新聞源 財富源

2024年11月19日 星期二

財經 > 銀行 > 銀行要聞 > 正文

字號:  

工行快捷支付曝重大漏洞 多名儲戶存款被盜

  • 發佈時間:2015-07-19 15:20:11  來源:人民網  作者:佚名  責任編輯:劉小菲

  在網際網路推陳出新、資訊迅速更疊大時代,各家銀行紛紛著手在網際網路金融服務領域積極佈局。但科技在給客戶帶來便捷服務體驗的同時,銀行的風險防控也頻頻遭遇拷問。

  近日,記者接到儲戶反映稱,從6月中旬到7月上旬,多位北京地區的工行儲戶遭遇了存款被盜事件。而這類案件的一大共性,就是儲戶大多被犯罪分子強行開通了工行僅憑藉短信驗證碼就能快速交易的“e支付”業務。同時,犯罪分子借助非法途徑截獲短信驗證碼,輕而易舉地盜竊存款。

  在採訪中,多位業內人士認為,這類案件的關鍵在於銀行的快捷支付將短信驗證碼視為身份認證碼,這本身就存在風險,短信驗證碼容易被竊取,這就為快捷支付埋下了風險隱患。

  多名客戶存款被盜

  僅憑藉短信驗證碼就能進行支付交易,在給儲戶帶來便利的同時,也給不法分子提供了鑽空子犯罪的機會。

  “萬萬沒想到,短短幾分鐘時間銀行存款就莫名少了近2萬元,兩筆錢就這樣被輕易盜取了。”家住北京的覃岳(化名)是IT行業的從業人士,平時很注重保護自己的網路金融安全,然而,提起前不久他遭遇的一起犯罪分子借助網路隔空對其存款進行盜竊的事故,他仍然心有餘悸。

  7月8日晚23:49,覃岳收到了一條來自中國移動的短信,提示他已經開通了中國移動“短信保管箱業務”。1分鐘過後,他又收到了一條來自工商銀行95588的短信,上面提示他的工銀“e支付”業務已經被修改。緊接著95588接連發來了幾條短信,分別為即將辦理轉賬業務的通知和即將付款9990元的提示資訊及驗證碼。

  “由於當時已經很晚了,為了不吵到孩子休息,我早就把手機調成了靜音,當自己看到這幾條短信的時候已經是23:55。”慌忙中,覃岳第一時間查詢了他的工行卡交易明細,可是為時已晚,交易明細顯示他的銀行卡裏確實少了9990元。

  “於是我馬上撥打了工行的客服電話,但提示客服話務繁忙,等待了2分鐘後我就挂斷了。誰料就在這時95588又發來了一條短信,上面寫到我正在進行匯款,金額為9950元,並告知我‘如有疑問請停止操作’。”

  覃岳告訴記者:“我馬上又查詢了我的賬戶,看到明細時我就蒙了,賬戶果然又少了9950元。”覃岳強調道,在此之前,自己並未主動開通過“e支付”業務,而且事發後他檢測過自己的筆記型電腦和手機都沒有病毒。

  覃岳的遭遇並不是個案。近日,記者通過某社交網站加入了一個工行存款被盜儲戶的維權群,已經修改群名稱並標注自己為“受害人”的儲戶有40余名。而他們中的大多數都是被無故開通了工銀“e支付”,隨後銀行卡中的存款就在幾分鐘內不翼而飛了。

  短短幾天的時間裏,記者就聯繫到了20多名受害人,他們被盜取的存款金額合計約為25.68萬元。他們當中,最早的存款被竊事件發生在6月13日,最晚的發生在7月9日。其中,被偷竊的個人最大金額達到4.2萬元,最小金額為500元。

  巧合的是,這些案件大都有兩個共性,就是受害人同為工行儲戶且多為中國移動的客戶。與覃岳一樣,他們也被強行開通了中國移動的“短信保管箱”業務。

  由於“短信保管箱”具有將客戶發送、接收的短信進行同步備份存儲的功能,同時考慮到在這一業務被迫開通後,緊接著就被開通了僅憑藉短信驗證碼就可以進行交易的工銀“e支付”,因此多位儲戶懷疑,中國移動的“短信保管箱”業務與此次的存款丟失事件難逃干系。

  針對儲戶的疑問,記者聯繫了中國移動北京分公司,相關負責人給予的回復稱:“目前經過後臺網路日誌顯示,不知情定制均係有人使用客戶的手機號和客服網站密碼,通過手機登錄客服WAP頁面開通,目前並沒有任何跡象顯示是中國移動網站被攻擊造成了客戶資訊泄漏。”

