工行网银服务漏洞引不满 强调便捷却忽视安全
日前,北京市民王先生忽然收到工行客服“95588”发来的短信:“您尾号××××卡7日15:46分手机银行支出(如意积存)1000元”。
随后王先生接到自称一家淘宝店客服的电话,询问其是否购买了该店“如意积存”?王先生表示没有。紧接着“客服”称,“如果不是您本人购买可以帮忙拦截,但是需要您手机短信上的验证码。”
接着王先生接到95588发来的短信:“您正在付款,验证码为31023,金额1000元……”
“不是拦截么,怎么成付款了?”心有疑虑的王先生表示要先和银行核实一下,挂了电话。他与工行客服95588联系后证实,他的银行卡确实支出1000元购买了“如意金积存”产品,但并非从淘宝购买,而是认购的工行一款贵金属理财产品。
“恐怕是诈骗电话。”有些明白情况的王先生未将验证码发给“淘宝店客服”,果断报警。
警方告诉王先生,近期遇到很多类似报案,手法类似。不法分子通过登录受害人网银,购买贵金属理财产品,这时候存款还在受害人账户上,只是变成理财产品。骗子谎称可以帮助阻截购买或赎回,骗取受害人短信验证码,从而盗取受害人账户资金。
“骗子的狡猾在于,受害人看到账户余额瞬间被‘蒸发’,一慌忙就容易落入陷阱,把验证码告诉骗子。”一位银行从业人员告诉记者,值得注意的是,骗子索要的短信验证码并不能“赎回”理财产品,而是可以进行网络购物支付、转账的短信验证码,从而把其他的存款悄悄转走。
记者调查发现,近期像王先生这样遭遇的人不在少数。广州的李先生按照自称“拍拍网”客服人员的要求提供了短信验证码,对方转走1万元后无法联系……随着北京、广州、上海、青岛、长沙等地类似案件陆续曝光,不少受害者还自发成立了QQ群,互助维权。
片面强调交易便捷
忽视安全管理
一个骗局的完成,涉及多个流程和环节。记者梳理发现,这其中既有客户保管个人信息不善被不法分子钻了空子等原因,也和当前部分银行推出的一些金融产品服务片面强调交易便捷、忽视安全管理,安全漏洞被不法分子利用有关。
——信息泄露是资金被骗的“祸首”。
这类事件中,不法分子首先要获取客户账号、开户信息、密码、手机号码等个人信息,这些信息通过多种渠道泄露,有的是保管客户信息的单位工作人员泄露,有的是客户个人保管不善,被不法分子诱导,登录钓鱼网站或被植入木马程序等,导致账户密码泄露。
专家指出,银行应加大自查、内查,谨防客户信息被泄露。但如果由于客户自身原因导致信息被盗,会给银行在交易的辨识上产生一定困难。
——理财交易设定的认证级别较低。
记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用U盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要U盾验证。业内人士指出,大部分客户对“如意金积存”等贵金属交易不太了解,骗子利用这样的“名字噱头”好行骗。
记者了解到,“如意金积存”是工行一款贵金属理财产品,客户既可以选择赎回,获得现金,也可以提取实物黄金。不过,如意金积存买卖不仅根据每天市场行情价格实时浮动,而且每克赎回还有实时价格和赎回价格的价差,相当于银行总能赚一笔手续费。
“工行目前购买‘如意金积存’的U盾认证是默认‘关闭’的,需要客户开通。”王先生告诉记者,“平时使用网银转账几百元钱都要使用U盾,但购买上万元理财产品却不需要,安全隐患一目了然。”
工行从事外部风险欺诈的工作人员回应说,要求客户自主定制主要是方便客户体验。“比如网银理财,很难因为安全考虑而要求客户都使用U盾。对于外汇、贵金属等日交易频繁的产品,使用U盾会影响客户体验。”
一位上海的受害人表示,骗子曾偷偷登录他的网银购买了11万元的如意金积存,尽管钱没被骗子骗去。但他第二天按照当天金价赎回时,损失7000多元。
——网银登录验证缺失,快捷支付验证安全风控不到位。
“此类诈骗频繁发生,银行有着不可推卸的责任。”王先生认为,“客户的网银在异地登录,银行应该明显能发现登录IP地址异常,但为什么没有触发风险预警机制?我从未接触过贵金属理财,这种不正常的交易行为为何没有引起银行风险监控系统的注意?”
此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。专家建议,用户要妥善保管短信验证码,不要向包括网络客服、银行工作人员在内的任何人提供密码内容。
专家:
大数据和生物验证待开发
对此,中国工商银行电子银行业务相关负责人表示,针对近期发生的不法分子利用贵金属积存等业务实施诈骗的情况,该行已经梳理发现了重要案件线索并报告公安部门,将继续全力配合公安部门侦破案件,尽快将犯罪分子绳之以法。
这位负责人表示,购买银行的贵金属积存等产品没有发生资金对外支付,资产仍在客户本人账户内。如确认客户账户被不法分子盗用,非本人操作申购和赎回贵金属积存等产品,产生的手续费和价差银行全额返还,坚决维护客户权益。对于客户因为上当受骗,忽视银行验证码短信中的警示信息,通过电话将短信验证码等关键信息主动告知不法分子,导致账户资金被盗的情况,银行正联系客户妥善处理。
对于有客户提出在工行电子银行内购买贵金属积存等投资类产品不需要U盾认证的问题,这位负责人表示这种设计不是安全漏洞,而是为了在确保客户资金不向外划转的前提下为客户提供更便捷的服务。针对当前电信诈骗和金融诈骗持续高发的外部形势,工行决定暂时对此类交易实施交易认证措施,这能从根本阻断这类诈骗现象,但是认证环节也会使客户操作的便捷性受到一些影响,希望客户能够理解。工行正加紧研发新的安全措施并推出,在避免欺诈的同时提升业务操作的便捷性。这位负责人表示,目前针对银行客户的各类诈骗手法层出不穷,银行方面将不断加强安全防范手段,确保客户资金安全。这位负责人强调,这次发生的贵金属积存业务诈骗是零星的、少量的,工行的系统安全没有问题。这位负责人还表示,将会通过各个服务渠道密集地向客户宣传防范金融诈骗和电信诈骗的知识,也希望全社会加大这方面的宣传力度,共同增强公众的防诈骗意识。
同时工行做出安全提示,建议客户制定网银及手机银行登录短信提醒,及时了解电子银行登录情况;通过网银或手机银行“安全中心”栏目自助开通“理财类交易开通U盾认证功能”。
中央财经大学金融法学院教授黄震表示,不能因为使用的便捷性而忽视安全风险,在强大的技术支撑下,银行完全可以考虑依据理财风险类型和交易额度设置认证方式。“像贵金属交易这样投资风险较高的理财交易应该默认开通安全级别较高的认证方式,以免给客户带来损失。”
专家指出,在保障客户资金安全的方式和手段上,部分商业银行未充分利用现有数据资源开发风险模型。中央财经大学中国银行业研究中心主任郭田勇说:“一些银行重视前端实名制认证,而对后端交易验证不够重视,缺乏对客户个人交易行为习惯的积累和判断。银行掌握着庞大的数据资源,但是利用大数据防范金融风险能力尚显不足。”
“在科学技术的不断推进下,安全和便捷并不一定是鱼和熊掌不能兼得。”黄震认为,密码型支付验证方式容易被窃取,随着科技不断创新,应该引入指纹验证、虹膜验证、人脸识别等新兴的、具有生物特性的验证方式。“关键还在于银行能否真正站在客户角度上,思考如何创新服务、防范风险。”(吴雨)