網購24秒被騙10萬元 超級網銀存四大安全風險

　　銀行業內人士稱，消費者隨意授權是被盜關鍵

　　■新快報記者 張瀟 陳慶麟 黎華聯

　　“超級網銀”，是央行打造的標准化跨銀行網上金融服務產品，可以實現各大銀行網銀的互聯互通，方便用戶跨行管理賬戶。不過，昨日360互聯網安全中心發布重大安全警報，稱“超級網銀”跨行賬戶管理功能已經成為黑客惡意利用的目標。一旦有不法分子惡意利用“超級網銀”，通過欺詐手段獲取他人銀行賬戶的授權，就可以將對方賬戶余額全部偷走。記者昨日嘗試也發現，雖然通過超級網銀可以將賬戶的查詢、轉賬等權限轉移給他人，但消費者此前必須完成授權，除需要輸入賬號、密碼外，還需要配合U盾等動態驗証設備的使用。“目前的盜刷案件不能稱之為超級網銀的系統漏洞，最主要的原因還是消費者對於自己個人金融信息的保護意識不強。”電子銀行業內人士說。

　　■案例

　　“簽約授權”，網購被騙近11萬

　　不久前，陳女士在某購物網站看中一款韓版服裝，店主表示需要先向廠家訂貨，之后再由陳女士支付，所以向陳女士提供了一個“代付鏈接”。(注：代付操作是一種網購服務，即甲購買商品，但由乙來付款。上述“代付鏈接”就是店主買了東西生成的一個鏈接，交給陳女士后，由陳女士支付。進行代付操作，陳女士隻能查到資金支出記錄，但賬戶中不會生成交易記錄。)陳女士在代付鏈接上進行了支付，卻無法像往常一樣查到交易記錄，於是向店主咨詢。店家表示：“由於系統異常，購買的商品無法正常顯示出交易訂單，請現在抓緊時間聯系異常訂單處理中心客服簽約解凍”，並發給陳女士一個QQ號。

　　焦急的陳女士沒有多想，便與店家提供的客服QQ進行了聯系。這個名為“異常訂單處理中心”的客服QQ表示：要解凍之前的訂單，需要進行“簽約授權”操作，並在詢問了陳女士使用的是哪家銀行后，提供了一個鏈接。

　　陳女士點開上述鏈接，按照客服QQ的提示進行了逐步操作，但隨后立即發現自己的網銀賬戶資金異常。在之后約5分鐘時間內，陳女士賬戶中分6次共被轉走了108800元，加上先前通過代付鏈接支付的200元，總共被騙109000元，賬戶中的資金余額僅剩40.38元。賬單顯示，所有資金都被轉移到一個陌生人的銀行賬戶中。

　　陳女士表示，她在發現第一筆轉賬行為后，便立即撥打銀行的客服電話，希望能盡快凍結自己的銀行賬戶。但等到她撥通銀行客服時，賬戶資金已幾乎全部被轉走。從銀行賬單記錄來看，前兩筆金額各為5萬元的轉賬，時間間隔僅為24秒，在這麼短的時間內，實際上陳女士來不及採取任何補救措施。

　　■質疑

　　“超級網銀”存四大安全風險？

　　在披露上述的消費者投訴案例的同時，昨日360互聯網安全中心也發布了重大安全警報稱，“超級網銀”跨行賬戶管理功能已成黑客惡意利用的目標。“被所謂的網銀‘授權支付’所騙的並非個例，近期全國連續出現多起各大銀行客戶被騙案例。”360方面表示，騙子通過釣魚鏈接、交易失敗提示、客服聊天等組合，誘騙受害者進行“網銀授權支付”，授權騙子用另一個網銀賬戶對自己賬戶進行資金操作，短短幾分鐘內就能將受害者賬戶中的資金大量轉出。

　　據360方面分析，目前“超級網銀”的授權操作主要存在四個方面的安全風險，一是“超級網銀”授權並不會對雙方身份和關系進行驗証，也就是說，網銀用戶可以授權任何人對自己的賬戶進行查詢和轉賬操作﹔二是授權操作的過程比較簡單，隻需將授權頁面的鏈接復制下來，通過聊天軟件發送給他人“簽約”，就可以在不同電腦上實現授權。第三，部分銀行沒有在授權界面中提醒用戶設置額度，獲得授權的賬戶可以無限制轉賬。在此過程中，並不需要授權賬戶進行二次確認，因此也無法阻止賬戶余額被轉走。最后，個別銀行解除授權的操作比授權更復雜，甚至隻允許被授權賬戶確認解除。

