“钻“授权”漏洞 超级网银被骗子利用”

本篇文章1578字，读完约4分钟

对方发来的链接是银行方面真实存在的，可是尽管这样，客户还是上了骗子的当。近日，360网络安全中心发布重大安全警报称，“

对方发来的链接是银行方面真实存在的，可是尽管这样，客户还是上了骗子的当。近日，360网络安全中心发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标，近期全国连续出现多起各大银行顾客被骗范例。安徽省陈女士（化名）在网购衣服时，被骗子诱导进行了“超级网银”授权支付操作，短短24秒内，银行账户中10万元就被洗劫一空。

如果进行 操作

即授权对方任意转账

对于热衷于网络购物的读者来说，支付风险无处不在。 事实上，“超级网银”作为央行2009年开发的横向财务管理产品，又于年8月升级为第二代“超级网银”，技术安全成熟。 但是，根据网民的反馈，很少有人意识到自己的银行账户可以允许自由转账给别人。 简单来说，一个网络银行账户就可以实现多个银行卡跨行业的查询和转账，国内大部分银行都默认支持这个功能。 但是，如果不法分子滥用“超级网络银行”，通过诈骗手段获得他人银行账户的授权，则可以窃取对方的全部账户余额。 相比之下，国内许多银行的回答是:“在超级网络银行获得许可之前，网络银行的网页上有风险提示。”

然而，来自360企业的公开调查数据显示，在近期出现利用超级网银诈骗中，受害者大多为青年人，其中不乏高校大学生等具有一定知识水平和网络技能的人。据记者了解，广州某高校的大学生小李（化名）在网上购买iphone手机时，qq客服发给他一个“付款链接”，并表示完成操作后，可以到实体店中去领取手机。小李是非常谨慎的人，在明确对方给他提供的是银行合法链接后，才按对方的要求完成了网银操作，可不到1分钟他就收到短信提示，显示他的银行卡的花费额超过了实际需要支付额。事后，小李才知道，骗子提供给他的是一个超级网银的授权支付链接，他点击这个链接后相当于明确把自己账户的查询与转账的权限授权给了骗子。

在获得许可后取消并不容易

就“超级网银”授权的业务问题，记者拨打了数家银行的客服电话。结果发现，有的工作人员对该业务也说不清楚，或者表示不甚了解，更有同一家银行的不同工作人员给出了文案完全不同的回答。这种情况似乎表明，即使是在银行系统内部，“超级网银”的业务培训也没有受到充分重视。

另外，根据最近许多受害者的反馈，他们即使知道自己被骗了，也无法通过自己的网络银行操作解除以前完成的授权关系。 银行客服表示，其他银行的许可申请在批准客户的银行看来必须属于“其他领域的业务”。 因为，该顾客完成许可后，顾客所属的银行不能随意解除“其他领域的业务”，必须由被许可方解除许可合同或双方采用USB才能解除合同。

这也就意味着，客户除非挂失或暂时冻结自己的账户，否则一旦再向账户中存钱，又会被骗子轻易地转走。受害者实际处于一种完全无法自我保护的状态。不过并不是全部银行都不支持授权方解约。比如工商银行就可以比较容易地解除之前的授权。

专家的提示

网银应设单日最高转账限额

“对网络银行的客户来说，更严重的风险是安全意识弱。 ”360安全专家万仁国称，从最近出现的“超级网络银行”授权诈骗案例来看，所有客户在网购过程中都被骗子误导。 例如，欺诈者以“交易卡”等名义发送银行真实存在的许可链接，“解冻”交易资金，实际上允许将整个网络银行账户随意转账给欺诈者。

鉴于“超级网银”授权链接都是银行官网地址，此前没有任何安全软件会对其报警拦截。业界专家建议客户警惕陌生人发来的此类链接。

此外，万仁国提醒广大读者：一旦互联网交易出现异常，应当首先通过官方渠道联系客服，而不要轻信店家发来的客服聊天号码；不要相信所谓的卡单、掉单、解冻资金等说法，这些都是互联网诈骗专用术语；网银账户应设置单日最高转账限额，并绝对不能将自己的账户授权给陌生人或陌生账户。