淘寶購物24秒被盜10萬元 超級網銀大漏洞從何而來?--財經--人民網
人民網>>財經

淘寶購物24秒被盜10萬元 超級網銀大漏洞從何而來?

2013年06月09日19:06    來源:北京青年報    手機看新聞

超級網銀大漏洞從何而來

業內人士透露 部分淘寶賣家使用灰色借記卡“刷信用”給騙子可乘之機

“最近淘寶買家陳女士的賬戶在24秒內被犯罪分子盜走10萬元,原來騙子給其發送“超級網銀”的授權鏈接,誘使其上當受騙。這一案例使不少網友對“超級網銀”感到恐慌。“超級網銀”真的那麼可怕嗎?記者調查發現,超級網銀的“漏洞”一方面是因為用戶不了解超級網銀的使用規則,二是因為一些淘寶賣家為了“刷信用”,讓大量灰色借記卡的資料“擴散”,給了騙子可乘之機。”

【被騙案例】

輕信“客服QQ” “簽約授權”后24秒被盜10萬

根據公開信息,不久前,陳女士在某購物網站選中了一款200元的服裝。商家表示,要先向廠家訂貨,之后再由陳女士來進行支付,並向陳女士提供了一個“代付鏈接”,陳女士在代付鏈接上進行了支付,卻無法像往常一樣查到交易記錄,於是向店家咨詢。店家表示,“系統出現異常,您購買的商品無法正常顯示出交易訂單,請您現在抓緊時間聯系異常訂單處理中心客服簽約為您解凍”,並發給陳女士一個QQ號。

焦急的陳女士沒有多想,便與店家提供的客服QQ進行了聯系。客服表示要解凍之前的訂單,需要進行“簽約授權”操作,並在詢問了陳女士使用的是哪家銀行后提供了一個鏈接。

陳女士點開了上述鏈接,按照客服QQ的提示進行了逐步操作,隨后便立即發現自己網銀賬戶的資金有異常。她還沒打通銀行客服電話,就有兩筆金額各為5萬元的轉賬在24秒內完成。

根據陳女士回憶,被騙時她還使用了U盾防護並接收到了銀行的轉賬短信提示,但為時已晚,因為已經選擇了將自己的網銀授權給了騙子進行操作。

【幕后鏈條】

大量灰色借記卡被賣給淘寶賣家 騙子手法“與時俱進”

“受騙的人都是因為不十分了解網銀的一些基本原則,甚至這個被騙與超級網銀並無直接關系。”對超級網銀深有研究的諾基亞西門子項目經理陳朋之指出,最先曝出的受騙人群是淘寶上的許多賣家,為了刷信用,需要登記不同的用戶,使用不同的借記卡。於是第一批騙子出來了,通過不知道從哪兒弄來的身份証號,開通了許多借記卡,同時也簽約了這些卡的超級網銀被扣款,接著把這些借記卡賣給了許多淘寶賣家。淘寶賣家收到卡后,為了刷信用,於是就利用這些借記卡開通新的買家,進行買賣。

這時候騙子的機會來了,隻要淘寶賣家一往這個卡裡匯款,騙子可能就收到了消息提示,然后立刻對該卡發起扣款操作。於是賣家的錢一下子就不見了。第二類被騙的用戶就是像陳女士這樣不懂超級網銀的網民,被騙子要求主動開通被他行扣款的授權。“騙子們如此與時俱進,對超級網銀的了解比許多普通用戶要深刻得多。所以千萬不要小看騙子的‘學習’精神。” 陳朋之感嘆說。

【專家觀點】

“超級網銀”授權過程簡單 不懂規則相當於把鑰匙給小偷

有網絡安全機構認為,在本輪超級網銀安全風波中,最核心的問題在於授權規則。超級網銀授權並不會對雙方身份和關系進行驗証,網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作。其次,授權操作的過程比較簡單,隻需將授權頁面的鏈接復制下來,通過聊天軟件發送給他人“簽約”,就可以在不同電腦上實現授權。對於普通用戶來說,有些銀行的授權頁面提示信息過於晦澀,有可能忽視其中的安全隱患。

專家表示,授權之后,別人就有了你賬戶的完全操作權。普通的轉賬每次都需要授權,而“超級網銀”一旦授權就可以連續操作。

但是一些對超級網銀有深入了解的業內人士認為,目前被曝出資金被盜的案例,最根本的原因在於用戶不了解超級網銀授權的基本原理,被騙子誘騙泄露個人身份信息而上當,並非超級網銀本身有什麼技術漏洞。這相當於把家裡的鑰匙給了誤以為是朋友的小偷,跟網友上釣魚網站的道理一樣。當然超級網銀在客戶咨詢指導、額度限定、單方解約等方面也需要進一步完善服務。

某國有大銀行電子銀行部人士對陳女士受騙的案例分析指出,“超級網銀”作為央行研發的標准化跨銀行網上金融服務產品,風險還是可以得到控制的。

(責編:聶叢笑、喬雪峰)

相關專題


社區登錄
用戶名: 立即注冊
密  碼: 找回密碼
  
  • 最新評論
  • 熱門評論
查看全部留言

24小時排行 | 新聞頻道留言熱帖