专家认为,造成客户资金被骗的重要原因在于超级网银授权规则过于简单,容易滋生风险,而这一安全隐患在行业内部普遍存在。105家商业银行超级网银授权功能的验证,85家超级网银授权风险较大,占比超八成。[全文]
据调查,在实际测试交易中证实,建行对农行的超级网银授权后,解除按钮是灰色的,无法单方面解除。[全文]
超级网银是2009年央行最新研发的标准化跨银行网上金融服务产品。通过构建“一点接入、多点对接”的系统架构,实现企业“一站式”网上跨银行财务管理。“超级网银”的央行第二代支付系统于2010年8月30日正式上线,将开通实时跨行转账以及跨行账户查询等功能。
超级网银用一个网银账户实现多张银行卡的跨行查询和转账,也意味着,自己的银行账户也可授权给别人任意转账,一旦不法分子获取他人账户的授权,就可将对方账户余额盗走。
使用传统网银,想知道自己在各家银行账户情况如何,需进行多次登陆、查询操作。而Super-Bank通过统一的操作界面,查询管理多家商业银行开立的结算账户资金余额和交易明细,一个招行U-KEY完成所有银行网银登陆。使用Super-Bank,可直接向各家银行发送交易指令并完成汇款操作。Super-Bank并有强大的资金归集功能,可在母公司结算账户与子公司的结算户之间建立的上划下拨关系。
|
|
5月28日,一向以“大嘴”著称的360互联网安全中心发布了超级网银风险提示,并曝出该产品多次被黑客利用的案例。超级网银作为央行2009年研发并力推的标准化跨银行网上金融服务产品,四年来一直默默无闻,却因360举动被推上了风口浪尖,与此同时,全国多起网购被骗案也浮出水面。
·1万多块元47秒被搬家
西南财大的学生小李已经有4年的网购年龄,他非常谨慎,也具有一定安全防范意识,但近日他在网上购买iphone5手机时,却遭遇了骗局。“当时客服通过QQ把付款链接发给我,他说完成操作后,就可以到实体店中去领取手机了。我再三确认了客服给我的是银行合法链接后,才按对方的要求完成了网银操作。可是交易完成后我查不到有交易记录,没过到两三分钟,我手机短信使劲响,一看全是建行的短信提示,就这么点时间里,我卡上1万多块钱分三次转进了一个陌生账户。”从银行账单记录来看,三笔金额不同的转账,时间间隔仅为47秒。
·24秒10万资金被挪走
陈女士在某购物网站选中了一款200元的服装。商家表示,要先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。店家表示,系统出现异常,您购买的商品无法正常显示出交易定单,现在抓紧时间联系异常订单处理中心客服签约为您解冻,并发给陈女士一个QQ号。焦急的陈女士没有多想,点开了上述链接,按照客服QQ的提示进行了逐步操作,但随后便立即发现自己网银账户的资金有异常。从银行账单记录来看,两笔金额各为5万元的转账操作时间间隔仅为24秒。
·不要向陌生人授权
360互联网安全中心还公布了几例类似案件,受害者均是在网购的过程中受骗,涉案金额总共超过数百万的资金,均是在不足5分钟之类被洗劫一空。360互联网安全中心提醒网民,一旦网络交易出现异常,应当首先通过官方渠道联系银行的客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;网民应该给自己的网银账户设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。
奇虎360公司安全专家万仁国介绍说,“超级网银”授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。一旦有不法分子利用规则,忽悠用户授权支付,就可瞬间移走资金。“‘超级网银’在技术层面上没有任何安全漏洞,是授权规则被不法分子利用了。”万仁国向记者强调,从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过程中被骗子误导,以“交易卡单”、“解冻”、“退款”等名义发来授权链接,这实际上就是利用网银用户对“超级网银”的无知来操作,在这一点上,网银用户的安全意识十分薄弱。
银行专家表示,网银用户要提高自我的风险防范意识,尽量不要授权他人查询本人账户和授权他人支付本人资金属高风险交易行为,请务必小心谨慎,严防诈骗,并定期关注账户资金变动情况。在日常使用中也不要通过电子邮件以及QQ、msn、旺旺等即时通信工具对话信息中的网址登录银行或者淘宝等商户网站,同时,也不要随意接收和打开卖家传送的文件。在发现账户存在欺诈风险时,及时拨打银行热线电话对账户进行挂失等手段以保障账户资金安全。
1、一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信网络店家发来的客服聊天号码;特别是在淘宝上购物,不能相信QQ客服;
2、了解代付规则,谨慎进行代付操作;
3、不要相信所谓的卡单、掉单、解冻资金等说法,这些说法都是诈骗专用术语;
4、绝对不能将自己的账户授权给陌生人或陌生账户;
5、目前,很多银行只支持授权签约操作,但却不支持解约操作;即在某些银行的网银中,一旦完成授权,就只能由被授权一方来发起解约,而授权一方反而无法解约;因此,当发现自己已经被骗时,应立即联系银行冻结账户或挂失银行卡,否则就无法有效的阻止账户资金被继续转出;
6、对自己的网银账户设置单日最高转账限额,以控制风险;一旦发生经济损失,应及时报案;
