银行业内人士称，消费者随意授权是被盗关键

　　“超级网银”，是央行打造的标准化跨银行网上金融服务产品，可以实现各大银行网银的互联互通，方便用户跨行管理账户。不过，昨日360互联网安全中心发布重大安全警报，称“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标。一旦有不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，就可以将对方账户余额全部偷走。记者昨日尝试也发现，虽然通过超级网银可以将账户的查询、转账等权限转移给他人，但消费者此前必须完成授权，除需要输入账号、密码外，还需要配合U盾等动态验证设备的使用。“目前的盗刷案件不能称之为超级网银的系统漏洞，最主要的原因还是消费者对于自己个人金融信息的保护意识不强。”电子银行业内人士说。

　　■案例

　　“签约授权”，网购被骗近11万

　　不久前，陈女士在某购物网站看中一款韩版服装，店主表示需要先向厂家订货，之后再由陈女士支付，所以向陈女士提供了一个“代付链接”。(注：代付操作是一种网购服务，即甲购买商品，但由乙来付款。上述“代付链接”就是店主买了东西生成的一个链接，交给陈女士后，由陈女士支付。进行代付操作，陈女士只能查到资金支出记录，但账户中不会生成交易记录。)陈女士在代付链接上进行了支付，却无法像往常一样查到交易记录，于是向店主咨询。店家表示：“由于系统异常，购买的商品无法正常显示出交易订单，请现在抓紧时间联系异常订单处理中心客服签约解冻”，并发给陈女士一个QQ号。

　　焦急的陈女士没有多想，便与店家提供的客服QQ进行了联系。这个名为“异常订单处理中心”的客服QQ表示：要解冻之前的订单，需要进行“签约授权”操作，并在询问了陈女士使用的是哪家银行后，提供了一个链接。

　　陈女士点开上述链接，按照客服QQ的提示进行了逐步操作，但随后立即发现自己的网银账户资金异常。在之后约5分钟时间内，陈女士账户中分6次共被转走了108800元，加上先前通过代付链接支付的200元，总共被骗109000元，账户中的资金余额仅剩40.38元。账单显示，所有资金都被转移到一个陌生人的银行账户中。

　　陈女士表示，她在发现第一笔转账行为后，便立即拨打银行的客服电话，希望能尽快冻结自己的银行账户。但等到她拨通银行客服时，账户资金已几乎全部被转走。从银行账单记录来看，前两笔金额各为5万元的转账，时间间隔仅为24秒，在这么短的时间内，实际上陈女士来不及采取任何补救措施。

　　■质疑

　　“超级网银”存四大安全风险？

　　在披露上述的消费者投诉案例的同时，昨日360互联网安全中心也发布了重大安全警报称，“超级网银”跨行账户管理功能已成黑客恶意利用的目标。“被所谓的网银‘授权支付’所骗的并非个例，近期全国连续出现多起各大银行客户被骗案例。”360方面表示，骗子通过钓鱼链接、交易失败提示、客服聊天等组合，诱骗受害者进行“网银授权支付”，授权骗子用另一个网银账户对自己账户进行资金操作，短短几分钟内就能将受害者账户中的资金大量转出。

　　据360方面分析，目前“超级网银”的授权操作主要存在四个方面的安全风险，一是“超级网银”授权并不会对双方身份和关系进行验证，也就是说，网银用户可以授权任何人对自己的账户进行查询和转账操作;二是授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。第三，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。在此过程中，并不需要授权账户进行二次确认，因此也无法阻止账户余额被转走。最后，个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。

　　验证

　　■

　　“授权成功”要连闯好几关

　　记者昨日也尝试开通了多家银行的网银，然后使用网银上的跨行账户管理业务，对他人的其他银行账户进行管理。在不同的银行网银系统中，跨行账户管理业务的名称也不相同，有的为“跨行资金归集计划”，有的则称为“互联账户管理”。

　　记者登录网银的跨行账户管理业务后，需要先选择想要归集的他行账户。确认后，网银系统会自动跳转到被管理账户所属银行的网银系统，出现授权验证界面。记者将这个授权验证的网络链接复制后，通过QQ等传给他人，他人打开链接后，需要在该网页上输入自己的账号、密码等个人信息后转入确认授权的页面，该页面上显示有被授权人的姓名、账户及该账户所属银行。一旦他人点击确认，则自己账户的查询或支付权限就被授权给了被授权人。那么被授权人即可在自己的网银上操作，对授权人的账户进行查询或转账业务。

　　记者的验证也证明，不法分子的确可能通过超级网银的授权功能进行诈骗，掌控其他人的银行账户，但必须要满足几种前提。(加黑)第一，网银授权系统链接可复制使用。记者昨日尝试了多家银行的网银授权系统，发现许多家的授权链接不可复制，一旦复制后传给别人再打开，会显示“系统错误”或“协议订单号码重复”、“会话超时”等提示。

　　第二，在授权中，市民必须要输入自己的银行账户和密码。

　　第三，在确认授权的界面中，大部分银行会在网页上注明风险，如某银行标注着“他行客户请求获得你账户的授权，授权成功后，获得授权人可以通过他行网银查询/转出您的账户资金而无需再经过您本人同意确认，如需将您的账户授权他人查询，请谨慎小心，以防诈骗”。

　　第四，所有银行都要求操作使用U盾来确认，如果不插入U盾，就无法完成操作。某股份制银行电子银行部人士表示：“从一家银行的网银发起一个超级网银的签约操作，是必须到对方银行进行验证的，像支付这种高风险的交易，很多银行都要求使用USBKEY 来验证，这个安全等级算是比较高，验证要求是比较苛刻的。”

　　■提醒

　　聊天工具发来的链接肯定有风险

　　某国有银行内部人士表示：“央行开发这个系统，是为了方便客户管理其他账号，但这个系统的前提是对身份的验证和授权，我认为这可能客户是授权给了不法分子，让不法分子可以管理他的账户。”

　　“只允许被授权账户确认解除，央行的规定确实是谁发起谁取消。”上述银行电子银行部人士表示，“其实，央行的超级网银系统，其限额是单笔5万元及以下。客户在签约时也可自己设置转出的限额。”

　　“其实站在我们银行的角度，已经给客户设置了充分的限制、提醒和安全认证，在这种情况下，如果客户有风险意识，去读银行提供的信息，就能识别安全风险。如果使用者严重缺乏安全意识，受不法分子蛊惑或盲目听从不法分子的误导，银行本身是没有什么办法。”上述人士表示。

　　“交易的时候不要相信来历不明的购物网站。别人通过QQ发过来的链接，肯定存在风险，所以网上消费是要认准大型、正规的购物网站，然后在网站内操作，不要通过聊天工具，使用来历不明的授权链接。如果消费者有这个意识，就会比较安全。”上述人士表示。

　　防范

　　1.不要随意点击陌生人发来的任何链接，或下载陌生人发来的文件。

　　2.对于任何需要输入自己个人信息

　　(如身份证号、银行卡号、密码等信息等)的网页，都要保持百分之一百二的警惕。

　　3.网购时尽量选择登录正规的网站，尽量不从其他网页的广告中点击进入，按照网站的购物流程来下订单或付款，不要轻易使用代付、代购等模式。

　　4.如果遇到交易异常，请通过官方的客服进行处理，不要相信陌生人发来的所谓QQ客服号码或电话客服号码。