從品牌網(wǎng)站建設(shè)到網(wǎng)絡(luò)營銷策劃,從策略到執(zhí)行的一站式服務(wù)
來源:中聯(lián)星空網(wǎng)絡(luò)科技有限公司 | 2013.05.29
近日,業(yè)內(nèi)發(fā)生兩起重大盜竊新聞。
其一、微軟Xbox Live被黑客入侵,48萬用戶信息或遭泄露。
其二、360互聯(lián)網(wǎng)安全中心發(fā)布重大安全警報稱,“超級網(wǎng)銀”跨行賬戶管理功能已成為黑客惡意利用的目標。
前者是天災(zāi),黑客來襲,別說是微軟,就是蘋果也無能為力。而后者卻是“人禍”。雞鳴狗盜,人間禍患。
根據(jù)媒體報道,近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例,安徽省陳女士(化名)反饋,她在網(wǎng)購衣服時,被騙子誘導(dǎo)進行了“超級網(wǎng)銀”授權(quán)支付操作,短短24秒內(nèi),銀行賬戶中10萬元就被洗劫一空。
其實,網(wǎng)銀是一把雙刃劍,利用互聯(lián)網(wǎng)給人們提供便利的同時,也給力騙子可乘之機。為此,銀聯(lián)和電信運營商為了支付問題,爭爭吵吵好幾年,最終產(chǎn)生了第三方支付牌照,才算告一段落。
以安全自我標榜的網(wǎng)銀,支付程序比第三方支付繁瑣10倍都不止,甚至還搞出了U盾、收費短信提醒等,該折騰的手段都使用上了,但是,并沒有因為這樣,網(wǎng)銀失竊事件就會減少。相對來說,第三方支付到顯得安全一些。
這次出事的是超級網(wǎng)銀。何謂“超級網(wǎng)銀”?“超級網(wǎng)銀”,是2009年央行最新研發(fā)的標準化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品。通過構(gòu)建“一點接入、多點對接”的系統(tǒng)架構(gòu),實現(xiàn)企業(yè)“一站式”網(wǎng)上跨銀行財務(wù)管理?!俺壘W(wǎng)銀”的央行第二代支付系統(tǒng)于2010年8月30日正式上線,將開通實時跨行轉(zhuǎn)賬以及跨行賬戶查詢等功能。14家銀行接受了央行的驗收,第三方支付企業(yè)并未參與。
超級網(wǎng)銀的牛X之處是“一站式服務(wù),多點對接”。用戶隨意轉(zhuǎn)賬,比營業(yè)廳要便捷。在銀行看來這是優(yōu)點,卻給騙子打開了便利之門。為何呢?為此,我專門請教了360安全工程師萬仁國。他有幾個觀點,我非常認可。
第一、“超級網(wǎng)銀”授權(quán)并不會對雙方身份和關(guān)系進行驗證,也就是說,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作。而那個天文“授權(quán)書”用戶根本看不懂,也沒有人會去看。在營業(yè)廳的協(xié)議,也沒有幾個人看,這樣就造成了隨意授權(quán)。
第二、授權(quán)操作的過程比較簡單,只需將授權(quán)頁面的鏈接復(fù)制下來,通過聊天軟件發(fā)送給他人“簽約”,就可以在不同電腦上實現(xiàn)授權(quán)。對于普通用戶來說,有些銀行的授權(quán)頁面提示信息也過于晦澀,有可能忽視其中的安全隱患。如今,就連京東、淘寶這樣的電商,也知道通過手機短信加密賬號,而超級網(wǎng)銀卻將其忽視了。
第三、部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬。在此過程中,并不需要授權(quán)賬戶進行二次確認,因此也無法阻止賬戶余額被轉(zhuǎn)走。把雞蛋放在同樣一個籃子里,也不做特殊安全防范,不被盜才怪。
如果將安全外包給互聯(lián)網(wǎng)第三方支付公司或者安全公司來做,安全程度要比網(wǎng)銀高得多。
在營業(yè)廳(實體店)小心翼翼,用戶丟失身份證持戶口本也別想把丟失的卡補辦回來,他認為存在不安全因素。然而,到了互聯(lián)網(wǎng)上卻如此打開門戶,這不是拿用戶的錢在賭博嗎?
說到底,正是由于銀行等金融系統(tǒng)缺乏互聯(lián)網(wǎng)的基因,缺乏對互聯(lián)網(wǎng)足夠了解,才導(dǎo)致了不安全隱患的發(fā)生。