中國經(jīng)濟網(wǎng)編者按:360互聯(lián)網(wǎng)安全中心于5月28日發(fā)布重大安全警報稱����,“超級網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo),近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例�。據(jù)了解,目前多數(shù)銀行的“超級網(wǎng)銀”業(yè)務(wù)存在種種弊端��,如部分銀行對轉(zhuǎn)賬授權(quán)風(fēng)險提示不明顯���、解除授權(quán)程序繁瑣等�����。
業(yè)內(nèi)人士指出�,超級網(wǎng)銀用一個網(wǎng)銀賬戶實現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬,也意味著�����,自己的銀行賬戶也可授權(quán)給別人任意轉(zhuǎn)賬�����,一旦不法分子獲取他人賬戶的授權(quán)�����,就可將對方賬戶余額盜走����。
“超級網(wǎng)銀”漏洞 取消授權(quán)需對方申請
5月28日, 360互聯(lián)網(wǎng)安全中心發(fā)布了超級網(wǎng)銀風(fēng)險提示��,并曝出該產(chǎn)品多次被黑客利用的案例�����。超級網(wǎng)銀作為央行2009年研發(fā)并力推的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品,四年來一直默默無聞�����,卻因360舉動被推上了風(fēng)口浪尖����。
360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn),目前“超級網(wǎng)銀”的授權(quán)操作存在的安全風(fēng)險主要包括:第一�,“超級網(wǎng)銀”授權(quán)并不會對雙方身份和關(guān)系進行驗證����,也就是說,網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作�����;第二���,授權(quán)操作的過程比較簡單�,只需將授權(quán)頁面的鏈接復(fù)制下來��,通過聊天軟件發(fā)送給他人“簽約”,就可以在不同電腦上實現(xiàn)授權(quán)�����;第三�����,部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度���,獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬�。
客戶在銀行開通超級網(wǎng)銀時雖方便快捷�,但在解除授權(quán)時卻會遇到多種麻煩。某股份制銀行表示���,用戶授權(quán)后無法單方面解約����,而需被授權(quán)方發(fā)起解約申請���。另一家股份制銀行則表示�,若用戶在簽約授權(quán)后想要解除��,可通過網(wǎng)上銀行相關(guān)按鈕進行單方面解約,但必須要有對方U盾才能操作���。更有銀行表示���,對他行授權(quán)給該行的超級網(wǎng)銀賬戶不允許對方單方面解除。
此外�����,多家銀行的超級網(wǎng)銀在轉(zhuǎn)賬的過程中��,銀行對轉(zhuǎn)賬授權(quán)的提示均不明顯����,如某國有銀行僅有一次授權(quán)支付協(xié)議簽署提示�����,且只用黑色小字提示����。此外,各銀行對超級網(wǎng)銀轉(zhuǎn)賬上限的設(shè)置也不同�����,不同銀行間的轉(zhuǎn)賬上限甚至相差百倍。如某國有銀行規(guī)定�,新開通超級網(wǎng)銀的客戶,單筆最高限額和每日的最高限額都是5000元�����,而另一家銀行網(wǎng)銀轉(zhuǎn)賬限額則是單筆5萬元��、每日限額高達500萬元���。
案例:“代付鏈接”操作 24秒被騙10萬
安徽陳女士于5月21日晚間在淘寶上選衣服�,在選中一款標(biāo)價為279元的韓版服裝后���,經(jīng)討價還價�����,店主同意以200元的價格將衣服賣給陳女士��。但需要由首先向廠家訂貨�����,之后再由陳女士來進行支付��,并向陳女士提供了一個“代付鏈接”�。
