BOB全站近日,360安全中心发布重大安全警报称,近期全国连续出现多起各大银行客户被骗案例,均因为“超级网银”跨行账户管理功能被黑客恶意利用。
安徽的受害用户陈女士在短短24秒内,其银行账户10万元就被洗劫一空。据了解,骗子利用了目前“超级网银”的授权操作过于简单、身份验证机制不完善等问题,对网购消费者进行。
记者近日采访了某国有大银行浙江省分行电子银行部的总经理。他解释说,“超级网银”作为央行研发的标准化跨银行网上金融服务产品,风险还是可以得到控制的。“这个案例讲得很清楚,我猜测和以往的“钓鱼”软件类似,客户泄露了所有的信息,钱被盗取也不奇怪,不能简单地把责任推到‘超级网银’身上”。他说,关键还是在于个人要有较强的风险防范意识,对一些陌生的链接还是不要轻易接触使用。
据受害者陈女士讲述,前几天自己在网上购买了一件279元的衣服,是通过卖家发来的购物链接付款的,但之后却发现没有交易记录。而卖家给出的理由是系统异常,需要陈女士使用QQ联系他们的“客服”进行解冻,实际上所谓的“客服”是骗子伪装的,随后骗子还特意询问了陈女士所使用的网银,最终发来一个建行的“签约授权”链接,陈女士误信了骗子的说辞点击了授权最终被骗。“这其实和普通的网上差不多,你点击的链接就是骗子的“钓鱼”页面,你点击了肯定就上当受骗了!”上述专家解释说,BOB全站不能把被骗的责任推到“超级网银”身上。
有些金融常识的人都清楚,“超级网银”其实是银行之间的结算系统,是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张的跨行查询和转账,国内绝大多数银行均默认支持该项功能。此前微博上被热炒的“只要老公账户上的资金余额超过1000元,超出部分就会自动被划转到老婆的账户”,其实就是基于“超级网银”的资金归集功能实现的。不过,要实现“授权他行支付”功能,两张之间必须先“签约授权”。
360互联网安全中心发布的报告指出“超级网银”的四个漏洞:第一,“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作;第二,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。BOB全站对于普通用户来说,有些银行的授权页面提示信息也过于晦涩,有可能忽视其中的安全隐患;第三,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走;第四,个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
记者了解到,在签约“超级网银”时,银行确实未对双方身份和关系进行验证,没有亲属和血缘关系的双方也都可以签约“超级网银”。但是签约时必须需要双方的网银UKEY和支付密码。一旦“超级网银”授权完成后,资金转出也确实无需再经本人同意确认。
“签约要求是很多的,我前几天给妻子授权,试验了三四次都失败了呢!”上述专家表示,授权操作还是比较严格的。他还指出,在客户授权后的连续转账,这个确实和其他支付不一样。“授权之后别人就有了你账户的完全操作权,自然可以连续转账,按照一笔5万元,两笔就转完10万元了,因此24秒内转走10万元一点也不奇怪。普通的转账每次都需要授权,而“超级网银”一旦授权就可以连续操作,这是它与众不同的地方。”
奇虎360公司安全专家万仁国介绍说,“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。一旦有不法分子利用规则,忽悠用户授权支付,就可瞬间移走资金。“‘超级网银’在技术层面上没有任何安全漏洞,是授权规则被不法分子利用了。”万仁国向记者强调,从近期出现的“超级网银”授权案例来看,全都是消费者在网购过程中被骗子误导,以“交易卡单”、“解冻”、“退款”等名义发来授权链接,这实际上就是利用网银用户对“超级网银”的无知来操作,在这一点上,网银用户的安全意识十分薄弱。
“从这个意义上讲,网银用户要提高自我的风险防范意识。”银行专家表示,尽量不要授权他人查询本人账户和授权他人支付本人资金属高风险交易行为,请务必小心谨慎,严防,并定期关注账户资金变动情况。在日常使用中也不要通过电子邮件以及QQ、msn、BOB全站旺旺等即时通信工具对话信息中的网址登录银行或者淘宝等商户网站,同时,也不要随意接收和打开卖家传送的文件。在发现账户存在欺诈风险时,及时拨打银行热线电话对账户进行挂失等手段以保障账户资金安全。标签:
我国实施高温补贴政策已有年头了,但是多地标准已数年未涨,高温津贴落实遭遇尴尬。东莞外来工群像:每天坐9小时 经常...66833