本篇文章2428字,读完约6分钟
一度备受推崇的“超级网银”陷入了舆论漩涡。最近,出现了很多大银行“超级网银”客户被骗的案例。在360网络安全中心发布“超级网上银行”成为黑客恶意利用的目标的报告后,金山网络安全也公开声明“超级网上银行”具有“更大的授权风险”。 专家认为,客户资金被骗的重要原因是签署和授权支付“超级网银”存在安全风险,以及网民对“超级网银”缺乏了解。 据《中国商报》记者报道,近日,中央银行相关部门紧急组织了一次关于超级网银安全问题的信息会议,与会者包括多家银行和软件厂商。 超级网上银行的新骗局”[h/]超级网上银行的转账支付功能正在成为网上欺诈的新工具。那么,“超级网上银行”的骗局是如何实现的呢?让我们来看一个“24秒内被骗子卷走10万元”的案例: 陈女士在一个购物网站上看中了一件衣服,店主说她需要在陈女士付款前向厂家订购,所以给她提供了一个“付款链接”。陈女士在支付环节进行了支付,但无法像往常一样找到交易记录。店主说:“因为系统不正常,购买的商品不能正常显示交易订单。请联系异常订单处理中心客服签订解冻合同”,并发给陈女士一个客服qq号码。陈女士联系了该“异常订单处理中心”的客服qq,得到回复:解冻之前的订单需要“签字授权”,她问陈女士使用的是哪家银行,并提供了链接。陈女士点击了链接,并按照qq的提示,但立即发现她的网上银行账户有异常资金。在接下来的5分钟里,陈女士的账户被转了6次,只剩下40.38元。更糟糕的是,在发现第一笔转账后,陈女士立即拨打了银行客服电话,希望冻结她的银行账户。但是,当她拨打银行客服电话时,她账户中的几乎所有资金都被转移走了。根据银行账单记录,前两次转账金额各为5万元,时间间隔只有24秒。在这么短的时间内,陈女士没有时间采取任何补救措施。陈女士并不是唯一被欺骗的人。许多网上购物者被“超级网上银行”骗了,情况也差不多。 “超级网银”是央行首创的标准化跨行在线金融服务产品,可实现各大银行网银互联互通,方便用户跨行管理账户。那么,便捷的“超级网上银行”怎么会成为网上欺诈的工具呢? 事实上,在采访中,许多网络安全工程师提醒记者,这种欺骗可能是一种新的有组织的欺骗。与传统的网络钓鱼网站或木马程序盗取购物者的银行卡账户和密码不同,在“超级网银”的情况下,虽然诈骗者也通过qq发送网络钓鱼链接欺骗受害者,但受害者的主要损失不是因为他们在虚假的购物网站上购物,而是因为他们在“交易失败”后向商店投诉。受害者被诈骗者的客服qq诱骗进入一个名为“授权签署XXX银行账户支付协议”的页面,实际上是授权诈骗者使用另一个网上银行账户转账或支付自己的网上银行。授权完成后,受害者网上银行账户中的资金将被大量转出。 漏洞或非技术问题 360网络工程师万仁国告诉记者,客户资金诈骗的重要原因在于“超级网银”签约授权支付的安全风险,容易被犯罪分子利用进行诈骗。 这种潜在的安全隐患在行业中可能很普遍。金山网银安全中心对105家商业银行的超级网银授权功能进行验证,85家超级网银授权风险较高,占80%以上。 金山网银安全中心对国内105家商业银行超级网银签约的安全性进行了简单评估,并对以下四个指标进行了评估:超级网银签约网站是否限于本地运营、访问量是否有限、是否有时效性限制、是否允许复制。 根据金山公司互联网安全中心的报告,如果上述四个指标中的三个能够达到,欺诈者恶意利用的可能性就变得非常小,这可以被视为高安全性。只有广发银行和渤海银行符合这一标准;只要有限制,有机会防止欺诈,就有8家商业银行,包括民生银行(报价、资本、股市、询价)、北京银行(报价、资本、股市、询价)和广州银行。有85家商业银行没有限制,容易被欺诈者利用。 但是,360网络安全中心认为,“超级网银”的漏洞不是技术问题,而是与银行的“超级网银”概念有关。360董事长周公开建议,从设计理念上讲,确保用户资金安全应该是网上理财产品的第一要务,而不是一味追求交易的便捷性。当用户使用“超级网银”时,银行应该用通俗易懂的语言给用户一个很强的安全风险警示,甚至提供超级网银的诈骗案例供用户参考,以免更多用户上当。 在接受记者采访时,普遍的看法是,银行应该完善交易操作规则,这对于更严格地审计高风险操作非常重要。“如果‘超级网银’可以加入更高强度的风险控制措施,包括限制同一台电脑主机的操作授权,甚至‘超级网银’业务需要授权双方在银行柜台开户,就可以最大限度地避免犯罪分子利用该业务实施网上欺诈。”万仁国说道。 在“超级网上银行”的案例中,银行通常被批评为复杂、乏味和“格式化”的风险警告,这使得受害者在某些情况下无法详细阅读相关规则,并相信骗子。“中国大部分网民缺乏安全知识,根本不了解‘超级网银’业务,这将给欺诈者一个机会。从被骗者的反馈来看,他们并没有意识到自己的网银账户在被骗前可能被他人任意转移。”万仁国说道。 针对“超级网银”问题,广发银行网络金融安全专家告诉记者,我行将坚持不懈地开展网银安全教育,提高客户防范风险的意识和能力,避免客户被不法分子欺骗。此外,建议客户在使用任何互联网金融服务时,应坚持通过官方网站或银行客户或正规购物网站进行处理,不要相信他人发送的未知网络链接,以免落入骗子的圈套。如果发生意外欺骗或盗窃,请立即报告损失。 扩展阅读 “超级网银”授权操作存在四个漏洞。“超级网银”的授权并不验证双方的身份和关系,也就是说,网银用户可以授权任何人查询和转账自己的账户。 授权操作过程相对简单。你只需要复制授权页面的链接,通过聊天软件发给别人“注册”,就可以在不同的电脑上实现授权。对于普通用户来说,一些银行授权页面上的提示信息过于模糊,可能会忽略潜在的安全隐患。 部分银行没有提醒用户在授权界面设置限额,授权账户可以无限制转账。在此过程中,不需要授权账户进行二次确认,因此无法防止账户余额被转移。 单个银行取消授权比授权更复杂,甚至只允许授权账户确认取消。