超级网银客户被骗案例频发 “四个漏洞”要小心

“超级网银”四个漏洞要小心

360互联网安全中心发布的报告指出“超级网银”的四个漏洞：第一，“超级网银”授权并不会对双方身份和关系进行验证，也就是说，网银用户可以授权任何人对自己的账户进行查询和转账操作；第二，授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。对于普通用户来说，有些银行的授权页面提示信息也过于晦涩，有可能忽视其中的安全隐患；第三，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。在此过程中，并不需要授权账户进行二次确认，因此也无法阻止账户余额被转走；第四，个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。

记者了解到，在签约“超级网银”时，银行确实未对双方身份和关系进行验证，没有亲属和血缘关系的双方也都可以签约“超级网银”。但是签约时必须需要双方的网银UKEY和支付密码。一旦“超级网银”授权完成后，资金转出也确实无需再经本人同意确认。

“签约要求是很多的，我前几天给妻子授权，试验了三四次都失败了呢！”上述专家表示，授权操作还是比较严格的。他还指出，在客户授权后的连续转账，这个确实和其他支付不一样。“授权之后别人就有了你账户的完全操作权，自然可以连续转账，按照一笔5万元，两笔就转完10万元了，因此24秒内转走10万元一点也不奇怪。普通的转账每次都需要授权，而“超级网银”一旦授权就可以连续操作，这是它与众不同的地方。”

奇虎360公司安全专家万仁国介绍说，“超级网银”授权并不会对双方身份和关系进行验证，也就是说，网银用户可以授权任何人对自己的账户进行查询和转账操作。一旦有不法分子利用规则，忽悠用户授权支付，就可瞬间移走资金。“‘超级网银’在技术层面上没有任何安全漏洞，是授权规则被不法分子利用了。”万仁国向记者强调，从近期出现的“超级网银”授权诈骗案例来看，全都是消费者在网购过程中被骗子误导，以“交易卡单”、“解冻”、“退款”等名义发来授权链接，这实际上就是利用网银用户对“超级网银”的无知来操作，在这一点上，网银用户的安全意识十分薄弱。

“从这个意义上讲，网银用户要提高自我的风险防范意识。”银行专家表示，尽量不要授权他人查询本人账户和授权他人支付本人资金属高风险交易行为，请务必小心谨慎，严防诈骗，并定期关注账户资金变动情况。在日常使用中也不要通过电子邮件以及QQ、msn、旺旺等即时通信工具对话信息中的网址登录银行或者淘宝等商户网站，同时，也不要随意接收和打开卖家传送的文件。在发现账户存在欺诈风险时，及时拨打银行热线电话对账户进行挂失等手段以保障账户资金安全。