近日,360安全中心發(fā)布重大安全警報(bào)稱(chēng),近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶(hù)被騙案例,均因?yàn)椤俺?jí)網(wǎng)銀”跨行賬戶(hù)管理功能被黑客惡意利用。
安徽的受害用戶(hù)陳女士在短短24秒內(nèi),其銀行賬戶(hù)10萬(wàn)元就被洗劫一空。據(jù)了解,騙子利用了目前“超級(jí)網(wǎng)銀”的授權(quán)操作過(guò)于簡(jiǎn)單、身份驗(yàn)證機(jī)制不完善等問(wèn)題,對(duì)網(wǎng)購(gòu)消費(fèi)者進(jìn)行詐騙。
“超級(jí)網(wǎng)銀”真的漏洞很多嗎?那普通老百姓還可以放心使用嗎?
或是中了“釣魚(yú)”軟件的招
記者近日采訪(fǎng)了某國(guó)有大銀行浙江省分行電子銀行部的總經(jīng)理。他解釋說(shuō),“超級(jí)網(wǎng)銀”作為央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品,風(fēng)險(xiǎn)還是可以得到控制的。“這個(gè)案例講得很清楚,我猜測(cè)和以往的“釣魚(yú)”軟件類(lèi)似,客戶(hù)泄露了所有的信息,錢(qián)被盜取也不奇怪,不能簡(jiǎn)單地把責(zé)任推到‘超級(jí)網(wǎng)銀’身上”。他說(shuō),關(guān)鍵還是在于個(gè)人要有較強(qiáng)的風(fēng)險(xiǎn)防范意識(shí),對(duì)一些陌生的鏈接還是不要輕易接觸使用。
據(jù)受害者陳女士講述,前幾天自己在網(wǎng)上購(gòu)買(mǎi)了一件279元的衣服,是通過(guò)賣(mài)家發(fā)來(lái)的購(gòu)物鏈接付款的,但之后卻發(fā)現(xiàn)沒(méi)有交易記錄。而賣(mài)家給出的理由是系統(tǒng)異常,需要陳女士使用QQ聯(lián)系他們的“客服”進(jìn)行解凍,實(shí)際上所謂的“客服”是騙子偽裝的,隨后騙子還特意詢(xún)問(wèn)了陳女士所使用的網(wǎng)銀,最終發(fā)來(lái)一個(gè)建行的“簽約授權(quán)”鏈接,陳女士誤信了騙子的說(shuō)辭點(diǎn)擊了授權(quán)最終被騙。“這其實(shí)和普通的網(wǎng)上詐騙差不多,你點(diǎn)擊的鏈接就是騙子的“釣魚(yú)”頁(yè)面,你點(diǎn)擊了肯定就上當(dāng)受騙了!”上述專(zhuān)家解釋說(shuō),不能把被騙的責(zé)任推到“超級(jí)網(wǎng)銀”身上。
有些金融常識(shí)的人都清楚,“超級(jí)網(wǎng)銀”其實(shí)是銀行之間的結(jié)算系統(tǒng),是標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品,能夠方便用戶(hù)實(shí)時(shí)跨行管理不同的銀行賬戶(hù)。通俗地說(shuō),就是可以用一個(gè)網(wǎng)銀賬戶(hù),實(shí)現(xiàn)多張銀行卡的跨行查詢(xún)和轉(zhuǎn)賬,國(guó)內(nèi)絕大多數(shù)銀行均默認(rèn)支持該項(xiàng)功能。此前微博上被熱炒的“只要老公賬戶(hù)上的資金余額超過(guò)1000元,超出部分就會(huì)自動(dòng)被劃轉(zhuǎn)到老婆的賬戶(hù)”,其實(shí)就是基于“超級(jí)網(wǎng)銀”的資金歸集功能實(shí)現(xiàn)的。不過(guò),要實(shí)現(xiàn)“授權(quán)他行支付”功能,兩張銀行卡之間必須先“簽約授權(quán)”。
“超級(jí)網(wǎng)銀”四個(gè)漏洞要小心
360互聯(lián)網(wǎng)安全中心發(fā)布的報(bào)告指出“超級(jí)網(wǎng)銀”的四個(gè)漏洞:第一,“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證,也就是說(shuō),網(wǎng)銀用戶(hù)可以授權(quán)任何人對(duì)自己的賬戶(hù)進(jìn)行查詢(xún)和轉(zhuǎn)賬操作;第二,授權(quán)操作的過(guò)程比較簡(jiǎn)單,只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái),通過(guò)聊天軟件發(fā)送給他人“簽約”,就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對(duì)于普通用戶(hù)來(lái)說(shuō),有些銀行的授權(quán)頁(yè)面提示信息也過(guò)于晦澀,有可能忽視其中的安全隱患;第三,部分銀行沒(méi)有在授權(quán)界面中提醒用戶(hù)設(shè)置額度,獲得授權(quán)的賬戶(hù)可以無(wú)限制轉(zhuǎn)賬。