　　■驗証

　　“授權成功”要連闖好幾關

　　記者昨日也嘗試開通了多家銀行的網銀，然后使用網銀上的跨行賬戶管理業務，對他人的其他銀行賬戶進行管理。在不同的銀行網銀系統中，跨行賬戶管理業務的名稱也不相同，有的為“跨行資金歸集計劃”，有的則稱為“互聯賬戶管理”。

　　記者登錄網銀的跨行賬戶管理業務后，需要先選擇想要歸集的他行賬戶。確認后，網銀系統會自動跳轉到被管理賬戶所屬銀行的網銀系統，出現授權驗証界面。記者將這個授權驗証的網絡鏈接復制后，通過QQ等傳給他人，他人打開鏈接后，需要在該網頁上輸入自己的賬號、密碼等個人信息后轉入確認授權的頁面，該頁面上顯示有被授權人的姓名、賬戶及該賬戶所屬銀行。一旦他人點擊確認，則自己賬戶的查詢或支付權限就被授權給了被授權人。那麼被授權人即可在自己的網銀上操作，對授權人的賬戶進行查詢或轉賬業務。

　　記者的驗証也証明，不法分子的確可能通過超級網銀的授權功能進行詐騙，掌控其他人的銀行賬戶，但必須要滿足幾種前提。(加黑)第一，網銀授權系統鏈接可復制使用。記者昨日嘗試了多家銀行的網銀授權系統，發現許多家的授權鏈接不可復制，一旦復制后傳給別人再打開，會顯示“系統錯誤”或“協議訂單號碼重復”、“會話超時”等提示。

　　第二，在授權中，市民必須要輸入自己的銀行賬戶和密碼。

　　第三，在確認授權的界面中，大部分銀行會在網頁上注明風險，如某銀行標注著“他行客戶請求獲得你賬戶的授權，授權成功后，獲得授權人可以通過他行網銀查詢/轉出您的賬戶資金而無需再經過您本人同意確認，如需將您的賬戶授權他人查詢，請謹慎小心，以防詐騙”。

　　第四，所有銀行都要求操作使用U盾來確認，如果不插入U盾，就無法完成操作。某股份制銀行電子銀行部人士表示：“從一家銀行的網銀發起一個超級網銀的簽約操作，是必須到對方銀行進行驗証的，像支付這種高風險的交易，很多銀行都要求使用USBKEY 來驗証，這個安全等級算是比較高，驗証要求是比較苛刻的。”

　　■提醒

　　聊天工具發來的鏈接肯定有風險

　　某國有銀行內部人士表示：“央行開發這個系統，是為了方便客戶管理其他賬號，但這個系統的前提是對身份的驗証和授權，我認為這可能客戶是授權給了不法分子，讓不法分子可以管理他的賬戶。”

　　“隻允許被授權賬戶確認解除，央行的規定確實是誰發起誰取消。”上述銀行電子銀行部人士表示，“其實，央行的超級網銀系統，其限額是單筆5萬元及以下。客戶在簽約時也可自己設置轉出的限額。”

　　“其實站在我們銀行的角度，已經給客戶設置了充分的限制、提醒和安全認証，在這種情況下，如果客戶有風險意識，去讀銀行提供的信息，就能識別安全風險。如果使用者嚴重缺乏安全意識，受不法分子蠱惑或盲目聽從不法分子的誤導，銀行本身是沒有什麼辦法。”上述人士表示。

　　“交易的時候不要相信來歷不明的購物網站。別人通過QQ發過來的鏈接，肯定存在風險，所以網上消費是要認准大型、正規的購物網站，然后在網站內操作，不要通過聊天工具，使用來歷不明的授權鏈接。如果消費者有這個意識，就會比較安全。”上述人士表示。

　　防范

　　1.不要隨意點擊陌生人發來的任何鏈接，或下載陌生人發來的文件。

　　2.對於任何需要輸入自己個人信息

　　(如身份証號、銀行卡號、密碼等信息等)的網頁，都要保持百分之一百二的警惕。

　　3.網購時盡量選擇登錄正規的網站，盡量不從其他網頁的廣告中點擊進入，按照網站的購物流程來下訂單或付款，不要輕易使用代付、代購等模式。

　　4.如果遇到交易異常，請通過官方的客服進行處理，不要相信陌生人發來的所謂QQ客服號碼或電話客服號碼。