中行网银除了验证码，还有应该实行更多风控措施

理财金66

         
今早又看见手机腾讯网在说中行网银钓鱼的事情，心里很不是滋味。虽说客户自己登陆了钓鱼网站是主要的，但是其实中行还是有很多可以实行的风险控制措施没有实行。
虽然提意见中行从来不听（例如建议他手银每个页面都增加签退链接）出于对E-TOTEN在中国大陆生死存亡的关心，我还是把心里的意见写出来了：
1、降低默认最高限额。
. o5 i+ M  O5 R; L( T大部分客户，用不了现如今那么高的本行转出和跨行限额。而BOC一朝被蛇咬就把超级网银限额调为0.01的做法更是让人厌恶。本行转出和跨行汇出的限额，默认为100万每笔，日限额500万比较好。
+ M  v% @! l3 o7 G2 D5 Y降低网银修改限额的权限，只能调低，不能调高。
* T8 k* T( T/ ?) |, A7 b( z对于需要更高限额的客户，可以在柜台进行修改。（也许有人认为会增加柜台压力，但实际上，一般客户的此类需求还是比较少的）
! s( ]) n3 `# `* [% n- Y2、手机验证码的修改。也许BOC担心应付不了大量客户到柜台修改手机号码，而采用网上修改中银e信号码次日即可更新验证码发送手机的方法。但是这样就有一定漏洞可钻。应该全面堵住漏洞，只允许柜台修改预留手机号。（建行提高转账限额到500万每笔的那个验证码服务，那个手机就只能是柜台预留的，自己是改不了的）。
因为手机验证码总是不可避免的受短信迟滞的影响。对于具有防范钓鱼能力的客户，BOC应该允许在签署风险提示的前提下关闭手机验证码。
% O! J( [' I, `* U  E3、自助添加进网银的卡片，应不具有转账等帐务交易功能。客户不可能三天两头都要往网银里面添加卡片。得了新卡去柜台做个签约也不是什么难事，也不会增加多少柜台复核。这个漏洞应该全面堵上。
4、缩小渠道互动签约权限。配合前面的柜台修改手机号码功能，通过网银签约开通的手机银行只能是预留手机登陆，通过其他方式登陆的手机银行必须在柜台开通。
5、签约网银要签署风险提示、发放防钓鱼提示。
  风险评估是指“1.收到短信或邮件，告知您的银行卡被异地盗用，需要签约网上银行，以设置网上报警系统  2.收到短信或邮件，告知您的账户涉嫌洗钱，需要签约网上银行，以进行反洗钱监控”这样的十几二十条跳空。
% U; E: ?% {! W) |/ G: @5 l         

ICBC_仁道武士郎

7 Q) ]5 P% M3 O其实我个人认为印点风险提示更重要 现在工行的个人业务申请书背面很大的部分就是风险提示

ICBC_媛言臣

$ P9 X& E. n% g4 d2 w2 ]+ E  这个又没有人看  还是短信提醒来得快一些  例如网银登陆和转账的验证码

ICBC_骟昵旻

6 d6 V# [; U! l/ d  第二条最后一句话一直可以的……你可以去柜台的

ICBC_黄界

从道理上来看, 不可能通过增加手机交易码短信达到防范钓鱼网站这个目的, 由于假设钓鱼网站通过转发动态口令来欺骗客户, 也可以易如反掌地转发手机交易码短信.
手机交易码短信没有能够提高交易的安全, 反而给交易的方便性带来麻烦, 再说假设短信收不到或者延迟, 例如客户在国外, 那对交易的实现是致命的.
很明显动态口令和国内很多其他银行的USB key比起来有一个很大的优势. USB key和PC等终端设备需要有USB的硬件连接, 和操作系统, 和浏览器都有关系, 目前无法支持各种不同的系统, 更无法支持手机等移动设备. 既然中行选择了动态口令, 就应该坚持动态口令的优势, 分析清楚问题的所在, 增加手机交易码短信道理上是不成立的, 而且导致很不方便.
汇丰银行在香港也是采用动态口令, 他们在去年推出了新的动态口令卡, 该卡有数字键盘, 通过数字键盘输入账号等交易要素, 根据交易要素产生动态口令, 就从理论上解决了针对动态口令的钓鱼网站等问题.

ICBC_浩卫人

9 P, y0 K2 }' q. |您能否详细说说呢？我的汇丰保安器还没收到，不知道到底具体是怎么防范的。