黑客惡意利用網(wǎng)銀 女子10萬存款半分鐘內(nèi)被搬走

　　網(wǎng)上購物要注意資金安全。CFP圖

　　截圖1：案例1中騙子發(fā)給王先生的“支付鏈接”

　　截圖2：案例2中騙子誘騙陳女士進(jìn)行網(wǎng)銀授權(quán)

　　超級(jí)網(wǎng)銀成黑客利用工具 銀行提醒客戶看到輸入卡號(hào)、交易密碼等信息要謹(jǐn)慎

　　“超級(jí)網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo)，近期全國(guó)連續(xù)出現(xiàn)多起銀行客戶被騙案例?！　?/p>

　　記者就此事咨詢了銀行的專業(yè)人士，其表示，超級(jí)網(wǎng)銀的跨行轉(zhuǎn)賬原則上是必須支付、收款雙方都允許的，且授權(quán)過程還需要付款方輸入卡號(hào)、交易金額等資料，因此不法分子想要獲得授權(quán)并非易事?！　?/p>

　　專家提醒，網(wǎng)銀用戶一定要樹立安全意識(shí)，在網(wǎng)購過程中最好不要輕信陌生人通過聊天軟件發(fā)來的鏈接，就算是不小心點(diǎn)進(jìn)去了，也要看清楚頁面的信息，如果出現(xiàn)了需要輸入卡號(hào)、交易額等敏感字眼，需要謹(jǐn)慎處理。

　　案例一： 網(wǎng)購166元

　　褲子被騙20166元

　　王先生通過即時(shí)聊天工具與某購物網(wǎng)站賣家商談購買一條褲子。店家發(fā)給王先生一個(gè)報(bào)價(jià)166元的褲子的商品鏈接。王先生通過網(wǎng)銀支付后，卻看不到交易記錄。店家就給了王先生一個(gè)客服QQ號(hào)，讓王先生與客服聯(lián)系。

　　王先生與該客服QQ溝通后，客服QQ給王先生提供了一個(gè)“退款鏈接”，表示王先生按照提示操作就可以內(nèi)部退款。王先生按照客服提示，進(jìn)入了一個(gè)“授權(quán)建行賬戶支付協(xié)議簽約”的界面。（截圖1）

　　王先生對(duì)這個(gè)授權(quán)頁面上的信息也有所懷疑，但該網(wǎng)店的客服表示：這是內(nèi)部核對(duì)信息，只要按照提示完成操作，收款人就會(huì)將貨款退還給王先生。王先生猶豫之后，還是按照客服提示完成了授權(quán)操作。

　　幾分鐘后，王先生收到銀行短信，提示自己的賬戶中有1萬元被轉(zhuǎn)走；過了一會(huì)兒，他又收到一條新的銀行短信，提示自己又有1萬元被轉(zhuǎn)走。

　　案例二： 代付鏈接

　　騙走10萬存款

　　安徽的陳女士在某購物網(wǎng)站上一家名為“超人氣潮流2013”的店中選中了一款標(biāo)價(jià)為279元的韓版服裝。對(duì)方客服表示，該商品需要首先向廠家訂貨，之后再由陳女士來進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”。而據(jù)業(yè)內(nèi)人士介紹，代付操作是一種網(wǎng)購服務(wù)，即甲購買商品，但由乙來付款。進(jìn)行代付操作，付款人只能查到資金支出記錄，但賬戶中不會(huì)生成交易記錄。

　　陳女士在代付鏈接上進(jìn)行了支付，卻無法像往常一樣查到交易記錄，店家表示要聯(lián)系異常訂單處理中心客服才能解決，并發(fā)給陳女士一個(gè)QQ號(hào)。焦急的陳女士便與店家提供的客服QQ進(jìn)行了聯(lián)系。名為“異常訂單處理中心”的客服QQ表示：要解凍之前的訂單，需要進(jìn)行“簽約授權(quán)”操作，并在詢問了陳女士使用的是哪家銀行后，提供了一個(gè)鏈接。（截圖2）

　　陳女士在上述鏈接，按照客服QQ的提示進(jìn)行了逐步操作，在之后約5分鐘時(shí)間內(nèi)，騙子先后分6次，從陳女士賬戶中轉(zhuǎn)走了十萬八千八百元，加上先前通過代付鏈接支付的二百元，總共被騙十萬九千元，賬戶中的資金余額僅剩40.38元。賬單顯示，所有資金都被轉(zhuǎn)移到一個(gè)陌生人的銀行賬戶中。從銀行賬單記錄來看，前兩筆金額各為5萬元的轉(zhuǎn)賬，時(shí)間間隔僅為24秒。

