中國經濟網編者按:360互聯網安全中心于5月28日發布重大安全警報稱,“超級網銀”跨行賬戶管理功能已經成為黑客惡意利用的目標,近期全國連續出現多起各大銀行客戶被騙案例。據了解���,目前多數銀行的“超級網銀”業務存在種種弊端��,如部分銀行對轉賬授權風險提示不明顯��、解除授權程序繁瑣等。
業內人士指出�,超級網銀用一個網銀賬戶實現多張銀行卡的跨行查詢和轉賬����,也意味著�����,自己的銀行賬戶也可授權給別人任意轉賬�����,一旦不法分子獲取他人賬戶的授權,就可將對方賬戶余額盜走。
“超級網銀”漏洞 取消授權需對方申請
5月28日, 360互聯網安全中心發布了超級網銀風險提示��,并曝出該產品多次被黑客利用的案例����。超級網銀作為央行2009年研發并力推的標準化跨銀行網上金融服務產品,四年來一直默默無聞,卻因360舉動被推上了風口浪尖。
360互聯網安全中心發現,目前“超級網銀”的授權操作存在的安全風險主要包括:第一��,“超級網銀”授權并不會對雙方身份和關系進行驗證�����,也就是說����,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作���;第二�����,授權操作的過程比較簡單,只需將授權頁面的鏈接復制下來����,通過聊天軟件發送給他人“簽約”��,就可以在不同電腦上實現授權;第三��,部分銀行沒有在授權界面中提醒用戶設置額度��,獲得授權的賬戶可以無限制轉賬�����。
客戶在銀行開通超級網銀時雖方便快捷,但在解除授權時卻會遇到多種麻煩���。某股份制銀行表示��,用戶授權后無法單方面解約,而需被授權方發起解約申請��。另一家股份制銀行則表示����,若用戶在簽約授權后想要解除,可通過網上銀行相關按鈕進行單方面解約����,但必須要有對方U盾才能操作�。更有銀行表示�,對他行授權給該行的超級網銀賬戶不允許對方單方面解除�。
此外,多家銀行的超級網銀在轉賬的過程中�����,銀行對轉賬授權的提示均不明顯��,如某國有銀行僅有一次授權支付協議簽署提示�����,且只用黑色小字提示。此外�����,各銀行對超級網銀轉賬上限的設置也不同��,不同銀行間的轉賬上限甚至相差百倍��。如某國有銀行規定,新開通超級網銀的客戶��,單筆最高限額和每日的最高限額都是5000元�,而另一家銀行網銀轉賬限額則是單筆5萬元、每日限額高達500萬元����。
案例:“代付鏈接”操作 24秒被騙10萬
安徽陳女士于5月21日晚間在淘寶上選衣服�����,在選中一款標價為279元的韓版服裝后,經討價還價�,店主同意以200元的價格將衣服賣給陳女士��。但需要由首先向廠家訂貨,之后再由陳女士來進行支付���,并向陳女士提供了一個“代付鏈接”��。
此后����,陳女士在代付鏈接上進行了支付����,但卻始終無法在自己的淘寶賬戶中查到交易記錄。店家表示,由于系統出現異常����,陳女士所購買的商品無法正常顯示交易定單��,需抓緊時間聯系異常訂單處理中心客服解凍。這名“異常訂單處理中心”客服QQ表示:要解凍之前的訂單,需要進行“簽約授權”操作�����,并在詢問了陳女士使用的是哪家銀行后�,提供了一個鏈接。
陳女士點開了上述鏈接,并按照客服QQ的提示進行了逐步操作����,但隨后便立即發現自己網銀賬戶的資金異常��。在之后不足5分鐘左右的時間里,騙子先后分6次,從陳女士賬戶中轉走了10萬8千8百元��,加上先前通過代付鏈接騙取的200元�����,總共從陳女士那里騙走了10萬9千元����。等到陳女士確信自己被騙時��,賬戶中的資金余額已經僅剩40.38元��。賬單顯示,所有資金都被轉入了一個姓葉的人的賬戶中。
據陳女士說:她在發現第一筆轉賬行為后����,便立即開始撥打銀行的客服電話����,希望能盡快凍結自己的銀行賬戶�。但等到她撥通銀行客服時,賬戶資金已經被幾乎全部轉走了。從銀行賬單記錄來看,前兩筆金額各為5萬元的轉賬�,時間間隔僅為24秒����,到最后一筆轉賬完成也只有不到5分鐘����。在這么短的時間里,實際上陳女士采取任何補救措施都是來不及的�����。
在此案例中�,陳女士遭遇的實際上是連環欺詐:騙子首先通過發送商品的代付鏈接,完成了第一次欺詐���;之后又利用代付交易不會在淘寶賬戶上生成交易記錄的特點,以卡單、系統出現異常等借口將陳女士誘騙到虛假客服�����,最終通過虛假客服完成了授權支付的欺詐�����。
超級網銀授權示意圖(圖片來自360網站)
防騙指南
1、一旦網絡交易出現異常��,應當首先通過官方渠道聯系客服�,而不要輕信網絡店家發來的客服聊天號碼;特別是在淘寶上購物�����,不能相信QQ客服�;
2、了解代付規則��,謹慎進行代付操作��;
3�、不要相信所謂的卡單�、掉單、解凍資金等說法�����,這些說法都是詐騙專用術語���;
4����、絕對不能將自己的賬戶授權給陌生人或陌生賬戶;
5�、目前�����,很多銀行只支持授權簽約操作,但卻不支持解約操作���;即在某些銀行的網銀中,一旦完成授權�����,就只能由被授權一方來發起解約����,而授權一方反而無法解約;因此�,當發現自己已經被騙時�����,應立即聯系銀行凍結賬戶或掛失銀行卡,否則就無法有效的阻止賬戶資金被繼續轉出���;
6、對自己的網銀賬戶設置單日最高轉賬限額���,以控制風險;一旦發生經濟損失�����,應及時報案�。
名詞解釋:
超級網銀:“超級網銀”是2009年央行研發的標準化跨銀行網上金融服務產品,可以用一個網銀賬戶���,實現多張銀行卡的跨行查詢和轉賬。而將不同銀行的賬戶關聯到某個指定銀行賬戶的過程���,就是“授權”操作。
代付鏈接:代付操作是淘寶提供的一種網購服務���,即甲購買商品,但由乙來付款�������!按舵溄印本褪堑曛髻I了東西生成的一個鏈接,交給買家,由買家進行支付。進行代付操作,付款人只能查到資金支出記錄�,但淘寶賬戶中不會生成交易記錄�。
