网络购物时,如果卖家要求加QQ聊天发送链接,甚至要求远程控制电脑的,基本上你就要怀疑是不是碰到骗子了。最近,隐藏在网络背后的骗子,找到了新的骗钱方式。他们利用超级网银的漏洞,可以轻松转走你账户里的资金。
同意了超级网银的签约授权
账户被对方操控
一个超级网银引发的骗局
近日,一则“超级网银曝安全风险,用户24秒被偷10万元”的报道让不少网银用户感到不安。很多人表示纳闷:到底什么是超级网银?正是因为很多人不了解超级网银的功能,才被网络骗子有机可乘。如果你不小心同意了超级网银的签约授权,你的账户就可能被别人操控。
不久前,陈女士在某购物网站选中了一款200元的服装。商家表示,要先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。陈女士在代付链接上进行了支付,却无法查到交易记录。店家表示系统出现异常,需要解冻处理,并发给陈女士一个客服QQ号。该客服表示要解冻之前的订单,需要进行“签约授权”操作,并在询问了陈女士使用的是哪家银行后提供了一个链接。陈女士按照客服的提示进行了逐步操作。随后,她账户里的10万元分两次被转走,时间间隔仅为24秒,她甚至来不及接通银行客服电话的人工坐席。
在这个骗局中,骗子要求的“签约授权”操作其实是超级网银的签约授权,骗子在自己的电脑上用自己的银行账户发起了签约授权的申请,陈女士同意后,骗子就可以操控陈女士的账户了。
通过签约授权,你可以管理的不只是自己名下的账户
知晓率很低的超级网银存在安全风险
这个很多人都不了解的超级网银,已经正式运营两年多。2010年8月30日,央行“超级网银”系统上线,首批通过验收的银行开通超级网银业务。随后,绝大多数银行分批开通了此项业务。这项业务在不同的银行被冠以不同的名称,比如有的叫“网银互联”,有的叫“授权建行账户支付协议”等等。
超级网银的推出,在当时被认为是一个方便用户的业务。消费者通过超级网银可实现银行卡集中管理,即登录一个网银可以管理名下所有账户。而事实上,通过签约授权,你可以管理的不只是自己名下的账户,也可以管理别人的账户。同理,只要你同意授权,别人也可以操控你的账户。而且一次签约授权后,操作被签约账户进行转账时,不再需要交易密码和U盾等安全防范手段。
在签约授权过程中,一些银行的风险提示并不明显,不了解超级网银的用户容易忽略。出于方便用户的考虑,很多银行在超级网银的对外转账限额上并没有卡得很死,如建设银行的每日转账上限竟然达到500万元。这也让账户被盗用时面临极大的风险。
“超级网银太方便了,过于追求便捷性就会牺牲一些安全性。超级网银最大的不安全在于它不限定于同一用户。”一位银行人士表示,超级网银更符合企业财务的需要,普通的网银用户其实没有必要使用超级网银,他本人就没有考虑使用超级网银,因为他认为资金的安全性比便捷性更重要。
事实上,使用这个超级网银的人并不多,记者随机采访了周围的同事和朋友,发现没有一个人用过这个业务。甚至有银行业内的朋友,也表示只听说过这个业务,并不清楚具体内容。某国有商业银行浙江省分行相关人士告诉记者,超级网银从来不是该行宣传推广的业务品种。
错误使用超级网银签约授权,最终导致资金损失
360和金山毒霸均发布安全警示
360互联网安全中心于5月28日发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。
360互联网安全中心发现,目前“超级网银”的授权操作存在的安全风险主要包括:第一,“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作;第二,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权;第三,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。
随后,金山毒霸安全中心也发布信息称,监测到有网民在购物过程中被无良卖家欺骗,错误使用超级网银签约授权,最后导致资金损失。金山毒霸安全中心对105家商业银行超级网银的授权功能进行验证,认为有85家超级网银授权风险较大。金山毒霸已针对此风险升级拦截机制,在网民访问超级网银签约网页时进行安全警示。
由于超级网银的推出时间较短,网民对银行的这个新业务缺乏了解,而骗子却精于此道。金山毒霸安全专家建议,网民只为自己的银行账号签约,不要为任何其他人的账号签约,即可避免由此造成的经济损失。