中國經濟網編者按:360互聯網安全中心于5月28日發布重大安全警報稱,“超級網銀”跨行賬戶管理功能已經成為黑客惡意利用的目標,近期全國連續出現多起各大銀行客戶被騙案例。據了解,目前多數銀行的“超級網銀”業務存在種種弊端,如部分銀行對轉賬授權風險提示不明顯、解除授權程序繁瑣等。
業內人士指出,超級網銀用一個網銀賬戶實現多張銀行卡的跨行查詢和轉賬,也意味著,自己的銀行賬戶也可授權給別人任意轉賬,一旦不法分子獲取他人賬戶的授權,就可將對方賬戶余額盜走。
“超級網銀”漏洞 取消授權需對方申請
5月28日, 360互聯網安全中心發布了超級網銀風險提示,并曝出該產品多次被黑客利用的案例。超級網銀作為央行2009年研發并力推的標準化跨銀行網上金融服務產品,四年來一直默默無聞,卻因360舉動被推上了風口浪尖。
360互聯網安全中心發現,目前“超級網銀”的授權操作存在的安全風險主要包括:第一,“超級網銀”授權并不會對雙方身份和關系進行驗證,也就是說,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作;第二,授權操作的過程比較簡單,只需將授權頁面的鏈接復制下來,通過聊天軟件發送給他人“簽約”,就可以在不同電腦上實現授權;第三,部分銀行沒有在授權界面中提醒用戶設置額度,獲得授權的賬戶可以無限制轉賬。
客戶在銀行開通超級網銀時雖方便快捷,但在解除授權時卻會遇到多種麻煩。某股份制銀行表示,用戶授權后無法單方面解約,而需被授權方發起解約申請。另一家股份制銀行則表示,若用戶在簽約授權后想要解除,可通過網上銀行相關按鈕進行單方面解約,但必須要有對方U盾才能操作。更有銀行表示,對他行授權給該行的超級網銀賬戶不允許對方單方面解除。
此外,多家銀行的超級網銀在轉賬的過程中,銀行對轉賬授權的提示均不明顯,如某國有銀行僅有一次授權支付協議簽署提示,且只用黑色小字提示。此外,各銀行對超級網銀轉賬上限的設置也不同,不同銀行間的轉賬上限甚至相差百倍。如某國有銀行規定,新開通超級網銀的客戶,單筆最高限額和每日的最高限額都是5000元,而另一家銀行網銀轉賬限額則是單筆5萬元、每日限額高達500萬元。
案例:“代付鏈接”操作 24秒被騙10萬
安徽陳女士于5月21日晚間在淘寶上選衣服,在選中一款標價為279元的韓版服裝后,經討價還價,店主同意以200元的價格將衣服賣給陳女士。但需要由首先向廠家訂貨,之后再由陳女士來進行支付,并向陳女士提供了一個“代付鏈接”。
此后,陳女士在代付鏈接上進行了支付,但卻始終無法在自己的淘寶賬戶中查到交易記錄。店家表示,由于系統出現異常,陳女士所購買的商品無法正常顯示交易定單,需抓緊時間聯系異常訂單處理中心客服解凍。這名“異常訂單處理中心”客服QQ表示:要解凍之前的訂單,需要進行“簽約授權”操作,并在詢問了陳女士使用的是哪家銀行后,提供了一個鏈接。
陳女士點開了上述鏈接,并按照客服QQ的提示進行了逐步操作,但隨后便立即發現自己網銀賬戶的資金異常。在之后不足5分鐘左右的時間里,騙子先后分6次,從陳女士賬戶中轉走了10萬8千8百元,加上先前通過代付鏈接騙取的200元,總共從陳女士那里騙走了10萬9千元。等到陳女士確信自己被騙時,賬戶中的資金余額已經僅剩40.38元。賬單顯示,所有資金都被轉入了一個姓葉的人的賬戶中。
據陳女士說:她在發現第一筆轉賬行為后,便立即開始撥打銀行的客服電話,希望能盡快凍結自己的銀行賬戶。但等到她撥通銀行客服時,賬戶資金已經被幾乎全部轉走了。從銀行賬單記錄來看,前兩筆金額各為5萬元的轉賬,時間間隔僅為24秒,到最后一筆轉賬完成也只有不到5分鐘。在這么短的時間里,實際上陳女士采取任何補救措施都是來不及的。
在此案例中,陳女士遭遇的實際上是連環欺詐:騙子首先通過發送商品的代付鏈接,完成了第一次欺詐;之后又利用代付交易不會在淘寶賬戶上生成交易記錄的特點,以卡單、系統出現異常等借口將陳女士誘騙到虛假客服,最終通過虛假客服完成了授權支付的欺詐。
超級網銀授權示意圖(圖片來自360網站)
防騙指南
1、一旦網絡交易出現異常,應當首先通過官方渠道聯系客服,而不要輕信網絡店家發來的客服聊天號碼;特別是在淘寶上購物,不能相信QQ客服;
2、了解代付規則,謹慎進行代付操作;
3、不要相信所謂的卡單、掉單、解凍資金等說法,這些說法都是詐騙專用術語;
4、絕對不能將自己的賬戶授權給陌生人或陌生賬戶;
5、目前,很多銀行只支持授權簽約操作,但卻不支持解約操作;即在某些銀行的網銀中,一旦完成授權,就只能由被授權一方來發起解約,而授權一方反而無法解約;因此,當發現自己已經被騙時,應立即聯系銀行凍結賬戶或掛失銀行卡,否則就無法有效的阻止賬戶資金被繼續轉出;
6、對自己的網銀賬戶設置單日最高轉賬限額,以控制風險;一旦發生經濟損失,應及時報案。
名詞解釋:
超級網銀:“超級網銀”是2009年央行研發的標準化跨銀行網上金融服務產品,可以用一個網銀賬戶,實現多張銀行卡的跨行查詢和轉賬。而將不同銀行的賬戶關聯到某個指定銀行賬戶的過程,就是“授權”操作。
代付鏈接:代付操作是淘寶提供的一種網購服務,即甲購買商品,但由乙來付款。“代付鏈接”就是店主買了東西生成的一個鏈接,交給買家,由買家進行支付。進行代付操作,付款人只能查到資金支出記錄,但淘寶賬戶中不會生成交易記錄。