超級網(wǎng)銀大漏洞從何而來

業(yè)內(nèi)人士透露 部分淘寶賣家使用灰色借記卡“刷信用”給騙子可乘之機(jī)

“最近淘寶買家陳女士的賬戶在24秒內(nèi)被犯罪分子盜走10萬元，原來騙子給其發(fā)送“超級網(wǎng)銀”的授權(quán)鏈接，誘使其上當(dāng)受騙。這一案例使不少網(wǎng)友對“超級網(wǎng)銀”感到恐慌�！俺�級網(wǎng)銀”真的那么可怕嗎？記者調(diào)查發(fā)現(xiàn)，超級網(wǎng)銀的“漏洞”一方面是因?yàn)橛脩舨涣私獬�級網(wǎng)銀的使用規(guī)則，二是因?yàn)橐恍┨詫氋u家為了“刷信用”，讓大量灰色借記卡的資料“擴(kuò)散”，給了騙子可乘之機(jī)�！�

【被騙案例】

輕信“客服QQ” “簽約授權(quán)”后24秒被盜10萬

根據(jù)公開信息，不久前，陳女士在某購物網(wǎng)站選中了一款200元的服裝。商家表示，要先向廠家訂貨，之后再由陳女士來進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”，陳女士在代付鏈接上進(jìn)行了支付，卻無法像往常一樣查到交易記錄，于是向店家咨詢。店家表示，“系統(tǒng)出現(xiàn)異常，您購買的商品無法正常顯示出交易訂單，請您現(xiàn)在抓緊時(shí)間聯(lián)系異常訂單處理中心客服簽約為您解凍”，并發(fā)給陳女士一個(gè)QQ號。

焦急的陳女士沒有多想，便與店家提供的客服QQ進(jìn)行了聯(lián)系�？头�表示要解凍之前的訂單，需要進(jìn)行“簽約授權(quán)”操作，并在詢問了陳女士使用的是哪家銀行后提供了一個(gè)鏈接。

陳女士點(diǎn)開了上述鏈接，按照客服QQ的提示進(jìn)行了逐步操作，隨后便立即發(fā)現(xiàn)自己網(wǎng)銀賬戶的資金有異常。她還沒打通銀行客服電話，就有兩筆金額各為5萬元的轉(zhuǎn)賬在24秒內(nèi)完成。

根據(jù)陳女士回憶，被騙時(shí)她還使用了U盾防護(hù)并接收到了銀行的轉(zhuǎn)賬短信提示，但為時(shí)已晚，因?yàn)橐呀?jīng)選擇了將自己的網(wǎng)銀授權(quán)給了騙子進(jìn)行操作。

【幕后鏈條】

大量灰色借記卡被賣給淘寶賣家 騙子手法“與時(shí)俱進(jìn)”

“受騙的人都是因?yàn)椴皇�分了解網(wǎng)銀的一些基本原則，甚至這個(gè)被騙與超級網(wǎng)銀并無直接關(guān)系�！睂Τ�級網(wǎng)銀深有研究的諾基亞西門子項(xiàng)目經(jīng)理陳朋之指出，最先曝出的受騙人群是淘寶上的許多賣家，為了刷信用，需要登記不同的用戶，使用不同的借記卡。于是第一批騙子出來了，通過不知道從哪兒弄來的身份證號，開通了許多借記卡，同時(shí)也簽約了這些卡的超級網(wǎng)銀被扣款，接著把這些借記卡賣給了許多淘寶賣家。淘寶賣家收到卡后，為了刷信用，于是就利用這些借記卡開通新的買家，進(jìn)行買賣。

這時(shí)候騙子的機(jī)會來了，只要淘寶賣家一往這個(gè)卡里匯款，騙子可能就收到了消息提示，然后立刻對該卡發(fā)起扣款操作。于是賣家的錢一下子就不見了。第二類被騙的用戶就是像陳女士這樣不懂超級網(wǎng)銀的網(wǎng)民，被騙子要求主動(dòng)開通被他行扣款的授權(quán)。“騙子們?nèi)绱伺c時(shí)俱進(jìn)，對超級網(wǎng)銀的了解比許多普通用戶要深刻得多。所以千萬不要小看騙子的‘學(xué)習(xí)’精神�！� 陳朋之感嘆說。

【專家觀點(diǎn)】

“超級網(wǎng)銀”授權(quán)過程簡單 不懂規(guī)則相當(dāng)于把鑰匙給小偷

有網(wǎng)絡(luò)安全機(jī)構(gòu)認(rèn)為，在本輪超級網(wǎng)銀安全風(fēng)波中，最核心的問題在于授權(quán)規(guī)則。超級網(wǎng)銀授權(quán)并不會對雙方身份和關(guān)系進(jìn)行驗(yàn)證，網(wǎng)銀用戶可以授權(quán)任何人對自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。其次，授權(quán)操作的過程比較簡單，只需將授權(quán)頁面的鏈接復(fù)制下來，通過聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對于普通用戶來說,有些銀行的授權(quán)頁面提示信息過于晦澀,有可能忽視其中的安全隱患。

專家表示，授權(quán)之后，別人就有了你賬戶的完全操作權(quán)。普通的轉(zhuǎn)賬每次都需要授權(quán)，而“超級網(wǎng)銀”一旦授權(quán)就可以連續(xù)操作。

但是一些對超級網(wǎng)銀有深入了解的業(yè)內(nèi)人士認(rèn)為，目前被曝出資金被盜的案例，最根本的原因在于用戶不了解超級網(wǎng)銀授權(quán)的基本原理，被騙子誘騙泄露個(gè)人身份信息而上當(dāng)，并非超級網(wǎng)銀本身有什么技術(shù)漏洞。這相當(dāng)于把家里的鑰匙給了誤以為是朋友的小偷，跟網(wǎng)友上釣魚網(wǎng)站的道理一樣。當(dāng)然超級網(wǎng)銀在客戶咨詢指導(dǎo)、額度限定、單方解約等方面也需要進(jìn)一步完善服務(wù)。

某國有大銀行電子銀行部人士對陳女士受騙的案例分析指出，“超級網(wǎng)銀”作為央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品，風(fēng)險(xiǎn)還是可以得到控制的。