近日,360安全中心發佈重大安全警報稱,近期全國連續出現多起各大銀行客戶被騙案例,均因為“超級網銀”跨行賬戶管理功能被駭客惡意利用。
安徽的受害用戶陳女士在短短24秒內,其銀行賬戶10萬元就被洗劫一空。據了解,騙子利用了目前“超級網銀”的授權操作過於簡單、身份驗證機制不完善等問題,對網購消費者進行詐騙。
“超級網銀”真的漏洞很多嗎?那普通老百姓還可以放心使用嗎?
或是中了“釣魚”軟體的招
記者近日採訪了某國有大銀行浙江省分行電子銀行部的總經理。他解釋説,“超級網銀”作為央行研發的標準化跨銀行網上金融服務産品,風險還是可以得到控制的。“這個案例講得很清楚,我猜測和以往的“釣魚”軟體類似,客戶洩露了所有的資訊,錢被盜取也不奇怪,不能簡單地把責任推到‘超級網銀’身上”。他説,關鍵還是在於個人要有較強的風險防範意識,對一些陌生的連結還是不要輕易接觸使用。
據受害者陳女士講述,前幾天自己在網上購買了一件279元的衣服,是通過賣家發來的購物連結付款的,但之後卻發現沒有交易記錄。而賣家給出的理由是系統異常,需要陳女士使用QQ聯繫他們的“客服”進行解凍,實際上所謂的“客服”是騙子偽裝的,隨後騙子還特意詢問了陳女士所使用的網銀,最終發來一個建行的“簽約授權”連結,陳女士誤信了騙子的説辭點擊了授權最終被騙。“這其實和普通的網上詐騙差不多,你點擊的連結就是騙子的“釣魚”頁面,你點擊了肯定就上當受騙了!”上述專家解釋説,不能把被騙的責任推到“超級網銀”身上。
有些金融常識的人都清楚,“超級網銀”其實是銀行之間的結算系統,是標準化跨銀行網上金融服務産品,能夠方便用戶實時跨行管理不同的銀行賬戶。通俗地説,就是可以用一個網銀賬戶,實現多張銀行卡的跨行查詢和轉賬,國內絕大多數銀行均默認支援該項功能。此前微博上被熱炒的“只要老公賬戶上的資金餘額超過1000元,超出部分就會自動被劃轉到老婆的賬戶”,其實就是基於“超級網銀”的資金歸集功能實現的。不過,要實現“授權他行支付”功能,兩張銀行卡之間必須先“簽約授權”。
“超級網銀”四個漏洞要小心
360網際網路安全中心發佈的報告指出“超級網銀”的四個漏洞:第一,“超級網銀”授權並不會對雙方身份和關係進行驗證,也就是説,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作;第二,授權操作的過程比較簡單,只需將授權頁面的連結複製下來,通過聊天軟體發送給他人“簽約”,就可以在不同電腦上實現授權。對於普通用戶來説,有些銀行的授權頁面提示資訊也過於晦澀,有可能忽視其中的安全隱患;第三,部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬。在此過程中,並不需要授權賬戶進行二次確認,因此也無法阻止賬戶餘額被轉走;第四,個別銀行解除授權的操作比授權更複雜,甚至只允許被授權賬戶確認解除。
記者了解到,在簽約“超級網銀”時,銀行確實未對雙方身份和關係進行驗證,沒有親屬和血緣關係的雙方也都可以簽約“超級網銀”。但是簽約時必須需要雙方的網銀UKEY和支付密碼。一旦“超級網銀”授權完成後,資金轉出也確實無需再經本人同意確認。
“簽約要求是很多的,我前幾天給妻子授權,試驗了三四次都失敗了呢!”上述專家表示,授權操作還是比較嚴格的。他還指出,在客戶授權後的連續轉賬,這個確實和其他支付不一樣。“授權之後別人就有了你賬戶的完全操作權,自然可以連續轉賬,按照一筆5萬元,兩筆就轉完10萬元了,因此24秒內轉走10萬元一點也不奇怪。普通的轉賬每次都需要授權,而“超級網銀”一旦授權就可以連續操作,這是它與眾不同的地方。”
奇虎360公司安全專家萬仁國介紹説,“超級網銀”授權並不會對雙方身份和關係進行驗證,也就是説,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。一旦有不法分子利用規則,忽悠用戶授權支付,就可瞬間移走資金。“‘超級網銀’在技術層面上沒有任何安全漏洞,是授權規則被不法分子利用了。”萬仁國向記者強調,從近期出現的“超級網銀”授權詐騙案例來看,全都是消費者在網購過程中被騙子誤導,以“交易卡單”、“解凍”、“退款”等名義發來授權連結,這實際上就是利用網銀用戶對“超級網銀”的無知來操作,在這一點上,網銀用戶的安全意識十分薄弱。
“從這個意義上講,網銀用戶要提高自我的風險防範意識。”銀行專家表示,儘量不要授權他人查詢本人賬戶和授權他人支付本人資金屬高風險交易行為,請務必小心謹慎,嚴防詐騙,並定期關注賬戶資金變動情況。在日常使用中也不要通過電子郵件以及QQ、msn、旺旺等即時通信工具對話資訊中的網址登錄銀行或者淘寶等商戶網站,同時,也不要隨意接收和打開賣家傳送的文件。在發現賬戶存在欺詐風險時,及時撥打銀行熱線電話對賬戶進行挂失等手段以保障賬戶資金安全。