“騙子登錄我的網銀就能買理財，U盾認證居然默認關閉，實在令人不放心。”日前，家住北京市西城區的王先生經歷了卡在身邊“被理財”的遭遇，所幸王先生警惕性高，沒讓騙子得逞。

　　記者調查發現，近期這樣莫名其妙“被理財”的客戶不在少數，相當一部分人被騙走錢財。為什麼會莫名其妙“被理財”？理的財去了哪？騙局是怎樣展開的？這背後暴露出部分銀行網銀服務多少漏洞？

　　騙子幫忙“代購”理財産品意欲何為？

　　日前，北京市民王先生忽然收到工行客服“95588”發來的短信：“您尾號××××卡7日15：46分手機銀行支出（如意積存）1000元”。

　　隨後王先生接到自稱一家淘寶店客服的電話，詢問其是否購買了該店“如意積存”？王先生表示沒有。緊接著“客服”稱，“如果不是您本人購買可以幫忙攔截，但是需要您手機短信上的驗證碼。”

　　接著王先生接到95588發來的短信：“您正在付款，驗證碼為31023，金額1000元……”

　　“不是攔截麼，怎麼成付款了？”心有疑慮的王先生表示要先和銀行核實一下，挂了電話。他與工行客服95588聯繫後證實，他的銀行卡確實支出1000元購買了“如意金積存”産品，但並非從淘寶購買，而是認購的工行一款貴金屬理財産品。

　　“恐怕是詐騙電話。”有些明白情況的王先生未將驗證碼發給“淘寶店客服”，果斷報警。

　　警方告訴王先生，近期遇到很多類似報案，手法類似。不法分子通過登錄受害人網銀，購買貴金屬理財産品，這時候存款還在受害人賬戶上，只是變成理財産品。騙子謊稱可以幫助阻截購買或贖回，騙取受害人短信驗證碼，從而盜取受害人賬戶資金。

　　“騙子的狡猾在於，受害人看到賬戶餘額瞬間被"蒸發"，一慌忙就容易落入陷阱，把驗證碼告訴騙子。”一位銀行從業人員告訴記者，值得注意的是，騙子索要的短信驗證碼並不能“贖回”理財産品，而是可以進行網路購物支付、轉賬的短信驗證碼，從而把其他的存款悄悄轉走。

　　記者調查發現，近期像王先生這樣遭遇的人不在少數。廣州的李先生按照自稱“拍拍網”客服人員的要求提供了短信驗證碼，對方轉走1萬元後無法聯繫……隨著北京、廣州、上海、青島、長沙等地類似案件陸續曝光，不少受害者還自發成立了QQ群，互助維權。

　　賬戶餘額“蒸發”暴露了網銀安全哪些漏洞？

　　一個騙局的完成，涉及多個流程和環節。記者梳理髮現，這其中既有客戶保管個人資訊不善被不法分子鑽了空子等原因，也和當前部分銀行推出的一些金融産品服務片面強調交易便捷、忽視安全管理，安全漏洞被不法分子利用有關。

　　——資訊洩露是資金被騙的“禍首”。

　　這類事件中，不法分子首先要獲取客戶賬號、開戶資訊、密碼、手機號碼等個人資訊，這些資訊通過多種渠道洩露，有的是保管客戶資訊的單位工作人員洩露，有的是客戶個人保管不善，被不法分子誘導，登錄釣魚網站或被植入木馬程式等，導致賬戶密碼洩露。

　　專家指出，銀行應加大自查、內查，謹防客戶資訊被洩露。但如果由於客戶自身原因導致資訊被盜，會給銀行在交易的辨識上産生一定困難。

　　——理財交易設定的認證級別較低。

　　記者了解到，目前工行網銀在轉賬、匯款、繳費的交易都得使用U盾，但基金、理財、貴金屬交易等投資交易的認證級別較低，默認不需要U盾驗證。業內人士指出，大部分客戶對“如意金積存”等貴金屬交易不太了解，騙子利用這樣的“名字噱頭”好行騙。

