首页 > 消费教育 > 消费警示

360称超级网银有安全漏洞 网民不可轻信授权

来源:重庆3·15消费维权网 2013/5/31 9:39:48 关注度:402723次

  360互联网安全中心前天发布重大安全警报称,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,短短几分钟内就能将受害者账户中的资金大量转出。“超级网银”跨行账户管理功能存在安全隐患,已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。

超级网银存安全漏洞 授权需谨慎

超级网银存安全漏洞 授权需谨慎

不法分子诱骗用户进行“网银授权支付”

  前日,360发布重大安全警报称,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,短短几分钟内就能将受害者账户中的资金大量转出。
  “超级网银”是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张银行卡的跨行查询和转账,国内绝大多数银行均默认支持该项功能。然而一旦有不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。
  360互联网安全中心表示,目前“超级网银”的授权操作存在一定安全风险,比如“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。此外,对于普通用户来说,有些银行的授权页面提示信息过于晦涩,客户有可能忽视其中的安全隐患。
  专家认为,部分银行没有在授权界面中提醒用户设置额度,在此过程中,也并不需要授权账户进行二次确认,因此无法阻止账户余额被转走。

银行回应:

获得授权需付款方输入多项信息

  记者了解到,“超级网银”是2009年央行研发的标准化跨银行网上金融服务产品,可以用一个网银账户,实现多张银行卡的跨行查询和转账。而将不同银行的账户关联到某个指定银行账户的过程,就是“授权”操作。
  “但有的银行就没有参与其中,而参与的银行也有各自不同的处理办法。”某股份制银行技术部门相关工作人员贾先生(化名)告诉记者,人民银行在系统里设了单笔五万元的交易限额,但银行可以自行处理,如有的银行可直接在网银上改,但有的银行必须要到柜台去修改限额。
  在跨行转账授权方面,贾先生表示,“如果要进行指定账户关联,必须收款方在自己的网银页面上发起交易,付款人也要允许,双方都同意,这是前提。”
  贾先生认为,“收款人发起交易一定要从银行正规网站进去,不可能由自己编的网站发起。此外,对方的确认并不是简单点击‘ok’,有的银行还会要求输入卡号尾数、交易限额等信息。就算是紧急授权,也要输入交易限额等信息,且每家银行都需要相关付款人的身份验证,比如说,要通过付款人的U盾、密码等信息进行验证。”

网民不可轻信授权 应设单日最高限额

  “对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家表示,从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过 程中被骗子误导,例如骗子以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是把整个网银账户都授权给骗子随意转账。鉴于“超级网 银”授权链接都是银行官网地址,此前没有任何安全软件会对其报警拦截。不过随着网银授权骗术兴起,360安全卫士已紧急更新了防护策略。专家提醒网民:网 银账户应设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。

■相关案例

  案例一: 网购166元

  裤子被骗20166元

  王先生通过即时聊天工具与某购物网站卖家商谈购买一条裤子。店家发给王先生一个报价166元的裤子的商品链接。王先生通过网银支付后,却看不到交易记录。店家就给了王先生一个客服QQ号,让王先生与客服联系。
  王先生与该客服QQ沟通后,客服QQ给王先生提供了一个“退款链接”,表示王先生按照提示操作就可以内部退款。王先生按照客服提示,进入了一个“授权建行账户支付协议签约”的界面。
  王先生对这个授权页面上的信息也有所怀疑,但该网店的客服表示:这是内部核对信息,只要按照提示完成操作,收款人就会将货款退还给王先生。王先生犹豫之后,还是按照客服提示完成了授权操作。
  几分钟后,王先生收到银行短信,提示自己的账户中有1万元被转走;过了一会儿,他又收到一条新的银行短信,提示自己又有1万元被转走。

  案例二: 代付链接

  网购200元衣服,轻信授权被骗10万

  安徽的陈女士在某购物网站上一家名为“超人气潮流2013”的店中选中了一款标价为279元的韩版服装。对方客服表示,该商品需要首先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。而据业内人士介绍,代付操作是一种网购服务,即甲购买商品,但由乙来付款。进行代付操作,付款人只能查到资金支出记录,但账户中不会生成交易记录。
  陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,店家表示,系统出现异常,要联系异常订单处理中心客服解冻,并发给陈女士一个QQ号。焦急的陈女士便与店家提供的客服QQ进行了联系。名为“异常订单处理中心”的客服QQ表示:要解冻之前的订单,需要进行“签约授权”操作,并在询问了陈女士使用的是哪家银行后,提供了一个链接。陈女士操作后即发现自己网银账户资金异常。在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了十万八千八百元,加上先前支付的二百元,总共被骗十万九千元,账户余额仅剩 40.38元。账单显示,所有资金都被转移到一个陌生银行账户中。
  据陈女士描述:她在发现第一笔转账后,便立即开始拨打银行客服电话,希望能尽快冻结银行账户。但等她拨通银行客服时,账户资金已几乎全部被转走。从银行账单记录来看,前两笔金额各为5万元的转账,时间间隔仅为24秒,在这么短时间里实际上陈女士采取任何补救措施都是来不及的。

专家提醒

  1、据介绍,“网银”犯罪通过木马程序远程控制了你的电脑后,即使使用银行的U盾也无济于事,也会被犯罪分子盗取走银行卡信息,“因为你的电脑已经被犯罪分子控制了。”
  2、在最新的“网银”犯罪中,还出现了犯罪分子利用第三方支付平台来实施犯罪的情况,“测录你的信息,盗取你的密码,然后进行转账,窃取账户资料”,要倍加小心。
  3、犯罪分子在获取了客户磁条信息和密码,克隆卡之前,都会去银行查询一下该账户的信息。如果你的手机突然收到一个“说有人查询过你的账户资料”短信,此时应该警惕,要主动跟官方客服联系。
  4、不要相信卡单、掉单、解冻资金等说法,这些说法都是诈骗专用术语;
  5、绝对不能将自己的账户授权给陌生人或陌生账户;
  6、对自己的网银账户设置单日最高转账限额,以控制风险。
专题关注

友情链接:重庆市人民政府网重庆市市场监督管理局中国消费者协会重庆市工商业联合会重庆市地方金融监督管理局
关于我们| 联系邮箱:2394436568@qq.com
工业和信息化部ICP许可证: 渝ICP备18005111号-2 渝公网安备 50019002500135号
凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责,如侵犯到您的权益,请及时通知我们。