首頁 > 信用卡中心 > 信用卡資訊 > 24秒被轉(zhuǎn)走10萬超級網(wǎng)銀曝授權(quán)漏洞

24秒被轉(zhuǎn)走10萬超級網(wǎng)銀曝授權(quán)漏洞

2013-05-29 11:11:00

因為方便，現(xiàn)在很多人用上了超級網(wǎng)銀。不過，超級網(wǎng)銀可能有安全漏洞。360互聯(lián)網(wǎng)安全中心昨日發(fā)布重大安全警報稱，“超級網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標，近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例。

安徽省的陳女士，在一家購物網(wǎng)站看中一件200元的衣服，店家表示需要向廠家訂貨，再由陳女士來進行支付，并向陳女士提供了一個“代付鏈接”。（注：代付操作是一種網(wǎng)購服務(wù)，即甲購買商品，但由乙來付款）

陳女士在代付鏈接上進行了支付，卻無法查到交易記錄，于是向店家咨詢。店家表示：“由于系統(tǒng)異常，無法正常顯示交易訂單，請聯(lián)系客服解凍訂單”，并發(fā)給陳女士一個QQ號。陳女士沒有多想，便與店家提供的客服QQ進行了聯(lián)系?？头Q表示：要解凍訂單，需要進行“簽約授權(quán)”操作，并提供了一個鏈接。

陳女士點開了上述鏈接，按照客服QQ的提示進行了逐步操作，但隨后便發(fā)現(xiàn)網(wǎng)銀賬戶的資金出現(xiàn)異常。在之后約5分鐘時間內(nèi)，騙子先后分6次，從陳女士賬戶中轉(zhuǎn)走了108800元，其中，前兩筆金額各為5萬元的轉(zhuǎn)賬，時間間隔僅為24秒。

行外人肯定看不出這中間哪個環(huán)節(jié)出錯了，一切都好像正常流程一樣，對此，記者通過“超級網(wǎng)銀”還原了陳女士的被騙過程，最關(guān)鍵的一環(huán)，就是“超級網(wǎng)銀”的授權(quán)支付功能。
　　

記者登錄本人網(wǎng)銀賬戶，選擇“簽約他行賬戶”，在取得A先生的戶名、賬號及開戶行信息，輸入后就會跳轉(zhuǎn)到A先生開戶行的網(wǎng)銀頁面。然后將此頁面鏈接發(fā)給A先生，A先生在電腦上輸入證件號碼或用戶昵稱，登錄密碼和附加碼，就直接進入“他行支付協(xié)議簽約流程”。需要強調(diào)的是，這其中最關(guān)鍵就是需要A先生插入U盾，在A先生確認支付協(xié)議后，完成交易，他的賬戶就基本上交由記者來操作了，包括轉(zhuǎn)賬。

某銀行電子銀行部負責人說，除了“跨行資金歸集業(yè)務(wù)”，一般客戶很少了解和使用“超級網(wǎng)銀”中的授權(quán)操作功能，因此給騙子可乘之機。陳女士所犯的致命錯誤是將賬號、開戶行等信息告訴了對方，然后在不知風險的情況下，登錄網(wǎng)銀，插入U盾，確認、簽訂了跨行支付協(xié)議。這位負責人說，一般銀行客戶能守住密碼，卻不知熟悉“超級網(wǎng)銀”功能的騙子在無需獲取密碼的情況下，引導受害人一步步交出賬戶控制權(quán)。
　　

360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)，目前“超級網(wǎng)銀”的授權(quán)操作存在的安全風險主要包括以下幾點：

第一，“超級網(wǎng)銀”授權(quán)不會對雙方身份和關(guān)系進行驗證，也就是說，網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進行查詢和轉(zhuǎn)賬操作。

第二，授權(quán)操作的過程比較簡單，只需將授權(quán)頁面的鏈接復(fù)制下來，通過聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實現(xiàn)授權(quán)。對于普通用戶來說，有些銀行的授權(quán)頁面提示信息也過于晦澀，有可能忽視其中的安全隱患。

第三，部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度，獲得授權(quán)的賬戶可以無限制轉(zhuǎn)賬。

第四，個別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜，甚至只允許被授權(quán)賬戶確認解除。

從近期出現(xiàn)的“超級網(wǎng)銀”授權(quán)詐騙案例來看，全都是消費者在網(wǎng)購過程中被騙子誤導，例如騙子以“交易卡單”等名義發(fā)來授權(quán)鏈接，忽悠消費者對交易資金“解凍”，實際上是把整個網(wǎng)銀賬戶都授權(quán)給騙子隨意轉(zhuǎn)賬?！皩τ诰W(wǎng)銀用戶來說，更嚴重的風險在于安全意識薄弱?！?60安全專家表示。

銀行人士提醒，為了保證支付安全，要對網(wǎng)銀設(shè)置轉(zhuǎn)賬限額者在超級網(wǎng)銀中指定收款人，如果僅僅是查詢，可以關(guān)閉“支付”功能，在網(wǎng)購時，不要相信所謂的卡單、掉單和解凍資金等說法，絕對不能將賬戶授權(quán)給陌生人。

更多內(nèi)容請關(guān)注專業(yè)信貸服務(wù)平臺——卡寶寶。

上一篇：交行研發(fā)“智慧網(wǎng)盾” 移動支付更安全下一篇：手機刷卡筆均高達9569元溫州人還款數(shù)最高

關(guān)注 卡寶寶 （ID：cardbaobao2021）公眾號，獲取更多放水資訊，學習更多提額秘方。