中國(guó)經(jīng)濟(jì)網(wǎng)編者按：360互聯(lián)網(wǎng)安全中心于5月28日發(fā)布重大安全警報(bào)稱(chēng)，“超級(jí)網(wǎng)銀”跨行賬戶(hù)管理功能已經(jīng)成為黑客惡意利用的目標(biāo)，近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶(hù)被騙案例。據(jù)了解，目前多數(shù)銀行的“超級(jí)網(wǎng)銀”業(yè)務(wù)存在種種弊端，如部分銀行對(duì)轉(zhuǎn)賬授權(quán)風(fēng)險(xiǎn)提示不明顯、解除授權(quán)程序繁瑣等。

　　業(yè)內(nèi)人士指出，超級(jí)網(wǎng)銀用一個(gè)網(wǎng)銀賬戶(hù)實(shí)現(xiàn)多張銀行卡的跨行查詢(xún)和轉(zhuǎn)賬，也意味著，自己的銀行賬戶(hù)也可授權(quán)給別人任意轉(zhuǎn)賬，一旦不法分子獲取他人賬戶(hù)的授權(quán)，就可將對(duì)方賬戶(hù)余額盜走。

　　“超級(jí)網(wǎng)銀”漏洞 取消授權(quán)需對(duì)方申請(qǐng)

　　5月28日， 360互聯(lián)網(wǎng)安全中心發(fā)布了超級(jí)網(wǎng)銀風(fēng)險(xiǎn)提示，并曝出該產(chǎn)品多次被黑客利用的案例。超級(jí)網(wǎng)銀作為央行2009年研發(fā)并力推的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品，四年來(lái)一直默默無(wú)聞，卻因360舉動(dòng)被推上了風(fēng)口浪尖。

　　360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)，目前“超級(jí)網(wǎng)銀”的授權(quán)操作存在的安全風(fēng)險(xiǎn)主要包括：第一，“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說(shuō)，網(wǎng)銀用戶(hù)可以授權(quán)任何人對(duì)自己的賬戶(hù)進(jìn)行查詢(xún)和轉(zhuǎn)賬操作；第二，授權(quán)操作的過(guò)程比較簡(jiǎn)單，只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)，通過(guò)聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)；第三，部分銀行沒(méi)有在授權(quán)界面中提醒用戶(hù)設(shè)置額度，獲得授權(quán)的賬戶(hù)可以無(wú)限制轉(zhuǎn)賬。

　　客戶(hù)在銀行開(kāi)通超級(jí)網(wǎng)銀時(shí)雖方便快捷，但在解除授權(quán)時(shí)卻會(huì)遇到多種麻煩。某股份制銀行表示，用戶(hù)授權(quán)后無(wú)法單方面解約，而需被授權(quán)方發(fā)起解約申請(qǐng)。另一家股份制銀行則表示，若用戶(hù)在簽約授權(quán)后想要解除，可通過(guò)網(wǎng)上銀行相關(guān)按鈕進(jìn)行單方面解約，但必須要有對(duì)方U盾才能操作。更有銀行表示，對(duì)他行授權(quán)給該行的超級(jí)網(wǎng)銀賬戶(hù)不允許對(duì)方單方面解除。

　　此外，多家銀行的超級(jí)網(wǎng)銀在轉(zhuǎn)賬的過(guò)程中，銀行對(duì)轉(zhuǎn)賬授權(quán)的提示均不明顯，如某國(guó)有銀行僅有一次授權(quán)支付協(xié)議簽署提示，且只用黑色小字提示。此外，各銀行對(duì)超級(jí)網(wǎng)銀轉(zhuǎn)賬上限的設(shè)置也不同，不同銀行間的轉(zhuǎn)賬上限甚至相差百倍。如某國(guó)有銀行規(guī)定，新開(kāi)通超級(jí)網(wǎng)銀的客戶(hù)，單筆最高限額和每日的最高限額都是5000元，而另一家銀行網(wǎng)銀轉(zhuǎn)賬限額則是單筆5萬(wàn)元、每日限額高達(dá)500萬(wàn)元。

　　案例：“代付鏈接”操作 24秒被騙10萬(wàn)

　　安徽陳女士于5月21日晚間在淘寶上選衣服，在選中一款標(biāo)價(jià)為279元的韓版服裝后，經(jīng)討價(jià)還價(jià)，店主同意以200元的價(jià)格將衣服賣(mài)給陳女士。但需要由首先向廠家訂貨，之后再由陳女士來(lái)進(jìn)行支付，并向陳女士提供了一個(gè)“代付鏈接”。

