骗子又出新花招 当心“超级网银”偷你钱
沉醉于网购的朋友们要当心了,近来骗子偷钱又出了新招。他们利用“超级网银”的跨行账户管理功能,偷取你账户上的钱。5月28日,360互联网安全中心发布的安全警报称,近期全国连续出现多起银行客户被骗案例。
昨天,记者也试验了“超级网银”的跨行授权支付功能,发现只要获得他人授权,就可以不用密码,直接从他人账户中转出钱款。不过,消费者要完成授权,需要经过一系列的操作,除需要输入账号、密码外,还需要配合U盾等,否则骗子就难以得手。银行人士提醒,防范此类诈骗新招,还是要注意不点不明链接,加强保护个人金融信息等“老招”。
短短24秒 她的10万元就被骗子洗劫一空
“超级网银”是央行打造的标准化跨银行网上金融服务产品,可以实现各大银行网银的互联互通,方便用户跨行管理账户。然而,360互联网安全中心日前发布的安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起银行客户被骗案例。
安徽陈女士就是其中之一,日前她在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。
陈女士在一家购物网站看中一件200元的衣服,店家表示需要向厂家订货,再由陈女士来进行支付,并向陈女士提供了一个“代付链接”(注:代付操作是一种网购服务,即甲购买商品,但由乙来付款)。陈女士在代付链接上进行了支付,却无法查到交易记录,店家称由于系统异常,无法正常显示交易订单,“请联系客服解冻订单”,并发给陈女士一个QQ号。
陈女士没有多想,便与店家提供的“客服QQ”进行了联系。“客服QQ”表示:要解冻订单,需要进行“签约授权”操作,并提供了一个链接。
陈女士点开了上述链接,按照“客服QQ”的提示进行操作,但随后便发现网银账户的资金出现异常。在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了108800元,其中,前两笔金额各为5万元的转账,时间间隔仅为24秒。
不用输密码 “授权支付”后能直接从账户拿钱
“超级网银”的授权支付功能到底是怎样的?缘何会被骗子利用?昨天,记者与朋友小林配合,做了一下试验,发现获得授权后,果然不用再输密码,就能从小林的账户里直接“拿钱”。
记者首先登录自己的网银账户,选择“签约他行转账账户”,在取得小林的开户行信息后,输入后就会跳转到小林开户行的网银页面。然后,记者将此页面链接发给小林,小林在电脑上输入证件号码或用户名、登录密码和手机验证码,就直接进入“他行支付协议签约流程”。最后,小林再插入他开户行的U盾,点击最后确认,就完成了授权转账支付的过程。
之后,记者试着从小林账户里划扣9.91元,在几秒钟内,就完成了操作,不需要密码。这也就是说,在网银转账限额内,记者可以随意操作小林的账户转账。
需注意的是,整个授权支付转账过程中,很关键的是需要小林输入账户密码、手机短信验证码、插入U盾进行操作。
“应该说,此类盗刷案件不能称为“超级网银”有系统漏洞。”昨天,厦门一位电子银行专业人士说,除了“跨行资金归集业务”外,一般客户较少了解和使用“超级网银”中的授权操作功能,从而会被骗子们利用。所以,市民在网购时,不要相信来历不明的购物网站,应认准大型、正规的购物网站,更别通过聊天工具,点击来历不明的授权链接。如果有这样的安全意识,骗子的所谓“新招”,也是骗不到钱的。
提醒
收到授权链接千万别乱操作
在360互联网安全中心的警报中称,目前“超级网银”的授权操作存在一定安全风险,具体如下:
一.“超级网银”授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。
二.操作过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。有些银行的授权页面提示信息也过于晦涩,用户有可能忽视其中的安全隐患。
三.部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。
四.个别银行解除授权的操作比授权更复杂,甚至只允许被授权账户确认解除。
“对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家表示,从近期出现的 “超级网银”授权诈骗案例来看,全都是消费者在网购过程中被骗子误导,例如骗子以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是把整个网银账户都授权给骗子随意转账。
360互联网安全中心提醒网民,一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;网银账户应设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。
