"超级网银”存在重大安全漏洞

隐蔽性在于骗子发来的都是银行合法链接，专家提醒需警惕陌生人发来的任何链接

信息时报讯 (记者 何秋养) 对方发来的链接是银行方面真实存在的，可是尽管这样，用户还是上了骗子的当。近日，360互联网安全中心发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标，近期全国连续出现多起各大银行客户被骗案例。安徽省陈女士(化名)在网购衣服时，被骗子诱导进行了“超级网银”授权支付操作，短短24秒内，银行账户中10万元就被洗劫一空。

一旦操作 即授权对方任意转账

对于热衷网购的网民而言，支付风险无处不在。实际上，“超级网银”作为央行2009年开发的一套跨行财务管理产品，并且于2010年8月升级为第二代的“超级网银”，在技术上是安全成熟的。但根据网友反馈，很少用户意识到，自己的银行账户可以授权给别人任意转账。通俗地说，就是可以用一个网银账户，实现多张银行卡的跨行查询和转账，国内绝大多数银行均默认支持该项功能。然而一旦有不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，就可以将对方账户余额全部偷走。针对此，国内多家银行回应称，“在超级网银授权前，网银页面会有风险提示”。

然而，来自360公司的公开调查数据显示，在近期出现利用超级网银诈骗中，受害者大多为青年人，其中不乏高校大学生等具有一定知识水平和互联网技能的人。据记者了解，广州某高校的大学生小李(化名)在网上购买iPhone手机时，QQ客服发给他一个“付款链接”，并表示完成操作后，可以到实体店中去领取手机。小李是非常谨慎的人，在确定对方给他提供的是银行合法链接后，才按对方的要求完成了网银操作，可不到1分钟他就收到短信提示，显示他的银行卡的消费额超过了实际需要支付额。事后，小李才知道，骗子提供给他的是一个超级网银的授权支付链接，他点击这个链接后相当于确定把自己账户的查询与转账的权限授权给了骗子。

　授权后想取消还颇不容易

就“超级网银”授权的业务问题，记者拨打了数家银行的客服电话。结果发现，有的客服人员对该业务也说不清楚，或者表示不甚了解，更有同一家银行的不同客服人员给出了内容完全不同的回答。这种情况似乎表明，即使是在银行系统内部，“超级网银”的业务培训也没有受到充分重视。

另外，根据近期多位受害者反馈，他们即便知道自己被骗了，却无法通过自己的网银操作来解除之前已经完成的授权关系。按照银行客服的说法，由其他银行发来的请求授权申请，在授权用户的银行看来应当属于“他行业务”，因此用户一旦完成授权，用户所在的银行就不能擅自解除“他行业务”，而只能由被授权一方来解除授权签约，或者是双方同时使用U盾才能解除签约。

这也就意味着，用户除非挂失或暂时冻结自己的账户，否则一旦再向账户中存钱，又会被骗子轻易地转走。受害者实际处于一种完全无法自我保护的状态。不过并不是所有银行都不支持授权方解约。比如工商银行就可以比较容易地解除之前的授权。

专家提示：网银应设单日最高转账限额

“对于网银用户来说，更严重的风险在于安全意识薄弱。”360安全专家万仁国表示，从近期出现的“超级网银”授权诈骗案例来看，全都是消费者在网购过程中被骗子误导，例如骗子以“交易卡单”等名义发来银行真实存在的授权链接，忽悠消费者对交易资金“解冻”，实际上是把整个网银账户都授权给骗子随意转账。

鉴于“超级网银”授权链接都是银行官网地址，此前没有任何安全软件会对其报警拦截。业界专家建议用户警惕陌生人发来的此类链接。

此外，万仁国提醒广大网民：一旦网络交易出现异常，应当首先通过官方渠道联系客服，而不要轻信店家发来的客服聊天号码；不要相信所谓的卡单、掉单、解冻资金等说法，这些都是网络诈骗专用术语；网银账户应设置单日最高转账限额，并绝对不能将自己的账户授权给陌生人或陌生账户。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!