  同時,中國移動北京分公司的相關負責人也坦言,由於“短信保管箱”業務設立於2009年,是在短信被廣泛應用於金融領域之前就已經存在,因此未能充分考慮金融類業務所需的安全等級,經過此類事件,該公司會全面梳理基於短信的增值業務,提升此類業務的安全性。“此次銀行卡被盜刷客戶投訴後,客戶雖然仍能開通此業務,但查詢歷史短信的功能已緊急關停,目前正在對業務進行優化,包括‘不保存銀行下發的短信’‘只能查詢24小時前的短信’‘需要動態密碼驗證’等。”

  安全大考

  在採訪中,記者了解到,並非所有儲戶的存款都是在被辦理了“短信保管箱”之後才被盜的。

  儲戶秦玉(化名)也是本次存款丟失的受害人之一,但與其他受害人不同的是,她的手機號並非歸屬於中國移動公司,沒有出現過被辦理“短信保管箱”的情況。秦玉告訴記者:“在我存款被盜取的過程中,我沒有收到過動態密碼,只收到了95588發來的短信驗證碼,稱我正在修改工銀‘e支付’的資訊,隨後就是我的存款被轉走的通知。而‘e支付’這項業務也並非我本人開通。”

  某國有銀行電子銀行部人士猜測,秦玉的情況應該是短信驗證碼被犯罪分子通過其他途徑獲取了。與U盾相比,使用短信驗證碼進行交易的快捷支付雖然便捷,但安全性相對較差。

  “這類案件的關鍵問題在於銀行是將短信驗證碼作為身份認證的依據,而這就決定了會存在一定的風險。”獵豹移動安全專家李鐵軍認為,雖然在此次事件中,工商銀行和中國移動公司都有責任,但中國移動的“短信保管箱”業務只是一個可能竊取短信驗證碼的途徑,與以往的釣魚網站、攔截手機短信的病毒作用類似,因此關鍵問題在於短信驗證碼本身。

  “在保證資訊安全時,通常可以借助三種方式進行身份驗證,分別是利用‘所知道的’如密碼;‘所持有的’如短信驗證碼和‘所固有的’如指紋、虹膜。”某國有銀行科技部人士告訴記者,“如果只採用單一驗證,如短信驗證,其安全性不如雙重驗證安全。同時,‘所知道的’和‘所持有的’都可能會被人竊取,其安全性不如‘所固有的’。但指紋識別也要考慮識別率的問題,比如有指紋識別的手機有時候也會出現自己的指紋解不了鎖的情況。短信驗證的成本相對較低,且通過率高,因此應用更為廣泛。”

  李鐵軍認為,從實際運作的情況上看,快捷支付已經給人們的消費帶來了很大的方便。“目前,中國可以稱得上是全球移動支付最發達的國家。不能因為發生了存款被盜的情況,就要因噎廢食,摒棄快捷支付。如果要在移動終端增加傳統的U盾來保證安全,顯然交易的速度會大打折扣,使用起來很不方便,銀行很可能就會被第三方支付機構打敗。”李鐵軍建議,由於每種支付方式都會有風險,但這種風險不應該轉嫁到客戶身上,因此可以通過保險的形式來保障儲戶的權益。

  “當然,銀行也應該繼續完善網銀的安全性。”李鐵軍坦言,目前銀行的系統都是使用實名制的,這相對於有些非實名制操作的第三方支付公司而言,安全性要高很多。但銀行的系統在安全保證方面應該做得更完善,以便減少惡意入侵導致的存款丟失事件。

  在採訪中,記者了解到,此次儲戶存款被盜事件似乎早已被犯罪分子埋下伏筆。

  儲戶劉全(化名)的存款是在6月28日被盜的,但後來他發現,早在那之前,自己的網銀就已在異地被登錄過了,但自己並未收到過銀行的提示。而劉全的情況也在多位儲戶身上發生過,他們告訴記者,他們網銀被異地登錄的IP地址集中在海南一帶。

  針對這一情況,記者致電了工商銀行的客服電話詢問,工作人員告訴記者,網銀異地登錄提醒服務,需要客戶自己開通,如果沒開通這一業務就不會受到提醒。而多位儲戶均表示,自己原本以為這項提醒業務不需要額外開通。

  值得一提的是,就此類案件發生的原因及處理辦法,記者向工行發出了採訪函進行詢問,但工行相關人員告訴記者,由於現在還在調查中,不方便透露更多資訊,截至發稿,記者並未得到工行的回復。

熱圖一覽

  • 股票名稱 最新價 漲跌幅