近日,360安全中心發(fā)布重大安全警報(bào)稱����,近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶被騙案例���,均因?yàn)椤俺?jí)網(wǎng)銀”跨行賬戶管理功能被黑客惡意利用。
安徽的受害用戶陳女士在短短24秒內(nèi)�����,其銀行賬戶10萬(wàn)元就被洗劫一空�。據(jù)了解,騙子利用了目前“超級(jí)網(wǎng)銀”的授權(quán)操作過(guò)于簡(jiǎn)單���、身份驗(yàn)證機(jī)制不完善等問(wèn)題����,對(duì)網(wǎng)購(gòu)消費(fèi)者進(jìn)行詐騙�����。
“超級(jí)網(wǎng)銀”真的漏洞很多嗎�����?那普通老百姓還可以放心使用嗎�?
或是中了“釣魚”軟件的招
記者近日采訪了某國(guó)有大銀行浙江省分行電子銀行部的總經(jīng)理���。他解釋說(shuō),“超級(jí)網(wǎng)銀”作為央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品�,風(fēng)險(xiǎn)還是可以得到控制的���!斑@個(gè)案例講得很清楚���,我猜測(cè)和以往的“釣魚”軟件類似,客戶泄露了所有的信息����,錢被盜取也不奇怪,不能簡(jiǎn)單地把責(zé)任推到‘超級(jí)網(wǎng)銀’身上”���。他說(shuō)��,關(guān)鍵還是在于個(gè)人要有較強(qiáng)的風(fēng)險(xiǎn)防范意識(shí)����,對(duì)一些陌生的鏈接還是不要輕易接觸使用����。
據(jù)受害者陳女士講述,前幾天自己在網(wǎng)上購(gòu)買了一件279元的衣服��,是通過(guò)賣家發(fā)來(lái)的購(gòu)物鏈接付款的����,但之后卻發(fā)現(xiàn)沒(méi)有交易記錄。而賣家給出的理由是系統(tǒng)異常���,需要陳女士使用QQ聯(lián)系他們的“客服”進(jìn)行解凍���,實(shí)際上所謂的“客服”是騙子偽裝的,隨后騙子還特意詢問(wèn)了陳女士所使用的網(wǎng)銀��,最終發(fā)來(lái)一個(gè)建行的“簽約授權(quán)”鏈接����,陳女士誤信了騙子的說(shuō)辭點(diǎn)擊了授權(quán)最終被騙����!斑@其實(shí)和普通的網(wǎng)上詐騙差不多,你點(diǎn)擊的鏈接就是騙子的“釣魚”頁(yè)面��,你點(diǎn)擊了肯定就上當(dāng)受騙了!”上述專家解釋說(shuō)����,不能把被騙的責(zé)任推到“超級(jí)網(wǎng)銀”身上。
有些金融常識(shí)的人都清楚��,“超級(jí)網(wǎng)銀”其實(shí)是銀行之間的結(jié)算系統(tǒng)���,是標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品��,能夠方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶��。通俗地說(shuō)����,就是可以用一個(gè)網(wǎng)銀賬戶�,實(shí)現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬,國(guó)內(nèi)絕大多數(shù)銀行均默認(rèn)支持該項(xiàng)功能�����。此前微博上被熱炒的“只要老公賬戶上的資金余額超過(guò)1000元���,超出部分就會(huì)自動(dòng)被劃轉(zhuǎn)到老婆的賬戶”��,其實(shí)就是基于“超級(jí)網(wǎng)銀”的資金歸集功能實(shí)現(xiàn)的�。不過(guò)��,要實(shí)現(xiàn)“授權(quán)他行支付”功能���,兩張銀行卡之間必須先“簽約授權(quán)”����。
“超級(jí)網(wǎng)銀”四個(gè)漏洞要小心