此后,陳女士在代付鏈接上進行了支付����,但卻始終無法在自己的淘寶賬戶中查到交易記錄。店家表示����,由于系統(tǒng)出現(xiàn)異常,陳女士所購買的商品無法正常顯示交易定單�����,需抓緊時間聯(lián)系異常訂單處理中心客服解凍���。這名“異常訂單處理中心”客服QQ表示:要解凍之前的訂單,需要進行“簽約授權(quán)”操作�,并在詢問了陳女士使用的是哪家銀行后,提供了一個鏈接�。
陳女士點開了上述鏈接,并按照客服QQ的提示進行了逐步操作�,但隨后便立即發(fā)現(xiàn)自己網(wǎng)銀賬戶的資金異常�。在之后不足5分鐘左右的時間里����,騙子先后分6次,從陳女士賬戶中轉(zhuǎn)走了10萬8千8百元����,加上先前通過代付鏈接騙取的200元,總共從陳女士那里騙走了10萬9千元����。等到陳女士確信自己被騙時,賬戶中的資金余額已經(jīng)僅剩40.38元����。賬單顯示,所有資金都被轉(zhuǎn)入了一個姓葉的人的賬戶中���。
據(jù)陳女士說:她在發(fā)現(xiàn)第一筆轉(zhuǎn)賬行為后��,便立即開始撥打銀行的客服電話��,希望能盡快凍結(jié)自己的銀行賬戶��。但等到她撥通銀行客服時��,賬戶資金已經(jīng)被幾乎全部轉(zhuǎn)走了�����。從銀行賬單記錄來看�,前兩筆金額各為5萬元的轉(zhuǎn)賬,時間間隔僅為24秒�,到最后一筆轉(zhuǎn)賬完成也只有不到5分鐘。在這么短的時間里��,實際上陳女士采取任何補救措施都是來不及的�。
在此案例中,陳女士遭遇的實際上是連環(huán)欺詐:騙子首先通過發(fā)送商品的代付鏈接����,完成了第一次欺詐;之后又利用代付交易不會在淘寶賬戶上生成交易記錄的特點�����,以卡單���、系統(tǒng)出現(xiàn)異常等借口將陳女士誘騙到虛假客服,最終通過虛假客服完成了授權(quán)支付的欺詐�����。
超級網(wǎng)銀授權(quán)示意圖(圖片來自360網(wǎng)站)
防騙指南
1、一旦網(wǎng)絡(luò)交易出現(xiàn)異常��,應(yīng)當(dāng)首先通過官方渠道聯(lián)系客服����,而不要輕信網(wǎng)絡(luò)店家發(fā)來的客服聊天號碼;特別是在淘寶上購物�,不能相信QQ客服;
2�����、了解代付規(guī)則�����,謹(jǐn)慎進行代付操作��;
3��、不要相信所謂的卡單�、掉單、解凍資金等說法,這些說法都是詐騙專用術(shù)語���;
4�、絕對不能將自己的賬戶授權(quán)給陌生人或陌生賬戶�;
5、目前�����,很多銀行只支持授權(quán)簽約操作���,但卻不支持解約操作���;即在某些銀行的網(wǎng)銀中,一旦完成授權(quán)�,就只能由被授權(quán)一方來發(fā)起解約,而授權(quán)一方反而無法解約��;因此��,當(dāng)發(fā)現(xiàn)自己已經(jīng)被騙時�����,應(yīng)立即聯(lián)系銀行凍結(jié)賬戶或掛失銀行卡,否則就無法有效的阻止賬戶資金被繼續(xù)轉(zhuǎn)出��;
6���、對自己的網(wǎng)銀賬戶設(shè)置單日最高轉(zhuǎn)賬限額,以控制風(fēng)險�;一旦發(fā)生經(jīng)濟損失,應(yīng)及時報案��。
名詞解釋:
超級網(wǎng)銀:“超級網(wǎng)銀”是2009年央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品��,可以用一個網(wǎng)銀賬戶��,實現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬�。而將不同銀行的賬戶關(guān)聯(lián)到某個指定銀行賬戶的過程,就是“授權(quán)”操作���。
代付鏈接:代付操作是淘寶提供的一種網(wǎng)購服務(wù)��,即甲購買商品���,但由乙來付款���!按舵溄印本褪堑曛髻I了東西生成的一個鏈接�����,交給買家�,由買家進行支付。進行代付操作��,付款人只能查到資金支出記錄�����,但淘寶賬戶中不會生成交易記錄���。
