中行网银除了验证码,还有应该实行更多风控措施
今早又看见手机腾讯网在说中行网银钓鱼的事情,心里很不是滋味。虽说客户自己登陆了钓鱼网站是主要的,但是其实中行还是有很多可以实行的风险控制措施没有实行。
虽然提意见中行从来不听(例如建议他手银每个页面都增加签退链接)出于对E-TOTEN在中国大陆生死存亡的关心,我还是把心里的意见写出来了:
1、降低默认最高限额。
大部分客户,用不了现如今那么高的本行转出和跨行限额。而BOC一朝被蛇咬就把超级网银限额调为0.01的做法更是让人厌恶。本行转出和跨行汇出的限额,默认为100万每笔,日限额500万比较好。
降低网银修改限额的权限,只能调低,不能调高。
对于需要更高限额的客户,可以在柜台进行修改。(也许有人认为会增加柜台压力,但实际上,一般客户的此类需求还是比较少的)
2、手机验证码的修改。也许BOC担心应付不了大量客户到柜台修改手机号码,而采用网上修改中银e信号码次日即可更新验证码发送手机的方法。但是这样就有一定漏洞可钻。应该全面堵住漏洞,只允许柜台修改预留手机号。(建行提高转账限额到500万每笔的那个验证码服务,那个手机就只能是柜台预留的,自己是改不了的)。
因为手机验证码总是不可避免的受短信迟滞的影响。对于具有防范钓鱼能力的客户,BOC应该允许在签署风险提示的前提下关闭手机验证码。
3、自助添加进网银的卡片,应不具有转账等帐务交易功能。客户不可能三天两头都要往网银里面添加卡片。得了新卡去柜台做个签约也不是什么难事,也不会增加多少柜台复核。这个漏洞应该全面堵上。
4、缩小渠道互动签约权限。配合前面的柜台修改手机号码功能,通过网银签约开通的手机银行只能是预留手机登陆,通过其他方式登陆的手机银行必须在柜台开通。
5、签约网银要签署风险提示、发放防钓鱼提示。
风险评估是指“1.收到短信或邮件,告知您的银行卡被异地盗用,需要签约网上银行,以设置网上报警系统2.收到短信或邮件,告知您的账户涉嫌洗钱,需要签约网上银行,以进行反洗钱监控”这样的十几二十条跳空。
其实我个人认为印点风险提示更重要 现在工行的个人业务申请书背面很大的部分就是风险提示
这个又没有人看还是短信提醒来得快一些例如网银登陆和转账的验证码
第二条最后一句话一直可以的……你可以去柜台的
从道理上来看, 不可能通过增加手机交易码短信达到防范钓鱼网站这个目的, 由于假设钓鱼网站通过转发动态口令来欺骗客户, 也可以易如反掌地转发手机交易码短信.
手机交易码短信没有能够提高交易的安全, 反而给交易的方便性带来麻烦, 再说假设短信收不到或者延迟, 例如客户在国外, 那对交易的实现是致命的.
很明显动态口令和国内很多其他银行的USB key比起来有一个很大的优势. USB key和PC等终端设备需要有USB的硬件连接, 和操作系统, 和浏览器都有关系, 目前无法支持各种不同的系统, 更无法支持手机等移动设备. 既然中行选择了动态口令, 就应该坚持动态口令的优势, 分析清楚问题的所在, 增加手机交易码短信道理上是不成立的, 而且导致很不方便.
汇丰银行在香港也是采用动态口令, 他们在去年推出了新的动态口令卡, 该卡有数字键盘, 通过数字键盘输入账号等交易要素, 根据交易要素产生动态口令, 就从理论上解决了针对动态口令的钓鱼网站等问题.
您能否详细说说呢?我的汇丰保安器还没收到,不知道到底具体是怎么防范的。