5月28日����,360發(fā)布重大安全警報(bào)稱(chēng),“超級(jí)網(wǎng)銀”跨行賬戶(hù)管理功能已經(jīng)成為黑客惡意利用的目標(biāo)��,近期全國(guó)連續(xù)出現(xiàn)多起各大銀行客戶(hù)被騙案例��。
記者獲悉�����,利用“授權(quán)支付”欺詐是360在2013年年初截獲的新型高危騙術(shù)。騙子通過(guò)釣魚(yú)鏈接���、交易失敗提示��、客服聊天等組合���,誘騙受害者進(jìn)行 “網(wǎng)銀授權(quán)支付”,授權(quán)騙子用另一個(gè)網(wǎng)銀賬戶(hù)對(duì)自己賬戶(hù)進(jìn)行資金操作���,短短幾分鐘內(nèi)就能將受害者賬戶(hù)中的資金大量轉(zhuǎn)出���,受害者損失高達(dá)數(shù)千甚至數(shù)萬(wàn)元。
360互聯(lián)網(wǎng)安全中心還公布了兩起真實(shí)案例
案例1:網(wǎng)購(gòu)166元褲子����,被騙20166元
王先生通過(guò)旺旺與某購(gòu)物網(wǎng)站賣(mài)家商談購(gòu)買(mǎi)一條褲子�����。店家發(fā)給王先生一個(gè)報(bào)價(jià)166元的褲子的商品鏈接��。王先生通過(guò)建行網(wǎng)銀支付購(gòu)買(mǎi)之后���,卻看不到交易記錄����。王先生向店家詢(xún)問(wèn),店家就給了王先生一個(gè)客服QQ號(hào)�����,讓王先生與客服聯(lián)系��。
王先生與該客服QQ溝通后����,客服QQ給王先生提供了一個(gè)“退款鏈接”,表示王先生按照提示操作就可以?xún)?nèi)部退款��。王先生按照客服提示����,進(jìn)入了一個(gè)“授權(quán)建行賬戶(hù)支付協(xié)議簽約”的界面。
王先生對(duì)這個(gè)授權(quán)頁(yè)面上的信息也有所懷疑���,并提出了質(zhì)疑���。但客服表示:這是內(nèi)部核對(duì)信息����,只要按照提示完成操作���,收款人就會(huì)將貨款退還給王先生�。王先生猶豫之后���,還是按照客服提示完成了授權(quán)操作�。
幾分鐘后���,王先生就收到銀行短信�,提示自己的賬戶(hù)中有1萬(wàn)元被轉(zhuǎn)走;過(guò)了一會(huì)����,他又收到一條新的銀行短信,提示自己又有1萬(wàn)元被轉(zhuǎn)走�。下圖是王先生事后向360網(wǎng)購(gòu)先賠提供的銀行賬單照片��。
見(jiàn)損失如此之大��,王先生立即掛失了自己的銀行卡�����,并向那位客服進(jìn)行質(zhì)問(wèn)。但客服非但沒(méi)有逃走����,反而質(zhì)疑王先生:“打你那個(gè)核對(duì)的卡號(hào),說(shuō)對(duì)方掛失了�,轉(zhuǎn)不回去?”