　　此后，陳女士在代付鏈接上進(jìn)行了支付，但卻始終無(wú)法在自己的淘寶賬戶(hù)中查到交易記錄。店家表示，由于系統(tǒng)出現(xiàn)異常，陳女士所購(gòu)買(mǎi)的商品無(wú)法正常顯示交易定單，需抓緊時(shí)間聯(lián)系異常訂單處理中心客服解凍。這名“異常訂單處理中心”客服QQ表示：要解凍之前的訂單，需要進(jìn)行“簽約授權(quán)”操作，并在詢(xún)問(wèn)了陳女士使用的是哪家銀行后，提供了一個(gè)鏈接。

　　陳女士點(diǎn)開(kāi)了上述鏈接，并按照客服QQ的提示進(jìn)行了逐步操作，但隨后便立即發(fā)現(xiàn)自己網(wǎng)銀賬戶(hù)的資金異常。在之后不足5分鐘左右的時(shí)間里，騙子先后分6次，從陳女士賬戶(hù)中轉(zhuǎn)走了10萬(wàn)8千8百元，加上先前通過(guò)代付鏈接騙取的200元，總共從陳女士那里騙走了10萬(wàn)9千元。等到陳女士確信自己被騙時(shí)，賬戶(hù)中的資金余額已經(jīng)僅剩40.38元。賬單顯示，所有資金都被轉(zhuǎn)入了一個(gè)姓葉的人的賬戶(hù)中。

　　據(jù)陳女士說(shuō)：她在發(fā)現(xiàn)第一筆轉(zhuǎn)賬行為后，便立即開(kāi)始撥打銀行的客服電話，希望能盡快凍結(jié)自己的銀行賬戶(hù)。但等到她撥通銀行客服時(shí)，賬戶(hù)資金已經(jīng)被幾乎全部轉(zhuǎn)走了。從銀行賬單記錄來(lái)看，前兩筆金額各為5萬(wàn)元的轉(zhuǎn)賬，時(shí)間間隔僅為24秒，到最后一筆轉(zhuǎn)賬完成也只有不到5分鐘。在這么短的時(shí)間里，實(shí)際上陳女士采取任何補(bǔ)救措施都是來(lái)不及的。

　　在此案例中，陳女士遭遇的實(shí)際上是連環(huán)欺詐：騙子首先通過(guò)發(fā)送商品的代付鏈接，完成了第一次欺詐；之后又利用代付交易不會(huì)在淘寶賬戶(hù)上生成交易記錄的特點(diǎn)，以卡單、系統(tǒng)出現(xiàn)異常等借口將陳女士誘騙到虛假客服，最終通過(guò)虛假客服完成了授權(quán)支付的欺詐。

　　超級(jí)網(wǎng)銀授權(quán)示意圖(圖片來(lái)自360網(wǎng)站)

　　防騙指南

　　1、一旦網(wǎng)絡(luò)交易出現(xiàn)異常，應(yīng)當(dāng)首先通過(guò)官方渠道聯(lián)系客服，而不要輕信網(wǎng)絡(luò)店家發(fā)來(lái)的客服聊天號(hào)碼；特別是在淘寶上購(gòu)物，不能相信QQ客服；

　　2、了解代付規(guī)則，謹(jǐn)慎進(jìn)行代付操作；

　　3、不要相信所謂的卡單、掉單、解凍資金等說(shuō)法，這些說(shuō)法都是詐騙專(zhuān)用術(shù)語(yǔ)；

　　4、絕對(duì)不能將自己的賬戶(hù)授權(quán)給陌生人或陌生賬戶(hù)；

　　5、目前，很多銀行只支持授權(quán)簽約操作，但卻不支持解約操作；即在某些銀行的網(wǎng)銀中，一旦完成授權(quán)，就只能由被授權(quán)一方來(lái)發(fā)起解約，而授權(quán)一方反而無(wú)法解約；因此，當(dāng)發(fā)現(xiàn)自己已經(jīng)被騙時(shí)，應(yīng)立即聯(lián)系銀行凍結(jié)賬戶(hù)或掛失銀行卡，否則就無(wú)法有效的阻止賬戶(hù)資金被繼續(xù)轉(zhuǎn)出；

　　6、對(duì)自己的網(wǎng)銀賬戶(hù)設(shè)置單日最高轉(zhuǎn)賬限額，以控制風(fēng)險(xiǎn)；一旦發(fā)生經(jīng)濟(jì)損失，應(yīng)及時(shí)報(bào)案。

　　名詞解釋?zhuān)?/strong>