网银“授权支付”被曝安全风险

5月28日,360发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。

记者获悉,利用“授权支付”欺诈是360在2013年年初截获的新型高危骗术。骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行 “网银授权支付”,授权骗子用另一个网银账户对自己账户进行资金操作,短短几分钟内就能将受害者账户中的资金大量转出,受害者损失高达数千甚至数万元。

360互联网安全中心还公布了两起真实案例

案例1:网购166元裤子,被骗20166元

王先生通过旺旺与某购物网站卖家商谈购买一条裤子。店家发给王先生一个报价166元的裤子的商品链接。王先生通过建行网银支付购买之后,却看不到交易记录。王先生向店家询问,店家就给了王先生一个客服QQ号,让王先生与客服联系。

王先生与该客服QQ沟通后,客服QQ给王先生提供了一个“退款链接”,表示王先生按照提示操作就可以内部退款。王先生按照客服提示,进入了一个“授权建行账户支付协议签约”的界面。

网银“授权支付”被曝安全风险  360安全中心公布真实案例

王先生对这个授权页面上的信息也有所怀疑,并提出了质疑。但客服表示:这是内部核对信息,只要按照提示完成操作,收款人就会将货款退还给王先生。王先生犹豫之后,还是按照客服提示完成了授权操作。

几分钟后,王先生就收到银行短信,提示自己的账户中有1万元被转走;过了一会,他又收到一条新的银行短信,提示自己又有1万元被转走。下图是王先生事后向360网购先赔提供的银行账单照片。

网银“授权支付”被曝安全风险  360安全中心公布真实案例

见损失如此之大,王先生立即挂失了自己的银行卡,并向那位客服进行质问。但客服非但没有逃走,反而质疑王先生:“打你那个核对的卡号,说对方挂失了,转不回去?”

王先生此时仍然对追回166元的购物款抱有希望,于是要求将退款转到另外的存折上。经过交涉后,客服又再次引导王先生对自己的存折账户进行授权操作。此时,王先生感觉事有蹊跷,没有继续。双方又经过近一个小时的交涉,最终王先生也没能追回自己的损失。

案例2、网购900元游戏装备,被骗5900元

用户徐先生在某款网络游戏中,看到有人在聊天频道喊话,低价出售游戏币。徐先生于是通过对方留下的QQ号与对方进行了联系。对方邀请徐先生到知名的网游交易平台“5173”上进行交易,并提供了5173的商品链接。

徐先生使用农行网银支付购买后,页面提示交易不成功。徐先生向对方询问,对方就给徐先生提供了一个“5173客服QQ”号码,请徐先生与客服联系,协商解决。

徐先生与客服交流后,客服要求徐先生提供姓名和身份证号码等信息进行核对。徐先生如实提供后,客服向徐先生提供了一个退款链接。但徐先生打开后,进入的却是一个授权支付的界面。

网银“授权支付”被曝安全风险  360安全中心公布真实案例

徐先生对这个页面表示不解,客服随即提出远程协助徐先生完成退款操作。随后,徐先生同意对方通过QQ对自己的电脑进行远程操作,完成授权后,徐先生感到对方的操作很可疑,随即终止了对方的远程操作。(下图是双方进行QQ聊天时的截图。)

网银“授权支付”被曝安全风险  360安全中心公布真实案例

但等徐先生查看自己的农行账户时,发现其中已经多了5900元的支付记录。其中,先前支付的900元实际上是购买了电话充值卡,但充值卡去向不明。其余5000元的去向也不明所以。

网银“授权支付”被曝安全风险  360安全中心公布真实案例

与传统的钓鱼欺诈案例不同,这两起案例中,骗子虽然也是通过QQ发送钓鱼链接欺骗受害者,但受害者的主要损失并不是因为在虚假的购物网站上进行购物,而是因为他们在“交易失败”后向店家进行申诉时,被骗子的客服QQ诱骗进入了一个称为“授权XX银行账户支付协议签约”的页面,并被告知这是内部号码或内部规则,可以放心操作。

当受害者按照骗子客服的指示完成操作后,实际上就已经授权了骗子使用另外一个网银账户对自己的网银进行转账或支付操作。在完成授权后的几分钟内,受害者网银账户中的资金就会被大量转出。

鉴于“超级网银”授权链接都是银行官网地址,此前没有任何安全软件会对其报警拦截。不过随着网银授权骗术兴起,360安全卫士已紧急更新了防护策略,针对来自聊天消息的网银授权链接进行风险提示,建议用户警惕陌生人发来的此类链接。

网银“授权支付”被曝安全风险  360安全中心公布真实案例

  图:新版360安全卫士对聊天消息的网银授权链接进行风险报警

360互联网安全中心提醒广大网民:一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;网银账户应设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。