近日����,360安全中心發(fā)布重大安全警報稱�,近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例��,均因為“超級網(wǎng)銀”跨行賬戶管理功能被黑客惡意利用���。
安徽的受害用戶陳女士在短短24秒內(nèi)�,其銀行賬戶10萬元就被洗劫一空��。據(jù)了解��,騙子利用了目前“超級網(wǎng)銀”的授權(quán)操作過于簡單���、身份驗證機制不完善等問題����,對網(wǎng)購消費者進行詐騙���。
“超級網(wǎng)銀”真的漏洞很多嗎���?那普通老百姓還可以放心使用嗎���?
或是中了“釣魚”軟件的招
記者近日采訪了某國有大銀行浙江省分行電子銀行部的總經(jīng)理。他解釋說���,“超級網(wǎng)銀”作為央行研發(fā)的標準化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品����,風險還是可以得到控制的������!斑@個案例講得很清楚,我猜測和以往的“釣魚”軟件類似���,客戶泄露了所有的信息�,錢被盜取也不奇怪�,不能簡單地把責任推到‘超級網(wǎng)銀’身上”。他說�,關(guān)鍵還是在于個人要有較強的風險防范意識,對一些陌生的鏈接還是不要輕易接觸使用����。
據(jù)受害者陳女士講述�,前幾天自己在網(wǎng)上購買了一件279元的衣服����,是通過賣家發(fā)來的購物鏈接付款的�,但之后卻發(fā)現(xiàn)沒有交易記錄。而賣家給出的理由是系統(tǒng)異常��,需要陳女士使用QQ聯(lián)系他們的“客服”進行解凍���,實際上所謂的“客服”是騙子偽裝的��,隨后騙子還特意詢問了陳女士所使用的網(wǎng)銀����,最終發(fā)來一個建行的“簽約授權(quán)”鏈接��,陳女士誤信了騙子的說辭點擊了授權(quán)最終被騙����!斑@其實和普通的網(wǎng)上詐騙差不多�,你點擊的鏈接就是騙子的“釣魚”頁面,你點擊了肯定就上當受騙了���!”上述專家解釋說�,不能把被騙的責任推到“超級網(wǎng)銀”身上。
有些金融常識的人都清楚�,“超級網(wǎng)銀”其實是銀行之間的結(jié)算系統(tǒng),是標準化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品��,能夠方便用戶實時跨行管理不同的銀行賬戶��。通俗地說���,就是可以用一個網(wǎng)銀賬戶��,實現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬��,國內(nèi)絕大多數(shù)銀行均默認支持該項功能���。此前微博上被熱炒的“只要老公賬戶上的資金余額超過1000元,超出部分就會自動被劃轉(zhuǎn)到老婆的賬戶”���,其實就是基于“超級網(wǎng)銀”的資金歸集功能實現(xiàn)的��。不過�,要實現(xiàn)“授權(quán)他行支付”功能����,兩張銀行卡之間必須先“簽約授權(quán)”��。
“超級網(wǎng)銀”四個漏洞要小心
360互聯(lián)網(wǎng)安全中心發(fā)布的報告指出“超級網(wǎng)銀”的四個漏洞:第一����,“超級網(wǎng)銀”授權(quán)并不會對雙方身份和關(guān)系進行驗證����,也就是說����,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作;第二���,授權(quán)操作的過程比較簡單��,只需將授權(quán)頁面的鏈接復(fù)制下來��,通過聊天軟件發(fā)送給他人“簽約”���,就可以在不同電腦上實現(xiàn)授權(quán)。對于普通用戶來說����,有些銀行的授權(quán)頁面提示信息也過于晦澀���,有可能忽視其中的安全隱患;第三����,部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬���。在此過程中��,并不需要授權(quán)賬戶進行二次確認���,因此也無法阻止賬戶余額被轉(zhuǎn)走;第四����,個別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜,甚至只允許被授權(quán)賬戶確認解除����。
記者了解到,在簽約“超級網(wǎng)銀”時,銀行確實未對雙方身份和關(guān)系進行驗證���,沒有親屬和血緣關(guān)系的雙方也都可以簽約“超級網(wǎng)銀”��。但是簽約時必須需要雙方的網(wǎng)銀UKEY和支付密碼���。一旦“超級網(wǎng)銀”授權(quán)完成后,資金轉(zhuǎn)出也確實無需再經(jīng)本人同意確認�。
“簽約要求是很多的,我前幾天給妻子授權(quán)���,試驗了三四次都失敗了呢!”上述專家表示��,授權(quán)操作還是比較嚴格的��。他還指出�,在客戶授權(quán)后的連續(xù)轉(zhuǎn)賬,這個確實和其他支付不一樣����。“授權(quán)之后別人就有了你賬戶的完全操作權(quán)���,自然可以連續(xù)轉(zhuǎn)賬���,按照一筆5萬元�,兩筆就轉(zhuǎn)完10萬元了�,因此24秒內(nèi)轉(zhuǎn)走10萬元一點也不奇怪。普通的轉(zhuǎn)賬每次都需要授權(quán)����,而“超級網(wǎng)銀”一旦授權(quán)就可以連續(xù)操作,這是它與眾不同的地方����。”
奇虎360公司安全專家萬仁國介紹說����,“超級網(wǎng)銀”授權(quán)并不會對雙方身份和關(guān)系進行驗證,也就是說�,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作。一旦有不法分子利用規(guī)則��,忽悠用戶授權(quán)支付����,就可瞬間移走資金。“‘超級網(wǎng)銀’在技術(shù)層面上沒有任何安全漏洞����,是授權(quán)規(guī)則被不法分子利用了��!比f仁國向記者強調(diào)�,從近期出現(xiàn)的“超級網(wǎng)銀”授權(quán)詐騙案例來看,全都是消費者在網(wǎng)購過程中被騙子誤導���,以“交易卡單”����、“解凍”����、“退款”等名義發(fā)來授權(quán)鏈接�,這實際上就是利用網(wǎng)銀用戶對“超級網(wǎng)銀”的無知來操作,在這一點上���,網(wǎng)銀用戶的安全意識十分薄弱�。
“從這個意義上講��,網(wǎng)銀用戶要提高自我的風險防范意識����!便y行專家表示,盡量不要授權(quán)他人查詢本人賬戶和授權(quán)他人支付本人資金屬高風險交易行為���,請務(wù)必小心謹慎�,嚴防詐騙�,并定期關(guān)注賬戶資金變動情況。在日常使用中也不要通過電子郵件以及QQ�、msn、旺旺等即時通信工具對話信息中的網(wǎng)址登錄銀行或者淘寶等商戶網(wǎng)站����,同時,也不要隨意接收和打開賣家傳送的文件���。在發(fā)現(xiàn)賬戶存在欺詐風險時��,及時撥打銀行熱線電話對賬戶進行掛失等手段以保障賬戶資金安全����。
