需要你自己登录网银上银行,绝大多数银行都需要U盾级的认证才行。目前被骗者多是不了解也没有想到是超级网银被扣款授权,于是按照骗子的操作要求,授权骗子的账号可以对受害人的银行卡进行扣款。再健全的机制,如果本人不了解情况,那就难以避免问题。就好像有了红绿灯,可是当事人不知道红灯停的道理,那就需要增加太多的协管员,否则他依旧闯红灯而出交通事故。让超级网银增加太多的“协管员”,效率和便捷也会大打折扣。

看到@钛媒体 发表的文章说超级网银授权操作的过程比较简单,其实不是简单,而是用户不明白这个操作的含义。即使按照@钛媒体 作者的建议,增加短消息类确认过程,如果用户自己不明白这个操作的含义,也无法解决用户被骗的问题。所以目前的授权确认机制,应该问题不存在大的问题。问题是如何在授权确认机制的操作过程中,让用户明白被授权扣款的含义和后果。这一块,需要央行协调各大银行,在醒目位置提醒,一旦被授权,你卡中的所有款项可能会被立刻扣走,导致钱财两空。就像各银行ATM机上都贴有不要给陌生人转账类似的提醒说明,也许才能部分解决问题。有这样的提醒,才可能让用户警觉。尤其是被不同姓名的账户(就像招行宣传的那种老婆归集老公资金的情况)签约扣款,需要作这方面的强调。

二是统一额度确认。除了超级网银自身规定单笔额度最大5万以外,央行没有规定单日限额或者单月限额。目前各大银行被扣款额度极不统一;是否被允许调整被扣款额度也各式各样。目前最低扣款额度的一家银行是被扣款单笔最大扣款额度500元,当日限额或者月限额是5000元;允许用户在这个最大额度范围内调整自己的额度。还有一些银行比较大方,可能当日限额最大达5000万甚至更高。希望央行能够对这一块有一个指导意见。要求那些鸡贼的银行为了便捷需要放开提升额度,同时要求无限大额的银行超过一定限额时,增加安全认证方式,比如大于一定额度,要进行短消息确认等等。以达到统一,不让用户在不同的额度之间徘徊。

三是统一菜单设置。目前各大银行对超级网银它行账户的查询、扣款它行的菜单,还有通过超级网银汇款的菜单设置,各式各样。有的菜单需要寻找好几层,才能找到。比较便捷查询和扣款银行应该至少包括招行、民生,个人感觉中信也不错。比较难以使用的是交行扣款它行;在扣款它行时,哪怕我只签约了一家银行,在实施扣款时,居然还需要我通过查询方式才能看到我的被扣款银行,而不是通过明显的下拉菜单列出我已经签约的银行。实在让人无语。希望它的操作方式已经改变。希望央行负责超级网银的部门,不但负责超级网银自身的协议制定、系统设计和实现,也要对各银行的具体支持情况加以指导和限制。要让一个真正惠民的系统被用户接受,是需要做许多更具体的工作,而这些工作首先要实实在在的了解用户的需求。

四是立刻要求各大银行增加允许被签约用户单方解决协议的权力。这个权力现在显得尤为重要。目前许多银行被它行签约授权以后,无法进行单方解约,相当于如果被骗子签约了,发现被骗了,想解约都解约不了。这个需要央行作统一要求,需要各大银行各省检查。不实现这个功能的,建议暂时关闭。

五是建立超级网银有代表性的民间组织。超级网银开通近三年来,给许多客户带来相当大的便捷。一些各大网站论坛也多有讨论。但是一直看不到官方的声音,除了民生招行这类银行在新闻联播之后大量宣传老婆资金归集老公工资以外,普通一旦碰到超级网银的问题,在咨询所在行如果仍然无法解决以后,就基本走到死胡同。希望出现有代表性的民间组织,可以帮助统一收集协调这类问题,并积极反馈到正确部门当中去。在论坛的声音,非常强大有针对性,但是最后一公里,如果传递不到正确的部门,那就非常可惜。

超级网银推出两年多来,方便了许多用户。不能因为一些客户被骗,就视之为凶虎猛兽。需要维护部门积极面对问题,并且加快解决问题的速度。多走到民间了解问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章