“超级网银”被曝24秒洗劫10万专家称有漏洞

360互联网安全中心今日发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标，近期全国连续出现多起各大银行客户被骗案例。安徽省陈女士近日向安全中心举报称，她在网购衣服时，被骗子诱导进行了“超级网银”授权支付操作，短短24秒内，银行账户中10万元就被洗劫一空。“超级网银”是2009年央行研发的标准化跨银行网上金融服务产品，能够方便用户实时跨行管理不同的银行账户，就是说可以用一个网银账户，实现多张银行卡的跨行查询和转账。而将不同银行的账户关联到某个指定银行账户的过程，就是“授权”操作。然而一旦有不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，就可以将对方账户余额全部偷走。安全专家对中国银行（行情,资金,股吧,问诊）、建设银行（行情,资金,股吧,问诊）、工商银行（行情,资金,股吧,问诊）、农业银行（行情,资金,股吧,问诊）这四大国有银行的超级网银功能进行了测试分析，结果发现，按照超级网银目前的操作规则，确实很容易被骗子利用实施欺诈。这些安全风险表现在:第一，“超级网银”授权并不会对双方身份和关系进行验证，也就是说，网银用户可以授权任何人对自己的账户进行查询和转账操作；第二，授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。对于普通用户来说，有些银行的授权页面提示信息也过于晦涩，有可能忽视其中的安全隐患；第三，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。在此过程中，并不需要授权账户进行二次确认，因此也无法阻止账户余额被转走；第四，个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。“对于网银用户来说，更严重的风险在于安全意识薄弱。”安全专家表示，从近期出现的“超级网银”授权诈骗案例来看，全都是消费者在网购过程中被骗子误导，例如骗子以“交易卡单”等名义发来授权链接，忽悠消费者对交易资金“解冻”，实际上是把整个网银账户都授权给骗子随意转账。安全专家提醒广大网民:一旦网络交易出现异常，应当首先通过官方渠道联系
客服，而不要轻信店家发来的客服聊天号码；不要相信所谓的卡单、掉单、解冻资金等说法，这些都是网络诈骗专用术语；网银账户应设置单日最高转账限额，并绝对不能将自己的账户授权给陌生人或陌生账户。记者就“超级网银”的授权操作问题试图联系央行，但数次拨打总机均无人接听。