24秒被轉(zhuǎn)走10萬(wàn) 超級(jí)網(wǎng)銀曝授權(quán)漏洞

因?yàn)榉奖悖F(xiàn)在很多人用上了超級(jí)網(wǎng)銀。不過(guò)，超級(jí)網(wǎng)銀可能有安全漏洞。360互聯(lián)網(wǎng)安全中心昨日發(fā)布重大安全警報(bào)稱，“超級(jí)網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo)，近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶被騙案例。

安徽省的陳女士，在一家購(gòu)物網(wǎng)站看中一件200元的衣服，店家表示需要向廠家訂貨，再由陳女士來(lái)進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”。（注：代付操作是一種網(wǎng)購(gòu)服務(wù)，即甲購(gòu)買(mǎi)商品，但由乙來(lái)付款）

陳女士在代付鏈接上進(jìn)行了支付，卻無(wú)法查到交易記錄，于是向店家咨詢。店家表示：“由于系統(tǒng)異常，無(wú)法正常顯示交易訂單，請(qǐng)聯(lián)系客服解凍訂單”，并發(fā)給陳女士一個(gè)QQ號(hào)。陳女士沒(méi)有多想，便與店家提供的客服QQ進(jìn)行了聯(lián)系。客服QQ表示：要解凍訂單，需要進(jìn)行“簽約授權(quán)”操作，并提供了一個(gè)鏈接。

陳女士點(diǎn)開(kāi)了上述鏈接，按照客服QQ的提示進(jìn)行了逐步操作，但隨后便發(fā)現(xiàn)網(wǎng)銀賬戶的資金出現(xiàn)異常。在之后約5分鐘時(shí)間內(nèi)，騙子先后分6次，從陳女士賬戶中轉(zhuǎn)走了108800元，其中，前兩筆金額各為5萬(wàn)元的轉(zhuǎn)賬，時(shí)間間隔僅為24秒。

行外人肯定看不出這中間哪個(gè)環(huán)節(jié)出錯(cuò)了，一切都好像正常流程一樣，對(duì)此，記者通過(guò)“超級(jí)網(wǎng)銀”還原了陳女士的被騙過(guò)程，最關(guān)鍵的一環(huán)，就是“超級(jí)網(wǎng)銀”的授權(quán)支付功能。
　　

記者登錄本人網(wǎng)銀賬戶，選擇“簽約他行賬戶”，在取得A先生的戶名、賬號(hào)及開(kāi)戶行信息，輸入后就會(huì)跳轉(zhuǎn)到A先生開(kāi)戶行的網(wǎng)銀頁(yè)面。然后將此頁(yè)面鏈接發(fā)給A先生，A先生在電腦上輸入證件號(hào)碼或用戶昵稱，登錄密碼和附加碼，就直接進(jìn)入“他行支付協(xié)議簽約流程”。需要強(qiáng)調(diào)的是，這其中最關(guān)鍵就是需要A先生插入U(xiǎn)盾，在A先生確認(rèn)支付協(xié)議后，完成交易，他的賬戶就基本上交由記者來(lái)操作了，包括轉(zhuǎn)賬。

某銀行電子銀行部負(fù)責(zé)人說(shuō)，除了“跨行資金歸集業(yè)務(wù)”，一般客戶很少了解和使用“超級(jí)網(wǎng)銀”中的授權(quán)操作功能，因此給騙子可乘之機(jī)。陳女士所犯的致命錯(cuò)誤是將賬號(hào)、開(kāi)戶行等信息告訴了對(duì)方，然后在不知風(fēng)險(xiǎn)的情況下，登錄網(wǎng)銀，插入U(xiǎn)盾，確認(rèn)、簽訂了跨行支付協(xié)議。這位負(fù)責(zé)人說(shuō)，一般銀行客戶能守住密碼，卻不知熟悉“超級(jí)網(wǎng)銀”功能的騙子在無(wú)需獲取密碼的情況下，引導(dǎo)受害人一步步交出賬戶控制權(quán)。
　　

360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)，目前“超級(jí)網(wǎng)銀”的授權(quán)操作存在的安全風(fēng)險(xiǎn)主要包括以下幾點(diǎn)：

第一，“超級(jí)網(wǎng)銀”授權(quán)不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說(shuō)，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。

第二，授權(quán)操作的過(guò)程比較簡(jiǎn)單，只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)，通過(guò)聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對(duì)于普通用戶來(lái)說(shuō)，有些銀行的授權(quán)頁(yè)面提示信息也過(guò)于晦澀，有可能忽視其中的安全隱患。

第三，部分銀行沒(méi)有在授權(quán)界面中提醒用戶設(shè)置額度，獲得授權(quán)的賬戶可以無(wú)限制轉(zhuǎn)賬。

第四，個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜，甚至只允許被授權(quán)賬戶確認(rèn)解除。

從近期出現(xiàn)的“超級(jí)網(wǎng)銀”授權(quán)詐騙案例來(lái)看，全都是消費(fèi)者在網(wǎng)購(gòu)過(guò)程中被騙子誤導(dǎo)，例如騙子以“交易卡單”等名義發(fā)來(lái)授權(quán)鏈接，忽悠消費(fèi)者對(duì)交易資金“解凍”，實(shí)際上是把整個(gè)網(wǎng)銀賬戶都授權(quán)給騙子隨意轉(zhuǎn)賬?！皩?duì)于網(wǎng)銀用戶來(lái)說(shuō)，更嚴(yán)重的風(fēng)險(xiǎn)在于安全意識(shí)薄弱?！?60安全專家表示。

銀行人士提醒，為了保證支付安全，要對(duì)網(wǎng)銀設(shè)置轉(zhuǎn)賬限額者在超級(jí)網(wǎng)銀中指定收款人，如果僅僅是查詢，可以關(guān)閉“支付”功能，在網(wǎng)購(gòu)時(shí)，不要相信所謂的卡單、掉單和解凍資金等說(shuō)法，絕對(duì)不能將賬戶授權(quán)給陌生人。

更多內(nèi)容請(qǐng)關(guān)注專業(yè)信貸服務(wù)平臺(tái)——卡寶寶。