　　記者了解到，“如意金積存”是工行一款貴金屬理財産品，客戶既可以選擇贖回，獲得現金，也可以提取實物黃金。不過，如意金積存買賣不僅根據每天市場行情價格實時浮動，而且每克贖回還有實時價格和贖回價格的價差，相當於銀行總能賺一筆手續費。

　　“工行目前購買"如意金積存"的U盾認證是默認"關閉"的，需要客戶開通。”王先生告訴記者，“平時使用網銀轉賬幾百元錢都要使用U盾，但購買上萬元理財産品卻不需要，安全隱患一目了然。”

　　工行從事外部風險欺詐的工作人員回應説，要求客戶自主定制主要是方便客戶體驗。“比如網銀理財，很難因為安全考慮而要求客戶都使用U盾。對於外匯、貴金屬等日交易頻繁的産品，使用U盾會影響客戶體驗。”

　　一位上海的受害人表示，騙子曾偷偷登錄他的網銀購買了11萬元的如意金積存，儘管錢沒被騙子騙去。但他第二天按照當天金價贖回時，損失7000多元。

　　——網銀登錄驗證缺失，快捷支付驗證安全風控不到位。

　　“此類詐騙頻繁發生，銀行有著不可推卸的責任。”王先生認為，“客戶的網銀在異地登錄，銀行應該明顯能發現登錄IP地址異常，但為什麼沒有觸發風險預警機制？我從未接觸過貴金屬理財，這種不正常的交易行為為何沒有引起銀行風險監控系統的注意？”

　　此類事件中，不法分子大都通過冒充商戶客服或銀行工作人員，獲取客戶快捷支付或工銀e支付短信驗證碼盜竊客戶資金，這顯示出目前快捷支付存在驗證不足的問題。專家建議，用戶要妥善保管短信驗證碼，不要向包括網路客服、銀行工作人員在內的任何人提供密碼內容。

　　銀行防風險主動性不足 大數據和生物驗證待開發

　　記者從工行多個網點了解到，工行目前正在調查和梳理電子渠道貴金屬産品欺詐事件情況，並向受害人返還由於騙子“代購”而産生的交易手續費。

　　同時工行做出安全提示，建議客戶制定網銀及手機銀行登錄短信提醒，及時了解電子銀行登錄情況；通過網銀或手機銀行“安全中心”欄目自助開通“理財類交易開通U盾認證功能”。

　　然而，王先生認為這樣做還遠遠不夠。

　　“銀行沒從自身防堵漏洞入手解決，卻要求客戶自己制定。為什麼不是銀行主動提醒賬戶異常登錄、理財交易異常？”王先生認為，在資金安全方面銀行更專業，應該更主動提供服務。

　　中央財經大學金融法學院教授黃震表示，不能因為使用的便捷性而忽視安全風險，在強大的技術支撐下，銀行完全可以考慮依據理財風險類型和交易額度設置認證方式。“像貴金屬交易這樣投資風險較高的理財交易應該默認開通安全級別較高的認證方式，以免給客戶帶來損失。”

　　專家指出，在保障客戶資金安全的方式和手段上，部分商業銀行未充分利用現有數據資源開發風險模型。中央財經大學中國銀行業研究中心主任郭田勇説：“一些銀行重視前端實名制認證，而對後端交易驗證不夠重視，缺乏對客戶個人交易行為習慣的積累和判斷。銀行掌握著龐大的數據資源，但是利用大數據防範金融風險能力尚顯不足。”

　　“在科學技術的不斷推進下，安全和便捷並不一定是魚和熊掌不能兼得。”黃震認為，密碼型支付驗證方式容易被竊取，隨著科技不斷創新，應該引入指紋驗證、虹膜驗證、人臉識別等新興的、具有生物特性的驗證方式。“關鍵還在於銀行能否真正站在客戶角度上，思考如何創新服務、防範風險。”