因為方便,現(xiàn)在很多人用上了超級網(wǎng)銀。不過,超級網(wǎng)銀可能有安全漏洞。360互聯(lián)網(wǎng)安全中心昨日發(fā)布重大安全警報稱,“超級網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo),近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例。
安徽省的陳女士,在一家購物網(wǎng)站看中一件200元的衣服,店家表示需要向廠家訂貨,再由陳女士來進(jìn)行支付,并向陳女士提供了一個“代付鏈接”。(注:代付操作是一種網(wǎng)購服務(wù),即甲購買商品,但由乙來付款)
陳女士在代付鏈接上進(jìn)行了支付,卻無法查到交易記錄,于是向店家咨詢。店家表示:“由于系統(tǒng)異常,無法正常顯示交易訂單,請聯(lián)系客服解凍訂單”,并發(fā)給陳女士一個QQ號。陳女士沒有多想,便與店家提供的客服QQ進(jìn)行了聯(lián)系??头Q表示:要解凍訂單,需要進(jìn)行“簽約授權(quán)”操作,并提供了一個鏈接。
陳女士點開了上述鏈接,按照客服QQ的提示進(jìn)行了逐步操作,但隨后便發(fā)現(xiàn)網(wǎng)銀賬戶的資金出現(xiàn)異常。在之后約5分鐘時間內(nèi),騙子先后分6次,從陳女士賬戶中轉(zhuǎn)走了108800元,其中,前兩筆金額各為5萬元的轉(zhuǎn)賬,時間間隔僅為24秒。
行外人肯定看不出這中間哪個環(huán)節(jié)出錯了,一切都好像正常流程一樣,對此,記者通過“超級網(wǎng)銀”還原了陳女士的被騙過程,最關(guān)鍵的一環(huán),就是“超級網(wǎng)銀”的授權(quán)支付功能。
記者登錄本人網(wǎng)銀賬戶,選擇“簽約他行賬戶”,在取得A先生的戶名、賬號及開戶行信息,輸入后就會跳轉(zhuǎn)到A先生開戶行的網(wǎng)銀頁面。然后將此頁面鏈接發(fā)給A先生,A先生在電腦上輸入證件號碼或用戶昵稱,登錄密碼和附加碼,就直接進(jìn)入“他行支付協(xié)議簽約流程”。需要強調(diào)的是,這其中最關(guān)鍵就是需要A先生插入U盾,在A先生確認(rèn)支付協(xié)議后,完成交易,他的賬戶就基本上交由記者來操作了,包括轉(zhuǎn)賬。
某銀行電子銀行部負(fù)責(zé)人說,除了“跨行資金歸集業(yè)務(wù)”,一般客戶很少了解和使用“超級網(wǎng)銀”中的授權(quán)操作功能,因此給騙子可乘之機。陳女士所犯的致命錯誤是將賬號、開戶行等信息告訴了對方,然后在不知風(fēng)險的情況下,登錄網(wǎng)銀,插入U盾,確認(rèn)、簽訂了跨行支付協(xié)議。這位負(fù)責(zé)人說,一般銀行客戶能守住密碼,卻不知熟悉“超級網(wǎng)銀”功能的騙子在無需獲取密碼的情況下,引導(dǎo)受害人一步步交出賬戶控制權(quán)。
360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn),目前“超級網(wǎng)銀”的授權(quán)操作存在的安全風(fēng)險主要包括以下幾點:
第一,“超級網(wǎng)銀”授權(quán)不會對雙方身份和關(guān)系進(jìn)行驗證,也就是說,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。
第二,授權(quán)操作的過程比較簡單,只需將授權(quán)頁面的鏈接復(fù)制下來,通過聊天軟件發(fā)送給他人“簽約”,就可以在不同電腦上實現(xiàn)授權(quán)。對于普通用戶來說,有些銀行的授權(quán)頁面提示信息也過于晦澀,有可能忽視其中的安全隱患。
第三,部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬。
第四,個別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜,甚至只允許被授權(quán)賬戶確認(rèn)解除。
從近期出現(xiàn)的“超級網(wǎng)銀”授權(quán)詐騙案例來看,全都是消費者在網(wǎng)購過程中被騙子誤導(dǎo),例如騙子以“交易卡單”等名義發(fā)來授權(quán)鏈接,忽悠消費者對交易資金“解凍”,實際上是把整個網(wǎng)銀賬戶都授權(quán)給騙子隨意轉(zhuǎn)賬?!皩τ诰W(wǎng)銀用戶來說,更嚴(yán)重的風(fēng)險在于安全意識薄弱?!?60安全專家表示。
銀行人士提醒,為了保證支付安全,要對網(wǎng)銀設(shè)置轉(zhuǎn)賬限額者在超級網(wǎng)銀中指定收款人,如果僅僅是查詢,可以關(guān)閉“支付”功能,在網(wǎng)購時,不要相信所謂的卡單、掉單和解凍資金等說法,絕對不能將賬戶授權(quán)給陌生人。
更多內(nèi)容請關(guān)注專業(yè)信貸服務(wù)平臺——卡寶寶。