手机银行短信验证码有被拦截风险 业内人士称 有动态口令密码保护的手机银行更安全
今年以来,手机银行激战正酣,但记者连日来调查发现,目前各家银行的手机银行安全程序要求和进展不一,多家银行仅靠账户、密码以及手机验证码进行交易,仅包括中行、工行、农行等在内的几家银行配有手机银行动态口令牌(密码器),但仍有多家银行暂时还没有相关设备。
手机银行可能遇到的安全问题主要有两个,一是手机遗失;二是手机遭黑客入侵。专家表示,若无动态密码,若仅凭借账号、账户的交易密码和手机验证码操作,手机一旦被盗窃或验证短信被复制、拦截,那么手机银行的账户资金安全就会受到威胁。
今年以来,手机银行激战正酣,各家银行为了布局互联网移动金融业务,不惜将手机银行作为主战场热推,并用各种免手续费的优惠吸引客户,但记者连日来调查发现,目前各家银行的手机银行安全程序要求和进展不一,多家银行仅靠账户、密码以及手机验证码进行交易,其安全性受到质疑。
转账免手续费吸引客户
手机银行的业务大致可分为三类:一是查询、缴费业务,包括账户查询、转账、缴纳银行代收的水电费、电话费等;二是购物业务,指客户将手机信息与银行系统绑定后,通过手机银行平台购买商品;三是理财业务,包括购买银行理财产品、代销基金、炒股和炒汇等。
目前中行、农行、交行、招行等多家银行,均已实现手机银行转账汇款完全免费。例如,据招行工作人员介绍,自2012年中旬至2013年12月31日,该行手机银行5万元以内转账汇款全部免费。
除了免费大餐,部分银行的手机银行业务多实行优惠费率,如通过兴业银行手机银行进行同行转账汇款,其手续费全免,若是跨行转账,普通客户要收取一定费用。此外,工行、建行、中信等银行的手机银行业务也有一定的费用打折。
短短一两年间手机银行发展突飞猛进,截至11月下旬,光大手机银行用户突破1000万户,是年初客户量的3.7倍。民生银行目前手机银行客户规模已突破400万户,2013年累计交易金额超6000亿元,户均交易笔数达到5笔多。
数据显示,手机在2012年6月超过PC成为国内第一大上网终端。据艾瑞咨询预计,到2015年年底,手机银行用户将超3亿,手机银行资金处理规模将突破9万亿元。
动态密码尚无统一标准
目前多家银行手机银行的使用方式大概都是先开通手机银行业务,然后下载手机银行客户端,用户使用个人的账户号和密码再通过一个手机验证码进行交易。
在业内人士眼里,手机银行的相关密码和账号并不能成为完全保证手机银行安全的保障。
“此前发生过多起扫二维码窃取手机银行的账户和密码等信息的案例,事实上,不法分子如果想要窃取这两项资料并不难,难就难在有的银行的手机银行会配备动态口令密码器,密码是自动生成,因此增加了安全性。”一位外资行相关技术人士李先生告诉记者,“这种密码器是在客户自己手上,随机生成密码,有效期为15秒。”
记者了解到,和网上银行的U盾类似,手机银行的动态口令牌(密码器)并非每家银行都有配备,其中,包括中行、工行、农行等在内的几家银行目前已经更新配备,但另外部分银行暂时仅凭借账号、账户的交易密码和手机验证码操作。
“有动态密码安全系数会大很多。哪怕有动态密码卡也行,这方面内地银行步伐不一,业内也没有统一的标准和规定。”李先生表示。
事实上,记者在一家银行的手机银行安全提示上看到,“客户在柜台开通手机银行时,请务必使用您本人的手机号码。”一位不愿意透露姓名的专家认为,一旦手机号和相关账户资料一起丢失,手机银行风险将会很大。
专家:防个人信息泄露、手机中毒
金山网络信息安全专家李铁军表示,用户个人信息泄露以及手机中毒是造成用户手机银行资金存在风险的两个前提。一是用户登录了钓鱼网站,或者被骗子直接骗取,导致包括用户姓名、银行卡号、身份证号等个人信息泄露;二是用户手机中了病毒,所获得的身份验证信息短信被病毒转发到不法分子的手机上或邮箱里,不法分子可直接使用用户的账号资金,或者不法分子在自己能控制的电脑或手机上开通第三方支付业务,窃取用户资金。李铁军还提醒道,有许多其实不怎么用手机银行的人,也开通了这个业务,应特别小心。
提醒:
设置银行账户消费限额
李铁军提醒用户要注意以下几方面:首先,要在手机中安装杀毒软件;其次,要设置敏感应用的访问密码,一旦手机丢失,立即远程销毁手机数据;最后,不在手机上安装来历不明、可能有危险的程序。同时,用户要减少个人信息泄露,特别是手机号、身份证号、电子邮箱等敏感信息,拒绝过多的办理会员卡、抽奖等诱惑。关键的互联网服务,背后都必然对应一个唯一的邮箱,邮箱密码被盗,会带来严重风险。
李铁军还说,要注意设置银行账户消费限额,设置银行消费的短信、邮件通知。(记者 李婧暄 段郴群)