在此過(guò)程中,并不需要授權(quán)賬戶(hù)進(jìn)行二次確認(rèn),因此也無(wú)法阻止賬戶(hù)余額被轉(zhuǎn)走;第四,個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜,甚至只允許被授權(quán)賬戶(hù)確認(rèn)解除。
記者了解到,在簽約“超級(jí)網(wǎng)銀”時(shí),銀行確實(shí)未對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證,沒(méi)有親屬和血緣關(guān)系的雙方也都可以簽約“超級(jí)網(wǎng)銀”。但是簽約時(shí)必須需要雙方的網(wǎng)銀UKEY和支付密碼。一旦“超級(jí)網(wǎng)銀”授權(quán)完成后,資金轉(zhuǎn)出也確實(shí)無(wú)需再經(jīng)本人同意確認(rèn)。
“簽約要求是很多的,我前幾天給妻子授權(quán),試驗(yàn)了三四次都失敗了呢!”上述專(zhuān)家表示,授權(quán)操作還是比較嚴(yán)格的。他還指出,在客戶(hù)授權(quán)后的連續(xù)轉(zhuǎn)賬,這個(gè)確實(shí)和其他支付不一樣。“授權(quán)之后別人就有了你賬戶(hù)的完全操作權(quán),自然可以連續(xù)轉(zhuǎn)賬,按照一筆5萬(wàn)元,兩筆就轉(zhuǎn)完10萬(wàn)元了,因此24秒內(nèi)轉(zhuǎn)走10萬(wàn)元一點(diǎn)也不奇怪。普通的轉(zhuǎn)賬每次都需要授權(quán),而“超級(jí)網(wǎng)銀”一旦授權(quán)就可以連續(xù)操作,這是它與眾不同的地方。”
奇虎360公司安全專(zhuān)家萬(wàn)仁國(guó)介紹說(shuō),“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證,也就是說(shuō),網(wǎng)銀用戶(hù)可以授權(quán)任何人對(duì)自己的賬戶(hù)進(jìn)行查詢(xún)和轉(zhuǎn)賬操作。一旦有不法分子利用規(guī)則,忽悠用戶(hù)授權(quán)支付,就可瞬間移走資金。“‘超級(jí)網(wǎng)銀’在技術(shù)層面上沒(méi)有任何安全漏洞,是授權(quán)規(guī)則被不法分子利用了。”萬(wàn)仁國(guó)向記者強(qiáng)調(diào),從近期出現(xiàn)的“超級(jí)網(wǎng)銀”授權(quán)詐騙案例來(lái)看,全都是消費(fèi)者在網(wǎng)購(gòu)過(guò)程中被騙子誤導(dǎo),以“交易卡單”、“解凍”、“退款”等名義發(fā)來(lái)授權(quán)鏈接,這實(shí)際上就是利用網(wǎng)銀用戶(hù)對(duì)“超級(jí)網(wǎng)銀”的無(wú)知來(lái)操作,在這一點(diǎn)上,網(wǎng)銀用戶(hù)的安全意識(shí)十分薄弱。
“從這個(gè)意義上講,網(wǎng)銀用戶(hù)要提高自我的風(fēng)險(xiǎn)防范意識(shí)。”銀行專(zhuān)家表示,盡量不要授權(quán)他人查詢(xún)本人賬戶(hù)和授權(quán)他人支付本人資金屬高風(fēng)險(xiǎn)交易行為,請(qǐng)務(wù)必小心謹(jǐn)慎,嚴(yán)防詐騙,并定期關(guān)注賬戶(hù)資金變動(dòng)情況。在日常使用中也不要通過(guò)電子郵件以及QQ、msn、旺旺等即時(shí)通信工具對(duì)話(huà)信息中的網(wǎng)址登錄銀行或者淘寶等商戶(hù)網(wǎng)站,同時(shí),也不要隨意接收和打開(kāi)賣(mài)家傳送的文件。在發(fā)現(xiàn)賬戶(hù)存在欺詐風(fēng)險(xiǎn)時(shí),及時(shí)撥打銀行熱線(xiàn)電話(huà)對(duì)賬戶(hù)進(jìn)行掛失等手段以保障賬戶(hù)資金安全。