银行业内人士称,消费者随意授权是被盗关键
■新快报记者 张潇 陈庆麟 黎华联
“超级网银”,是' target='_blank' >央行打造的标准化跨银行网上金融服务产品,可以实现各大银行网银的互联互通,方便用户跨行管理账户。不过,昨日360' 互联网安全中心发布重大安全警报,称“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标。一旦有不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。记者昨日尝试也发现,虽然通过超级网银可以将账户的查询、转账等权限转移给他人,但消费者此前必须完成授权,除需要输入账号、密码外,还需要配合U盾等动态验证设备的使用。“目前的盗刷案件不能称之为超级网银的系统漏洞,最主要的原因还是消费者对于自己个人金融信息的保护意识不强。”' 电子银行业内人士说。
■案例
“签约授权”,网购被骗近11万
不久前,陈女士在某购物网站看中一款韩版服装,店主表示需要先向厂家订货,之后再由陈女士支付,所以向陈女士提供了一个“代付链接”。(注:代付操作是一种网购服务,即甲购买商品,但由乙来付款。上述“代付链接”就是店主买了东西生成的一个链接,交给陈女士后,由陈女士支付。进行代付操作,陈女士只能查到资金支出记录,但账户中不会生成交易记录。)陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,于是向店主咨询。店家表示:“由于系统异常,购买的商品无法正常显示出交易订单,请现在抓紧时间联系异常订单处理中心客服签约' target='_blank' >解冻”,并发给陈女士一个QQ号。
焦急的陈女士没有多想,便与店家提供的客服QQ进行了联系。这个名为“异常订单处理中心”的客服QQ表示:要解冻之前的订单,需要进行“签约授权”操作,并在询问了陈女士使用的是哪家银行后,提供了一个链接。
陈女士点开上述链接,按照客服QQ的提示进行了逐步操作,但随后立即发现自己的网银账户资金异常。在之后约5分钟时间内,陈女士账户中分6次共被转走了108800元,加上先前通过代付链接支付的200元,总共被骗109000元,账户中的资金余额仅剩40.38元。账单显示,所有资金都被转移到一个陌生人的银行账户中。
陈女士表示,她在发现第一笔转账行为后,便立即拨打银行的客服电话,希望能尽快冻结自己的银行账户。但等到她拨通银行客服时,账户资金已几乎全部被转走。从银行账单记录来看,前两笔金额各为5万元的转账,时间间隔仅为24秒,在这么短的时间内,实际上陈女士来不及采取任何补救措施。
■质疑
“超级网银”存四大安全风险?
在披露上述的消费者投诉案例的同时,昨日360互联网安全中心也发布了重大安全警报称,“超级网银”跨行账户管理功能已成黑客恶意利用的目标。“被所谓的网银‘授权支付’所骗的并非个例,近期全国连续出现多起各大银行客户被骗案例。”360方面表示,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,授权骗子用另一个网银账户对自己账户进行资金操作,短短几分钟内就能将受害者账户中的资金大量转出。
据360方面分析,目前“超级网银”的授权操作主要存在四个方面的安全风险,一是“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作;二是授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。第三,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。最后,个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
■验证
“授权成功”要连闯好几关
记者昨日也尝试开通了多家银行的网银,然后使用网银上的跨行账户管理业务,对他人的其他银行账户进行管理。在不同的银行网银系统中,跨行账户管理业务的名称也不相同,有的为“跨行资金归集计划”,有的则称为“互联账户管理”。
记者登录网银的跨行账户管理业务后,需要先选择想要归集的他行账户。确认后,网银系统会自动跳转到被管理账户所属银行的网银系统,出现授权验证界面。记者将这个授权验证的网络链接复制后,通过QQ等传给他人,他人打开链接后,需要在该网页上输入自己的账号、密码等个人信息后转入确认授权的页面,该页面上显示有被授权人的姓名、账户及该账户所属银行。一旦他人点击确认,则自己账户的查询或支付权限就被授权给了被授权人。那么被授权人即可在自己的网银上操作,对授权人的账户进行查询或转账业务。
记者的验证也证明,不法分子的确可能通过超级网银的授权功能进行诈骗,掌控其他人的银行账户,但必须要满足几种前提。(加黑)第一,网银授权系统链接可复制使用。记者昨日尝试了多家银行的网银授权系统,发现许多家的授权链接不可复制,一旦复制后传给别人再打开,会显示“系统错误”或“协议订单号码重复”、“会话超时”等提示。
第三,在确认授权的界面中,大部分银行会在网页上注明风险,如某银行标注着“他行客户请求获得你账户的授权,授权成功后,获得授权人可以通过他行网银查询/转出您的账户资金而无需再经过您本人同意确认,如需将您的账户授权他人查询,请谨慎小心,以防诈骗”。
第四,所有银行都要求操作使用U盾来确认,如果不插入U盾,就无法完成操作。某股份制银行电子银行部人士表示:“从一家银行的网银发起一个超级网银的签约操作,是必须到对方银行进行验证的,像支付这种高风险的交易,很多银行都要求使用USBKEY 来验证,这个安全等级算是比较高,验证要求是比较苛刻的。”
■提醒
聊天工具发来的链接肯定有风险
某国有银行内部人士表示:“央行开发这个系统,是为了方便客户管理其他账号,但这个系统的前提是对身份的验证和授权,我认为这可能客户是授权给了不法分子,让不法分子可以管理他的账户。”
“只允许被授权账户确认解除,央行的规定确实是谁发起谁取消。”上述银行电子银行部人士表示,“其实,央行的超级网银系统,其限额是单笔5万元及以下。客户在签约时也可自己设置转出的限额。”
“其实站在我们银行的角度,已经给客户设置了充分的限制、提醒和安全认证,在这种情况下,如果客户有风险意识,去读银行提供的信息,就能识别安全风险。如果使用者严重缺乏安全意识,受不法分子蛊惑或盲目听从不法分子的误导,银行本身是没有什么办法。”上述人士表示。
“交易的时候不要相信来历不明的购物网站。别人通过QQ发过来的链接,肯定存在风险,所以网上消费是要认准大型、正规的购物网站,然后在网站内操作,不要通过聊天工具,使用来历不明的授权链接。如果消费者有这个意识,就会比较安全。”上述人士表示。
防范
1.不要随意点击陌生人发来的任何链接,或下载陌生人发来的文件。
2.对于任何需要输入自己个人信息
(如身份证号、银行卡号、密码等信息等)的网页,都要保持百分之一百二的警惕。
3.网购时尽量选择登录正规的网站,尽量不从其他网页的广告中点击进入,按照网站的购物流程来下订单或付款,不要轻易使用代付、代购等模式。
4.如果遇到交易异常,请通过官方的客服进行处理,不要相信陌生人发来的所谓QQ客服号码或电话客服号码。
【独家稿件声明】凡注明“和讯”来源之作品(文字、图片、图表),未经和讯网授权,任何媒体和个人不得全部或者部分转载。如需转载,请与010-85650688联系;经许可后转载务必请注明出处,并添加源链接,违者本网将依法追究责任。