近日，360安全中心發(fā)布重大安全警報(bào)稱，近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶被騙案例，均因?yàn)椤俺��?jí)網(wǎng)銀”跨行賬戶管理功能被黑客惡意利用。

　　安徽的受害用戶陳女士在短短24秒內(nèi)，其銀行賬戶10萬(wàn)元就被洗劫一空。據(jù)了解，騙子利用了目前“超級(jí)網(wǎng)銀”的授權(quán)操作過(guò)于簡(jiǎn)單、身份驗(yàn)證機(jī)制不完善等問(wèn)題，對(duì)網(wǎng)購(gòu)消費(fèi)者進(jìn)行詐騙。

　　“超級(jí)網(wǎng)銀”真的漏洞很多嗎？那普通老百姓還可以放心使用嗎？

　　或是中了“釣魚(yú)”軟件的招

　　記者近日采訪了某國(guó)有大銀行浙江省分行電子銀行部的總經(jīng)理。他解釋說(shuō)，“超級(jí)網(wǎng)銀”作為央行研發(fā)的標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品，風(fēng)險(xiǎn)還是可以得到控制的。“這個(gè)案例講得很清楚，我猜測(cè)和以往的“釣魚(yú)”軟件類似，客戶泄露了所有的信息，錢被盜取也不奇怪，不能簡(jiǎn)單地把責(zé)任推到‘超級(jí)網(wǎng)銀’身上”。他說(shuō)，關(guān)鍵還是在于個(gè)人要有較強(qiáng)的風(fēng)險(xiǎn)防范意識(shí)，對(duì)一些陌生的鏈接還是不要輕易接觸使用。

　　據(jù)受害者陳女士講述，前幾天自己在網(wǎng)上購(gòu)買了一件279元的衣服，是通過(guò)賣家發(fā)來(lái)的購(gòu)物鏈接付款的，但之后卻發(fā)現(xiàn)沒(méi)有交易記錄。而賣家給出的理由是系統(tǒng)異常，需要陳女士使用QQ聯(lián)系他們的“客服”進(jìn)行解凍，實(shí)際上所謂的“客服”是騙子偽裝的，隨后騙子還特意詢問(wèn)了陳女士所使用的網(wǎng)銀，最終發(fā)來(lái)一個(gè)建行的“簽約授權(quán)”鏈接，陳女士誤信了騙子的說(shuō)辭點(diǎn)擊了授權(quán)最終被騙。“這其實(shí)和普通的網(wǎng)上詐騙差不多，你點(diǎn)擊的鏈接就是騙子的“釣魚(yú)”頁(yè)面，你點(diǎn)擊了肯定就上當(dāng)受騙了！”上述專家解釋說(shuō)，不能把被騙的責(zé)任推到“超級(jí)網(wǎng)銀”身上。

　　有些金融常識(shí)的人都清楚，“超級(jí)網(wǎng)銀”其實(shí)是銀行之間的結(jié)算系統(tǒng)，是標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品，能夠方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶。通俗地說(shuō)，就是可以用一個(gè)網(wǎng)銀賬戶，實(shí)現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬，國(guó)內(nèi)絕大多數(shù)銀行均默認(rèn)支持該項(xiàng)功能。此前微博上被熱炒的“只要老公賬戶上的資金余額超過(guò)1000元，超出部分就會(huì)自動(dòng)被劃轉(zhuǎn)到老婆的賬戶”，其實(shí)就是基于“超級(jí)網(wǎng)銀”的資金歸集功能實(shí)現(xiàn)的。不過(guò)，要實(shí)現(xiàn)“授權(quán)他行支付”功能，兩張銀行卡之間必須先“簽約授權(quán)”。

　　“超級(jí)網(wǎng)銀”四個(gè)漏洞要小心

　　360互聯(lián)網(wǎng)安全中心發(fā)布的報(bào)告指出“超級(jí)網(wǎng)銀”的四個(gè)漏洞：第一，“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說(shuō)，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作；第二，授權(quán)操作的過(guò)程比較簡(jiǎn)單，只需將授權(quán)頁(yè)面的鏈接復(fù)制下來(lái)，通過(guò)聊天軟件發(fā)送給他人“簽約”，就可以在不同電腦上實(shí)現(xiàn)授權(quán)。對(duì)于普通用戶來(lái)說(shuō)，有些銀行的授權(quán)頁(yè)面提示信息也過(guò)于晦澀，有可能忽視其中的安全隱患；第三，部分銀行沒(méi)有在授權(quán)界面中提醒用戶設(shè)置額度，獲得授權(quán)的賬戶可以無(wú)限制轉(zhuǎn)賬。在此過(guò)程中，并不需要授權(quán)賬戶進(jìn)行二次確認(rèn)，因此也無(wú)法阻止賬戶余額被轉(zhuǎn)走；第四，個(gè)別銀行解除授權(quán)的操作比授權(quán)更復(fù)雜，甚至只允許被授權(quán)賬戶確認(rèn)解除。

