据经济之声报道,曾经备受银行推崇的“超级网银业务”近来饱受猜测。据安全厂商奇虎360通报:近期全国连续出现多起银行客户被骗案件,一位陈姓受骗者甚至24秒内被骗子转账10万元,这让很多超级网银用户惴惴不安。业内认为,造成客户资金被骗的重要原因在于超级网银授权规则过于简单,容易滋生风险。
超级网银是2009年由央行牵头构建的第二代支付系统,可实现多家银行跨行扣款、第三方预授权等业务。超级网银可以通过一个网银账号,管理多个账户;此外,还有跨行转账免费、实时到账等优点。
5月28日,陈女士在网购时选中一款服装。一番还价后店主同意打折,但要陈女士替他向服装厂“代付款”。这是网购中常见的支付手段,但替别人付款的一方只在银行账户中的支出记录,在购物网站上并不会留下交易记录。付款后,陈女士无法在购物网站查到交易记录,于是向店家咨询。
陈女士:我说付过款了,他问怎么没有订单?让我联系一下异常订单处理中心,然后发来一个QQ号,说通过它进行“解冻”。
陈女士与这个QQ联系后,对方表示:要解冻之前的订单,需要进行“签约授权”操作,并再次给陈女士提供了一个银行网页链接。此时,陈女士对所谓“签约授权”一头雾水。
陈女士3:不知道什么是签约授权,我以为是把200元追回来。输入了身份证号、银行卡密码、验证码,输入后不到一分钟,我手机来个信息,说是少了五万块钱。
陈女士意识到不对劲,随即拨通店家的电话,哪知这一耽误,干脆让骗子把钱转了个干净。
陈女士4:我说卡上钱怎么转走了?他说不要着急,帮你查一下。然后又转走了5万,总共转走了我108800块。
从账单记录来看,前两笔金额各为5万元的转账,时间间隔仅为24秒。报案后,陈女士深受打击。
陈女士5:这个是新开的网店,我没注意,也没敢跟爸妈讲,我哪听说过什么超级网银。
银行业资深技术人士张先生举例说,在超级网银授权中,如从A银行账户转钱到B银行账户,需要在B银行网银上申请从A转账的授权。
本案中,骗子伪装成“解冻中心客服”的QQ号,得知陈女士网银账号后通过超级网银功能,申请从陈女士账户转账,同时把申请转账的链接巧妙伪装,陈女士才被钓鱼上钩。
张先生:案件中实际上不法分子把链接,通过技术手段复制下来,发给了事主,事主用自己的网银验证手段做了超级网银的授权操作。
奇虎360安全工程师万仁国认为,本案中超级网银仅仅是被利用的转账渠道;但对于普通用户而言,这无疑是风险。5月28日案发以来,仍陆续有类似案件发生。
万仁国:陆陆续续还有。支持超级网银的银行共有127家,包括国内大型银行、地方和外资银行。受害人打开签约链接时,银行没有做很强的提示,很多老百姓看不懂什么叫“签约授权支付”。
农业银行资深技术人士张先生说,超级网银是大势所趋,未来将大面积普及,而目前每个人都是潜在用户。
张先生: 现在的银行,只要你开通网银功能,就可以签约授权方式开通,所以只要你有网银,就是潜在的超级网银用户。超级网银几乎是实时到账,骗子可以立刻转到其他账户,或者通过ATM取现,这样资金很难冻结,追缴确实存在难度。
本案中,受害者陈女士在不知情的情况下,稀里糊涂办了超级网银授权。也有人质疑:超级网银和权限授予程序是否太过随意?
张先生:超级网银设计之初,跨行转账同名异名都免费,所以很多人用它转账;同一个家庭来说,可以管理父母、爱人的账户。央行在这块没有限制,假设前提是用户知道这个授权是干什么的。本案骗子恰恰用钓鱼手段,把这个信息给“屏蔽”掉了。
业内指出,面对超级网银的“风险”,客户和银行都有责任。
张先生:客户作为电子商务参与者,在网上的每个动作,要明白含义是什么,不建议普通用户通过链接的方式做付款动作;央行和商行也应该携手把它做得更安全,比如支付时,马上就做支付动作,没有进一步身份核实。比如有手机验证码,让你再确认下,也能降低这种案件概率。(记者王思远)
手机看中经