王先生此時(shí)仍然對(duì)追回166元的購(gòu)物款抱有希望,于是要求將退款轉(zhuǎn)到另外的存折上����。經(jīng)過(guò)交涉后,客服又再次引導(dǎo)王先生對(duì)自己的存折賬戶(hù)進(jìn)行授權(quán)操作��。此時(shí)����,王先生感覺(jué)事有蹊蹺,沒(méi)有繼續(xù)���。雙方又經(jīng)過(guò)近一個(gè)小時(shí)的交涉�,最終王先生也沒(méi)能追回自己的損失����。
案例2���、網(wǎng)購(gòu)900元游戲裝備,被騙5900元
用戶(hù)徐先生在某款網(wǎng)絡(luò)游戲中��,看到有人在聊天頻道喊話(huà)���,低價(jià)出售游戲幣����。徐先生于是通過(guò)對(duì)方留下的QQ號(hào)與對(duì)方進(jìn)行了聯(lián)系����。對(duì)方邀請(qǐng)徐先生到知名的網(wǎng)游交易平臺(tái)“5173”上進(jìn)行交易,并提供了5173的商品鏈接�����。
徐先生使用農(nóng)行網(wǎng)銀支付購(gòu)買(mǎi)后�����,頁(yè)面提示交易不成功����。徐先生向?qū)Ψ皆?xún)問(wèn),對(duì)方就給徐先生提供了一個(gè)“5173客服QQ”號(hào)碼����,請(qǐng)徐先生與客服聯(lián)系,協(xié)商解決����。
徐先生與客服交流后,客服要求徐先生提供姓名和身份證號(hào)碼等信息進(jìn)行核對(duì)��。徐先生如實(shí)提供后����,客服向徐先生提供了一個(gè)退款鏈接。但徐先生打開(kāi)后���,進(jìn)入的卻是一個(gè)授權(quán)支付的界面��。
徐先生對(duì)這個(gè)頁(yè)面表示不解��,客服隨即提出遠(yuǎn)程協(xié)助徐先生完成退款操作���。隨后,徐先生同意對(duì)方通過(guò)QQ對(duì)自己的電腦進(jìn)行遠(yuǎn)程操作,完成授權(quán)后����,徐先生感到對(duì)方的操作很可疑,隨即終止了對(duì)方的遠(yuǎn)程操作��。(下圖是雙方進(jìn)行QQ聊天時(shí)的截圖�����。)
但等徐先生查看自己的農(nóng)行賬戶(hù)時(shí)�,發(fā)現(xiàn)其中已經(jīng)多了5900元的支付記錄。其中�,先前支付的900元實(shí)際上是購(gòu)買(mǎi)了電話(huà)充值卡,但充值卡去向不明���。其余5000元的去向也不明所以���。
與傳統(tǒng)的釣魚(yú)欺詐案例不同,這兩起案例中���,騙子雖然也是通過(guò)QQ發(fā)送釣魚(yú)鏈接欺騙受害者����,但受害者的主要損失并不是因?yàn)樵谔摷俚馁?gòu)物網(wǎng)站上進(jìn)行購(gòu)物,而是因?yàn)樗麄冊(cè)?ldquo;交易失敗”后向店家進(jìn)行申訴時(shí)��,被騙子的客服QQ誘騙進(jìn)入了一個(gè)稱(chēng)為“授權(quán)XX銀行賬戶(hù)支付協(xié)議簽約”的頁(yè)面�����,并被告知這是內(nèi)部號(hào)碼或內(nèi)部規(guī)則��,可以放心操作��。
當(dāng)受害者按照騙子客服的指示完成操作后�����,實(shí)際上就已經(jīng)授權(quán)了騙子使用另外一個(gè)網(wǎng)銀賬戶(hù)對(duì)自己的網(wǎng)銀進(jìn)行轉(zhuǎn)賬或支付操作��。在完成授權(quán)后的幾分鐘內(nèi)��,受害者網(wǎng)銀賬戶(hù)中的資金就會(huì)被大量轉(zhuǎn)出��。
鑒于“超級(jí)網(wǎng)銀”授權(quán)鏈接都是銀行官網(wǎng)地址�,此前沒(méi)有任何安全軟件會(huì)對(duì)其報(bào)警攔截����。不過(guò)隨著網(wǎng)銀授權(quán)騙術(shù)興起,360安全衛(wèi)士已緊急更新了防護(hù)策略,針對(duì)來(lái)自聊天消息的網(wǎng)銀授權(quán)鏈接進(jìn)行風(fēng)險(xiǎn)提示���,建議用戶(hù)警惕陌生人發(fā)來(lái)的此類(lèi)鏈接���。
圖:新版360安全衛(wèi)士對(duì)聊天消息的網(wǎng)銀授權(quán)鏈接進(jìn)行風(fēng)險(xiǎn)報(bào)警
360互聯(lián)網(wǎng)安全中心提醒廣大網(wǎng)民:一旦網(wǎng)絡(luò)交易出現(xiàn)異常,應(yīng)當(dāng)首先通過(guò)官方渠道聯(lián)系客服����,而不要輕信店家發(fā)來(lái)的客服聊天號(hào)碼;不要相信所謂的卡單、掉單�、解凍資金等說(shuō)法,這些都是網(wǎng)絡(luò)詐騙專(zhuān)用術(shù)語(yǔ);網(wǎng)銀賬戶(hù)應(yīng)設(shè)置單日最高轉(zhuǎn)賬限額�����,并絕對(duì)不能將自己的賬戶(hù)授權(quán)給陌生人或陌生賬戶(hù)�。