360互聯(lián)網(wǎng)安全中心發(fā)布的報(bào)告指出“超級(jí)網(wǎng)銀”的四個(gè)漏洞:第一��,“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證��,也就是說(shuō)�,網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作;第二����,授權(quán)操作的過(guò)程比較簡(jiǎn)單,只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)��,通過(guò)聊天軟件發(fā)送給他人“簽約”���,就可以在不同電腦上實(shí)現(xiàn)授權(quán)���。對(duì)于普通用戶來(lái)說(shuō)�����,有些銀行的授權(quán)頁(yè)面提示信息也過(guò)于晦澀���,有可能忽視其中的安全隱患;第三���,部分銀行沒(méi)有在授權(quán)界面中提醒用戶設(shè)置額度���,獲得授權(quán)的賬戶可以無(wú)限制轉(zhuǎn)賬。在此過(guò)程中�,并不需要授權(quán)賬戶進(jìn)行二次確認(rèn),因此也無(wú)法阻止賬戶余額被轉(zhuǎn)走���;第四���,個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜,甚至只允許被授權(quán)賬戶確認(rèn)解除���。
記者了解到���,在簽約“超級(jí)網(wǎng)銀”時(shí)�����,銀行確實(shí)未對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證����,沒(méi)有親屬和血緣關(guān)系的雙方也都可以簽約“超級(jí)網(wǎng)銀”��。但是簽約時(shí)必須需要雙方的網(wǎng)銀UKEY和支付密碼���。一旦“超級(jí)網(wǎng)銀”授權(quán)完成后,資金轉(zhuǎn)出也確實(shí)無(wú)需再經(jīng)本人同意確認(rèn)����。
“簽約要求是很多的,我前幾天給妻子授權(quán)��,試驗(yàn)了三四次都失敗了呢�!”上述專家表示,授權(quán)操作還是比較嚴(yán)格的����。他還指出����,在客戶授權(quán)后的連續(xù)轉(zhuǎn)賬����,這個(gè)確實(shí)和其他支付不一樣�����!笆跈(quán)之后別人就有了你賬戶的完全操作權(quán)�,自然可以連續(xù)轉(zhuǎn)賬,按照一筆5萬(wàn)元�,兩筆就轉(zhuǎn)完10萬(wàn)元了,因此24秒內(nèi)轉(zhuǎn)走10萬(wàn)元一點(diǎn)也不奇怪�����。普通的轉(zhuǎn)賬每次都需要授權(quán)����,而“超級(jí)網(wǎng)銀”一旦授權(quán)就可以連續(xù)操作,這是它與眾不同的地方������!
奇虎360公司安全專家萬(wàn)仁國(guó)介紹說(shuō)����,“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證���,也就是說(shuō)�,網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作�����。一旦有不法分子利用規(guī)則���,忽悠用戶授權(quán)支付,就可瞬間移走資金���������!啊(jí)網(wǎng)銀’在技術(shù)層面上沒(méi)有任何安全漏洞,是授權(quán)規(guī)則被不法分子利用了�����。”萬(wàn)仁國(guó)向記者強(qiáng)調(diào)����,從近期出現(xiàn)的“超級(jí)網(wǎng)銀”授權(quán)詐騙案例來(lái)看,全都是消費(fèi)者在網(wǎng)購(gòu)過(guò)程中被騙子誤導(dǎo)����,以“交易卡單”、“解凍”�、“退款”等名義發(fā)來(lái)授權(quán)鏈接,這實(shí)際上就是利用網(wǎng)銀用戶對(duì)“超級(jí)網(wǎng)銀”的無(wú)知來(lái)操作�����,在這一點(diǎn)上����,網(wǎng)銀用戶的安全意識(shí)十分薄弱。
“從這個(gè)意義上講�����,網(wǎng)銀用戶要提高自我的風(fēng)險(xiǎn)防范意識(shí)�����。”銀行專家表示��,盡量不要授權(quán)他人查詢本人賬戶和授權(quán)他人支付本人資金屬高風(fēng)險(xiǎn)交易行為���,請(qǐng)務(wù)必小心謹(jǐn)慎��,嚴(yán)防詐騙�����,并定期關(guān)注賬戶資金變動(dòng)情況���。在日常使用中也不要通過(guò)電子郵件以及QQ�����、msn�����、旺旺等即時(shí)通信工具對(duì)話信息中的網(wǎng)址登錄銀行或者淘寶等商戶網(wǎng)站��,同時(shí),也不要隨意接收和打開(kāi)賣家傳送的文件��。在發(fā)現(xiàn)賬戶存在欺詐風(fēng)險(xiǎn)時(shí)��,及時(shí)撥打銀行熱線電話對(duì)賬戶進(jìn)行掛失等手段以保障賬戶資金安全����。