　　業(yè)內(nèi)解析：

　　不法分子誘騙用戶進(jìn)行“網(wǎng)銀授權(quán)支付”

　　昨日，360發(fā)布重大安全警報(bào)稱，騙子通過釣魚鏈接、交易失敗提示、客服聊天等組合，誘騙受害者進(jìn)行“網(wǎng)銀授權(quán)支付”，短短幾分鐘內(nèi)就能將受害者賬戶中的資金大量轉(zhuǎn)出。

　　專家認(rèn)為，目前“超級(jí)網(wǎng)銀”的授權(quán)操作存在一定安全風(fēng)險(xiǎn)，“比如‘超級(jí)網(wǎng)銀’授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作?！贝送?，有些銀行的授權(quán)頁面提示信息過于晦澀，客戶有可能忽視其中的安全隱患。

　　專家認(rèn)為，部分銀行沒有在授權(quán)界面中提醒用戶設(shè)置額度，在此過程中，也并不需要授權(quán)賬戶進(jìn)行二次確認(rèn)，因此無法阻止賬戶余額被轉(zhuǎn)走。

　　銀行回應(yīng)：

　　獲得授權(quán)需付款方輸入多項(xiàng)信息

　　記者了解到，“超級(jí)網(wǎng)銀”是2009年央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品,可以用一個(gè)網(wǎng)銀賬戶,實(shí)現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬。而將不同銀行的賬戶關(guān)聯(lián)到某個(gè)指定銀行賬戶的過程,就是“授權(quán)”操作。

　　“但有的銀行就沒有參與其中，而參與的銀行也有各自不同的處理辦法?！蹦彻煞葜沏y行技術(shù)部門相關(guān)工作人員賈先生（化名）告訴記者，人民銀行在系統(tǒng)里設(shè)了單筆五萬元的交易限額，但銀行可以自行處理，如有的銀行可直接在網(wǎng)銀上改，但有的銀行必須要到柜臺(tái)去修改限額。

　　在跨行轉(zhuǎn)賬授權(quán)方面，賈先生表示，“如果要進(jìn)行指定賬戶關(guān)聯(lián)，必須收款方在自己的網(wǎng)銀頁面上發(fā)起交易，付款人也要允許，雙方都同意，這是前提?！?/p>

　　賈先生認(rèn)為，“收款人發(fā)起交易一定要從銀行正規(guī)網(wǎng)站進(jìn)去，不可能由自己編的網(wǎng)站發(fā)起。此外，對(duì)方的確認(rèn)并不是簡(jiǎn)單點(diǎn)擊‘ok’，有的銀行還會(huì)要求輸入卡號(hào)尾數(shù)、交易限額等信息。就算是緊急授權(quán)，也要輸入交易限額等信息，且每家銀行都需要相關(guān)付款人的身份驗(yàn)證，比如說，要通過付款人的U盾、密碼等信息進(jìn)行驗(yàn)證。”

　　用戶被騙過程

　　不法分子開通了超級(jí)網(wǎng)銀功能，然后在網(wǎng)絡(luò)交易過程中，發(fā)給被騙者一個(gè)銀行支付界面，這個(gè)界面確實(shí)是銀行的，但它是不法分子的超級(jí)網(wǎng)銀管理界面；

　　當(dāng)受騙者被誘騙把自己的銀行賬號(hào)、密碼輸入到該界面后，其實(shí)就是把自己的銀行卡權(quán)限歸入了不法分子的這個(gè)超級(jí)網(wǎng)銀里面；

　　不法分子獲得授權(quán)后，可以隨意對(duì)被騙者的銀行卡進(jìn)行轉(zhuǎn)賬，導(dǎo)致被騙者財(cái)產(chǎn)損失。

　　專家建議：

　　1.在網(wǎng)購過程中，對(duì)于對(duì)方需要遠(yuǎn)程協(xié)助的說法，網(wǎng)購用戶一定要謹(jǐn)慎，這種情況多半是騙子；

　　2.對(duì)于對(duì)方發(fā)來的任何支付界面一定要看清楚，而且不要輕易在對(duì)方發(fā)來的支付界面輸入自己的賬號(hào)和密碼；

　　3.一旦網(wǎng)絡(luò)交易出現(xiàn)異常，應(yīng)當(dāng)首先通過官方渠道聯(lián)系自己開卡銀行的客服，不要輕信網(wǎng)絡(luò)店家發(fā)來的客服聊天號(hào)碼；

　　4.不要相信網(wǎng)絡(luò)上陌生人所謂的卡單、掉單、解凍資金等說法；

　　5.對(duì)自己的網(wǎng)銀賬戶設(shè)置單日最高轉(zhuǎn)賬限額，以控制風(fēng)險(xiǎn)。（段郴群、李婧暄）