超級網銀被曝存安全漏洞風險 消費者24鈔被騙走10萬元

360網際網路安全中心28日指出，工、農、中、建4大國有銀行超級網銀存在安全漏洞，有消費者在短短24秒內，被騙走了10萬元(人民幣，下同)。據了解，超級網銀在簽約授權時確實無需驗證雙方身份和關係，但並未有無限額轉賬的情況。建行昨天表示，該行已建立事前與事中並重的電子銀行風險管理體系。

中新網引述《新京報》消息，360網際網路安全中心發佈的報告指出超級網銀的4個漏洞：對雙方身份和關係無需驗證、操作過於簡單、沒有轉賬額度限制、個別銀行解除授權操作複雜。

據了解，通過超級網銀可以將不同銀行的賬戶關聯到某個指定銀行賬戶，該指定賬戶就可以對關聯賬戶進行查詢和轉賬操作。

記者昨天體驗到，在簽約超級網銀時，銀行確實未對雙方身份和關係進行驗證，沒有親屬和血緣關係的雙方也都可以簽約超級網銀。但是簽約時必須需要雙方的網銀UKEY和支付密碼。一旦超級網銀授權完成後，資金轉出也確實無需再經本人同意確認。

中國廣播網指出，360網際網路安全中心接到消費者遭遇網銀授權詐騙的消息，指這種方式已經成為駭客惡意利用的目標，造成消費者經濟損失。

來自安徽阜陽太和縣的消費者陳女士(化名)，在不久前一次網購付款時被不法分子詐騙的，短短24秒內，網銀裏的10萬元就被轉移到陌生賬號。陳女士告訴經濟之聲記者，她當時看中了名為「超人氣潮流2013」網店裏的一款衣服，價格200元，在支付貨款時因為出現故障，就按照客服的說法，簽了一份對方發來的簽約授權協議。

陳女士：我是11點多在網上看到的一件裙子，然後200塊錢，讓付款，付款過後沒有成功，我這邊顯示付款200塊錢，網銀上面也看到200塊錢也減少了，那他說付款沒有成功，怎麼沒有顯示訂單號啊，肯定是訂單出現異常了，讓我聯繫訂單異常處理中心。他給我發一個QQ號說是訂單異常處理中心，讓我跟他聯繫了。他就問我，用什麼網銀在這個網上付款的，我說建設銀行，他就給我發過來一個網址，點那個網址過後出現了建設銀行那個網銀，開的第一頁就輸入身分證號碼密碼，滑鼠放在網址上面也顯示安全網站請放心訪問。

很快，陳女士收到了建設銀行網銀發來的手機資訊，發現自己的網銀賬戶被轉走了5萬元，緊跟著又有5萬元被轉走，大概5分鐘時間裏，騙子先後分6次，從陳女士賬戶轉机走了十萬八千八百元，加上先前支付的200元貨款，總共被騙十萬九千元，賬戶裏只剩了40塊錢。(接下頁)

[NT:PAGE=$]

陳女士：網路銀行也有資訊給我來了一條短信，減少了5萬塊錢，然後就想肯定是輸入這會兒肯定是被減少了，這是不是上當受騙了，很快一會兒又轉五萬塊錢，然後打95533電話還沒打通就轉了，然後95533主動給我打過來的，他說你這個錢一下子全部都轉走了呢？

安徽太和縣公安局方面，孫警官表示，目前已經立案偵查，因為不法分子的開戶行和取錢地點都是在外地，需要和外地公安協作。

孫警官：上個禮拜銀行的相關數據已經調取過了，他這個實施詐騙的犯罪嫌疑人開戶的地點是在外地，不是在我們安徽本地，然後取款的地點是在另一個外省，跟銀行接觸之後，銀行說這一塊他們也沒有具體的許可權去查，查銀行轉帳關於銀行轉帳以及各方面的交易往來記錄他們也沒有許可權去調。上個禮拜五立過案之後跟當地機關聯繫，聯繫之後我們下一步看查的數據怎麼樣，跨省畢竟要協作。

早在2010年8月份，央行正式推出第二代網上支付跨行清算系統，也就是超級網銀，不少銀行陸續接入這個系統。對消費者來說，在享受便捷的同時，安全隱患也隨之顯現。360安全專家萬先生認為，不少消費者對相關常識缺乏了解，加上不法分子的誘導，無意中就把自己網銀的支付許可權授權給了不法分子。

