24秒被轉(zhuǎn)走10萬 超級(jí)網(wǎng)銀曝授權(quán)漏洞

因?yàn)榉奖?，現(xiàn)在很多人用上了超級(jí)網(wǎng)銀。不過，超級(jí)網(wǎng)銀可能有安全漏洞。360互聯(lián)網(wǎng)安全中心昨日發(fā)布重大安全警報(bào)稱，“超級(jí)網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo)，近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例。

安徽省的陳女士，在一家購物網(wǎng)站看中一件200元的衣服，店家表示需要向廠家訂貨，再由陳女士來進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”。（注：代付操作是一種網(wǎng)購服務(wù)，即甲購買商品，但由乙來付款）

陳女士在代付鏈接上進(jìn)行了支付，卻無法查到交易記錄，于是向店家咨詢。店家表示：“由于系統(tǒng)異常，無法正常顯示交易訂單，請(qǐng)聯(lián)系客服解凍訂單”，并發(fā)給陳女士一個(gè)QQ號(hào)。陳女士沒有多想，便與店家提供的客服QQ進(jìn)行了聯(lián)系?？头Q表示：要解凍訂單，需要進(jìn)行“簽約授權(quán)”操作，并提供了一個(gè)鏈接。

陳女士點(diǎn)開了上述鏈接，按照客服QQ的提示進(jìn)行了逐步操作，但隨后便發(fā)現(xiàn)網(wǎng)銀賬戶的資金出現(xiàn)異常。在之后約5分鐘時(shí)間內(nèi)，騙子先后分6次，從陳女士賬戶中轉(zhuǎn)走了108800元，其中，前兩筆金額各為5萬元的轉(zhuǎn)賬，時(shí)間間隔僅為24秒。

行外人肯定看不出這中間哪個(gè)環(huán)節(jié)出錯(cuò)了，一切都好像正常流程一樣，對(duì)此，記者通過“超級(jí)網(wǎng)銀”還原了陳女士的被騙過程，最關(guān)鍵的一環(huán)，就是“超級(jí)網(wǎng)銀”的授權(quán)支付功能。
　　

記者登錄本人網(wǎng)銀賬戶，選擇“簽約他行賬戶”，在取得A先生的戶名、賬號(hào)及開戶行信息，輸入后就會(huì)跳轉(zhuǎn)到A先生開戶行的網(wǎng)銀頁面。然后將此頁面鏈接發(fā)給A先生，A先生在電腦上輸入證件號(hào)碼或用戶昵稱，登錄密碼和附加碼，就直接進(jìn)入“他行支付協(xié)議簽約流程”。需要強(qiáng)調(diào)的是，這其中最關(guān)鍵就是需要A先生插入U(xiǎn)盾，在A先生確認(rèn)支付協(xié)議后，完成交易，他的賬戶就基本上交由記者來操作了，包括轉(zhuǎn)賬。

某銀行電子銀行部負(fù)責(zé)人說，除了“跨行資金歸集業(yè)務(wù)”，一般客戶很少了解和使用“超級(jí)網(wǎng)銀”中的授權(quán)操作功能，因此給騙子可乘之機(jī)。陳女士所犯的致命錯(cuò)誤是將賬號(hào)、開戶行等信息告訴了對(duì)方，然后在不知風(fēng)險(xiǎn)的情況下，登錄網(wǎng)銀，插入U(xiǎn)盾，確認(rèn)、簽訂了跨行支付協(xié)議。這位負(fù)責(zé)人說，一般銀行客戶能守住密碼，卻不知熟悉“超級(jí)網(wǎng)銀”功能的騙子在無需獲取密碼的情況下，引導(dǎo)受害人一步步交出賬戶控制權(quán)。
　　

360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)，目前“超級(jí)網(wǎng)銀”的授權(quán)操作存在的安全風(fēng)險(xiǎn)主要包括以下幾點(diǎn)：

第一，“超級(jí)網(wǎng)銀”授權(quán)不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。

第二，授權(quán)操作的過程比較簡單，只需將授權(quán)頁面的鏈接復(fù)制下來，通過聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對(duì)于普通用戶來說，有些銀行的授權(quán)頁面提示信息也過于晦澀，有可能忽視其中的安全隱患。

第三，部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度，獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬。

第四，個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜，甚至只允許被授權(quán)賬戶確認(rèn)解除。

從近期出現(xiàn)的“超級(jí)網(wǎng)銀”授權(quán)詐騙案例來看，全都是消費(fèi)者在網(wǎng)購過程中被騙子誤導(dǎo)，例如騙子以“交易卡單”等名義發(fā)來授權(quán)鏈接，忽悠消費(fèi)者對(duì)交易資金“解凍”，實(shí)際上是把整個(gè)網(wǎng)銀賬戶都授權(quán)給騙子隨意轉(zhuǎn)賬?！皩?duì)于網(wǎng)銀用戶來說，更嚴(yán)重的風(fēng)險(xiǎn)在于安全意識(shí)薄弱?！?60安全專家表示。

銀行人士提醒，為了保證支付安全，要對(duì)網(wǎng)銀設(shè)置轉(zhuǎn)賬限額者在超級(jí)網(wǎng)銀中指定收款人，如果僅僅是查詢，可以關(guān)閉“支付”功能，在網(wǎng)購時(shí)，不要相信所謂的卡單、掉單和解凍資金等說法，絕對(duì)不能將賬戶授權(quán)給陌生人。

更多內(nèi)容請(qǐng)關(guān)注專業(yè)信貸服務(wù)平臺(tái)——卡寶寶。