360互联网安全中心前天发布重大安全警报称,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,短短几分钟内就能将受害者账户中的资金大量转出。“超级网银”跨行账户管理功能存在安全隐患,已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。
超级网银存安全漏洞 授权需谨慎
不法分子诱骗用户进行“网银授权支付”
前日,360发布重大安全警报称,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,短短几分钟内就能将受害者账户中的资金大量转出。
“超级网银”是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张银行卡的跨行查询和转账,国内绝大多数银行均默认支持该项功能。然而一旦有不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。
360互联网安全中心表示,目前“超级网银”的授权操作存在一定安全风险,比如“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。此外,对于普通用户来说,有些银行的授权页面提示信息过于晦涩,客户有可能忽视其中的安全隐患。
专家认为,部分银行没有在授权界面中提醒用户设置额度,在此过程中,也并不需要授权账户进行二次确认,因此无法阻止账户余额被转走。
银行回应:
获得授权需付款方输入多项信息
记者了解到,“超级网银”是2009年央行研发的标准化跨银行网上金融服务产品,可以用一个网银账户,实现多张银行卡的跨行查询和转账。而将不同银行的账户关联到某个指定银行账户的过程,就是“授权”操作。
“但有的银行就没有参与其中,而参与的银行也有各自不同的处理办法。”某股份制银行技术部门相关工作人员贾先生(化名)告诉记者,人民银行在系统里设了单笔五万元的交易限额,但银行可以自行处理,如有的银行可直接在网银上改,但有的银行必须要到柜台去修改限额。
在跨行转账授权方面,贾先生表示,“如果要进行指定账户关联,必须收款方在自己的网银页面上发起交易,付款人也要允许,双方都同意,这是前提。”
贾先生认为,“收款人发起交易一定要从银行正规网站进去,不可能由自己编的网站发起。此外,对方的确认并不是简单点击‘ok’,有的银行还会要求输入卡号尾数、交易限额等信息。就算是紧急授权,也要输入交易限额等信息,且每家银行都需要相关付款人的身份验证,比如说,要通过付款人的U盾、密码等信息进行验证。”
网民不可轻信授权 应设单日最高限额
“对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家表示,从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过 程中被骗子误导,例如骗子以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是把整个网银账户都授权给骗子随意转账。鉴于“超级网 银”授权链接都是银行官网地址,此前没有任何安全软件会对其报警拦截。不过随着网银授权骗术兴起,360安全卫士已紧急更新了防护策略。专家提醒网民:网 银账户应设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。
■相关案例
案例一: 网购166元
裤子被骗20166元
王先生通过即时聊天工具与某购物网站卖家商谈购买一条裤子。店家发给王先生一个报价166元的裤子的商品链接。王先生通过网银支付后,却看不到交易记录。店家就给了王先生一个客服QQ号,让王先生与客服联系。
王先生与该客服QQ沟通后,客服QQ给王先生提供了一个“退款链接”,表示王先生按照提示操作就可以内部退款。王先生按照客服提示,进入了一个“授权建行账户支付协议签约”的界面。
王先生对这个授权页面上的信息也有所怀疑,但该网店的客服表示:这是内部核对信息,只要按照提示完成操作,收款人就会将货款退还给王先生。王先生犹豫之后,还是按照客服提示完成了授权操作。
几分钟后,王先生收到银行短信,提示自己的账户中有1万元被转走;过了一会儿,他又收到一条新的银行短信,提示自己又有1万元被转走。
案例二: 代付链接
网购200元衣服,轻信授权被骗10万
安徽的陈女士在某购物网站上一家名为“超人气潮流2013”的店中选中了一款标价为279元的韩版服装。对方客服表示,该商品需要首先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。而据业内人士介绍,代付操作是一种网购服务,即甲购买商品,但由乙来付款。进行代付操作,付款人只能查到资金支出记录,但账户中不会生成交易记录。
陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,店家表示,系统出现异常,要联系异常订单处理中心客服解冻,并发给陈女士一个QQ号。焦急的陈女士便与店家提供的客服QQ进行了联系。名为“异常订单处理中心”的客服QQ表示:要解冻之前的订单,需要进行“签约授权”操作,并在询问了陈女士使用的是哪家银行后,提供了一个链接。陈女士操作后即发现自己网银账户资金异常。在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了十万八千八百元,加上先前支付的二百元,总共被骗十万九千元,账户余额仅剩 40.38元。账单显示,所有资金都被转移到一个陌生银行账户中。
据陈女士描述:她在发现第一笔转账后,便立即开始拨打银行客服电话,希望能尽快冻结银行账户。但等她拨通银行客服时,账户资金已几乎全部被转走。从银行账单记录来看,前两笔金额各为5万元的转账,时间间隔仅为24秒,在这么短时间里实际上陈女士采取任何补救措施都是来不及的。
专家提醒
1、据介绍,“网银”犯罪通过木马程序远程控制了你的电脑后,即使使用银行的U盾也无济于事,也会被犯罪分子盗取走银行卡信息,“因为你的电脑已经被犯罪分子控制了。”
2、在最新的“网银”犯罪中,还出现了犯罪分子利用第三方支付平台来实施犯罪的情况,“测录你的信息,盗取你的密码,然后进行转账,窃取账户资料”,要倍加小心。
3、犯罪分子在获取了客户磁条信息和密码,克隆卡之前,都会去银行查询一下该账户的信息。如果你的手机突然收到一个“说有人查询过你的账户资料”短信,此时应该警惕,要主动跟官方客服联系。
4、不要相信卡单、掉单、解冻资金等说法,这些说法都是诈骗专用术语;
5、绝对不能将自己的账户授权给陌生人或陌生账户;
6、对自己的网银账户设置单日最高转账限额,以控制风险。