　　記者了解到，在簽約“超級(jí)網(wǎng)銀”時(shí)，銀行確實(shí)未對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，沒(méi)有親屬和血緣關(guān)系的雙方也都可以簽約“超級(jí)網(wǎng)銀”。但是簽約時(shí)必須需要雙方的網(wǎng)銀UKEY和支付密碼。一旦“超級(jí)網(wǎng)銀”授權(quán)完成后，資金轉(zhuǎn)出也確實(shí)無(wú)需再經(jīng)本人同意確認(rèn)。

　　“簽約要求是很多的，我前幾天給妻子授權(quán)，試驗(yàn)了三四次都失敗了呢！”上述專家表示，授權(quán)操作還是比較嚴(yán)格的。他還指出，在客戶授權(quán)后的連續(xù)轉(zhuǎn)賬，這個(gè)確實(shí)和其他支付不一樣。“授權(quán)之后別人就有了你賬戶的完全操作權(quán)，自然可以連續(xù)轉(zhuǎn)賬，按照一筆5萬(wàn)元，兩筆就轉(zhuǎn)完10萬(wàn)元了，因此24秒內(nèi)轉(zhuǎn)走10萬(wàn)元一點(diǎn)也不奇怪。普通的轉(zhuǎn)賬每次都需要授權(quán)，而“超級(jí)網(wǎng)銀”一旦授權(quán)就可以連續(xù)操作，這是它與眾不同的地方。”

　　奇虎360公司安全專家萬(wàn)仁國(guó)介紹說(shuō)，“超級(jí)網(wǎng)銀”授權(quán)并不會(huì)對(duì)雙方身份和關(guān)系進(jìn)行驗(yàn)證，也就是說(shuō)，網(wǎng)銀用戶可以授權(quán)任何人對(duì)自己的賬戶進(jìn)行查詢和轉(zhuǎn)賬操作。一旦有不法分子利用規(guī)則，忽悠用戶授權(quán)支付，就可瞬間移走資金。“‘超級(jí)網(wǎng)銀’在技術(shù)層面上沒(méi)有任何安全漏洞，是授權(quán)規(guī)則被不法分子利用了。”萬(wàn)仁國(guó)向記者強(qiáng)調(diào)，從近期出現(xiàn)的“超級(jí)網(wǎng)銀”授權(quán)詐騙案例來(lái)看，全都是消費(fèi)者在網(wǎng)購(gòu)過(guò)程中被騙子誤導(dǎo)，以“交易卡單”、“解凍”、“退款”等名義發(fā)來(lái)授權(quán)鏈接，這實(shí)際上就是利用網(wǎng)銀用戶對(duì)“超級(jí)網(wǎng)銀”的無(wú)知來(lái)操作，在這一點(diǎn)上，網(wǎng)銀用戶的安全意識(shí)十分薄弱。

　　“從這個(gè)意義上講，網(wǎng)銀用戶要提高自我的風(fēng)險(xiǎn)防范意識(shí)。”銀行專家表示，盡量不要授權(quán)他人查詢本人賬戶和授權(quán)他人支付本人資金屬高風(fēng)險(xiǎn)交易行為，請(qǐng)務(wù)必小心謹(jǐn)慎，嚴(yán)防詐騙，并定期關(guān)注賬戶資金變動(dòng)情況。在日常使用中也不要通過(guò)電子郵件以及QQ、msn、旺旺等即時(shí)通信工具對(duì)話信息中的網(wǎng)址登錄銀行或者淘寶等商戶網(wǎng)站，同時(shí)，也不要隨意接收和打開(kāi)賣家傳送的文件。在發(fā)現(xiàn)賬戶存在欺詐風(fēng)險(xiǎn)時(shí)，及時(shí)撥打銀行熱線電話對(duì)賬戶進(jìn)行掛失等手段以保障賬戶資金安全。