因为方便,现在很多人用上了超级网银。不过,超级网银可能有安全漏洞。360互联网安全中心昨日发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。
安徽省的陈女士,在一家购物网站看中一件200元的衣服,店家表示需要向厂家订货,再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。(注:代付操作是一种网购服务,即甲购买商品,但由乙来付款)
陈女士在代付链接上进行了支付,却无法查到交易记录,于是向店家咨询。店家表示:“由于系统异常,无法正常显示交易订单,请联系客服解冻订单”,并发给陈女士一个QQ号。陈女士没有多想,便与店家提供的客服QQ进行了联系。客服QQ表示:要解冻订单,需要进行“签约授权”操作,并提供了一个链接。
陈女士点开了上述链接,按照客服QQ的提示进行了逐步操作,但随后便发现网银账户的资金出现异常。在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了108800元,其中,前两笔金额各为5万元的转账,时间间隔仅为24秒。
行外人肯定看不出这中间哪个环节出错了,一切都好像正常流程一样,对此,记者通过“超级网银”还原了陈女士的被骗过程,最关键的一环,就是“超级网银”的授权支付功能。
记者登录本人网银账户,选择“签约他行账户”,在取得A先生的户名、账号及开户行信息,输入后就会跳转到A先生开户行的网银页面。然后将此页面链接发给A先生,A先生在电脑上输入证件号码或用户昵称,登录密码和附加码,就直接进入“他行支付协议签约流程”。需要强调的是,这其中最关键就是需要A先生插入U盾,在A先生确认支付协议后,完成交易,他的账户就基本上交由记者来操作了,包括转账。
某银行电子银行部负责人说,除了“跨行资金归集业务”,一般客户很少了解和使用“超级网银”中的授权操作功能,因此给骗子可乘之机。陈女士所犯的致命错误是将账号、开户行等信息告诉了对方,然后在不知风险的情况下,登录网银,插入U盾,确认、签订了跨行支付协议。这位负责人说,一般银行客户能守住密码,却不知熟悉“超级网银”功能的骗子在无需获取密码的情况下,引导受害人一步步交出账户控制权。
360互联网安全中心发现,目前“超级网银”的授权操作存在的安全风险主要包括以下几点:
第一,“超级网银”授权不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。
第二,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。对于普通用户来说,有些银行的授权页面提示信息也过于晦涩,有可能忽视其中的安全隐患。
第三,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。
第四,个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过程中被骗子误导,例如骗子以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是把整个网银账户都授权给骗子随意转账。“对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家表示。
银行人士提醒,为了保证支付安全,要对网银设置转账限额者在超级网银中指定收款人,如果仅仅是查询,可以关闭“支付”功能,在网购时,不要相信所谓的卡单、掉单和解冻资金等说法,绝对不能将账户授权给陌生人。
更多内容请关注专业信贷服务平台——卡宝宝。