萬先生：超級網銀能將各家銀行的卡集到一塊關聯起來，我可以隨意用任意一家的銀行卡去操作其他銀行的賬戶，但是因為這個是需要簽約授權的過程，我們這些用戶可以很方便的在網上就可以完成這些操作。在操作過程中因為提示包括過程是比較簡單，有的銀行就兩三步就走完了，這個界面裏面銀行用的術語，有些時候我們普通老百姓看不明白，在這個過程中實際上這個賬戶不僅僅說是可以關聯我自己賬戶，也可以關聯其他人的賬戶，騙子利用這一點把這個簽約的連接抓出來，發給受害人。受害人在騙子誘導下，做這麼一個簽約過程，然後導致自己賬戶的支付許可權授權給了騙子。騙子就可以在他的得到授權的這個網銀上，將受害人的銀行卡裏面的錢劃走。

當然，作為銀行一方，在提供超級網銀服務的時候也要注意，為消費者提供有效的安全設置。在360安全專家萬先生看來，銀行的相關安全舉措並不完善，授權操作存在一定的安全風險。其中包括，超級網銀授權並不會對雙方身份和關係進行驗證，授權操作過程比較簡單，只要將授權頁面的連結複製下來，通過聊天軟體發送給他人簽約，就可以在不同電腦上實現授權。另外，部分銀行沒有在授權界面中提醒用戶設置額度，無限制轉賬也不需要授權賬戶進行二次確認等。

萬先生：在授權過程中我覺得它應該對身份做一個交驗，可能會違背他的設計初衷。假如說我的賬戶只能授權我其他銀行的賬戶，這樣的話就不會發生這種欺詐了。如果說這個時候您交行授權給我們的建行，那我操作您這個東西，其實就給騙子有機可趁了。在這上面做一些限制，比如說限制IP，這個授權發起方和授權的簽約方必須在同一台電腦上，或者必須在同一個IP上，這樣也可以避免這種欺詐的產生。還有一個就是可以將這個操作過程的界面，做一些比較醒目的警示。

從目前來說我試過銀行裏面，有些銀行是做了這些警示的，但是警示太不明顯了，包括受騙案例的，可以讓他去看一眼，可能他在辦理這個時候，就會當心一些，提升用戶的安全意識。第三，有些銀行在授權的界面裏面連這個限額都沒有做，如果在這個設置裏面做一個限額提醒，比如說超過一萬，那麼銀行需要當事人就是比如說授權方的二次確認，我覺得這個事情可能會更好一些。我們在分析的時候還發現，我的卡授權給您了，我作為授權方我可以隨時解除這個授權，但是在實際操作過程中我們發現，如果我的卡授權給您之後，我有可能無法解約，這個解約過程你們再發起，我才能解約。

站在網銀用戶的角度來說，萬先生提醒，一旦網路交易出現異常，首先要通過官方渠道聯繫客服，不要輕信店家發來的客服聊天號碼，也不要相信所謂的卡單、掉單、解凍資金等說法，一定要謹慎。

建行昨天表示，為了防範風險，建行已經通過驗證網銀盾等安全工具以及短信驗證碼等增強認證措施，在超級網銀授權前，網銀頁面會有風險提示，授權時也會通過短信驗證碼增強認證。(接下頁)

[NT:PAGE=$]

針對報告中所指「部分銀行沒有在授權界面中提醒用戶設置額度，獲得授權的賬戶可以無限制轉賬」，記者昨天諮詢各家銀行了解到，事實並非如此。

目前央行規定超級網銀的轉賬限額單筆5萬元，每日限額則由各家銀行自行決定。

據調查，工行是日累計不超5000元(今年2月1日以前辦理超級網易客戶不超50萬元)；中行是日累計不超20萬元；交行日累計不超100萬元；農行為日累計不超過5萬元。務

如何安全使用超級網銀

(一)授權他人查詢本人賬戶和授權他人支付本人資金屬高風險交易行為，請務必小心謹慎，嚴防詐騙，並定期關注賬戶資金變動情況。

(二)不要通過電子郵件以及qq、msn、旺旺等即時通信工具對話資訊中的網址登錄銀行或者淘寶等商戶網站，同時，也不要隨意接收和打開賣家傳送的文件。

(三)當發現賬戶存在欺詐風險時，及時撥打銀行熱線電話對賬戶進行挂失等手段保障賬戶資金安全。