新聞源 財富源

2024年11月24日 星期天

財經 > 滾動新聞 > 正文

字號:  

工行儲戶資金通過短信被盜刷

  • 發佈時間:2015-07-21 01:31:02  來源:京華時報  作者:佚名  責任編輯:羅伯特

  近日,工行北京地區多位儲戶資金通過快捷支付業務被盜。工行昨天回應稱,“工行快捷支付曝重大漏洞”係誤解,事發原因是不法分子使用非法手段獲取了客戶的相關資訊和密碼,再利用客戶資訊開通了客戶手機的“短信保管箱”業務,從而獲取交易驗證短信並盜取資金。北京移動方面已經緊急暫停了相關業務,並表示如查實儲戶被盜刷資金確是移動的業務問題,願意承擔賠償責任。

  ■事件回放

  多位儲戶資金被盜刷

  7月9日,微網志網友“公交姬”在微網志上吐槽銀行卡被盜刷事件,該網友被強制開通了北京移動的短信保險箱業務,不法分子通過快捷支付的手機動態密碼完成盜刷。據記者了

  解,北京地區多位儲戶遇到類似情況,有類似經歷的受騙者在社交工具上成立交流群,規模近20人。一時之間,工行“工銀e支付”有重大漏洞的説法甚囂塵上。

  ■工行回應

  工銀e支付運營正常

  針對儲戶資金通過快捷支付被盜一事,工行方面昨天表示,工銀e支付業務運營正常,也未發生洩露客戶資訊的情況,儲戶資金被盜主要是由於其預留的手機被強行開通了中國移動的“短信保險箱”業務,不法分子盜取儲戶動態密碼,進而通過快捷支付盜取資金。

  工行在公告中表示,“近年來,多家支付機構和商業銀行都推出了基於手機短信驗證的快捷支付業務,這種小額支付方式方便快捷,受到了客戶的廣泛歡迎。我行的工銀e支付業務也屬於這種快捷支付業務,該業務開通時需要驗證客戶預留在我行的密碼和手機號碼,支付時需要驗證我行向客戶預留手機發送的短信驗證碼。只要客戶保管好手機上的短信,安全性是有保障的。現在社會上一些不法分子利用非法手段竊取客戶個人資訊和認證短信,以盜取客戶資金。為安全使用工銀e支付業務,我行提醒廣大客戶務必保管好個人資訊、密碼,防止手機被植入病毒,防止認證短信被盜取。”工銀e支付每日累計支付的最大限額是1萬元,每月5萬元。

  中國人民大學重陽金融研究院客座研究員董希淼認為,這個事件的主要責任在運營商身上。

  ■移動回應

  移動已暫停相關業務

  針對此事,北京移動回復稱,其已關注到客戶投訴以及媒體的相關報道,目前已與相關客戶就解決投訴問題達成初步意向,並表示將積極配合警方調查取證,同時已與銀行取得聯繫,搜尋風險漏洞。北京移動表示,正在仔細對比客戶被盜刷時段的數據記錄,如果查實確實是移動的業務問題,“我們願意承擔賠償責任”。

  對於短信內容洩露的原因,包括用戶投訴的被強制辦理短信保管箱業務,甚至退訂之後再次被訂購這項業務的情況,北京移動表示,已逐一對十余起類似客戶投訴進行了仔細核查,通過後臺網路日誌發現,此類不知情定制均係不法分子使用客戶的手機號和客服網站密碼,通過手機登錄客服網站開通的。“目前並沒有任何跡象顯示是中國移動網站被攻擊造成了客戶資訊洩露”。

  北京移動表示,為了客戶資訊安全,目前已暫停了短信保管箱業務的短信查詢等功能,並正在對此業務進行優化,優化內容包括“不保存銀行下發的短信”、“只能查詢24小時前企業短信”、“需要動態密碼驗證”等,所有業務優化會在8月底前完成。中國移動還提醒客戶儘快升級弱密碼,不要安裝來歷不明的軟體,避免密碼被盜。

  記者昨天致電中國移動客服熱線,對方表示,移動短信保管箱業務是為了解決許多人手機短信容量不充足的問題,開通這項業務可以自動將用戶發送、接收的短信同步備份存儲到雲端,用戶登錄移動官網就可以查詢備份的短信。移動客服人員稱,這項業務的雲端數據受到多項安全保護,用戶只有通過手機號和密碼才能登錄,且登錄記錄會以短信形式反饋到手機上,用戶可通過向客服電話發送相應短信代碼開通和取消該項業務,業務收費為3元/月。

  電信行業分析師馬繼華認為,造成用戶驗證碼洩露的原因,可能是木馬病毒入侵導致的用戶資訊被盜取。

  ■相關背景

  快捷支付井噴帶來風險

  快捷支付是指用戶購買商品時,不需開通網銀,只需提供銀行卡卡號、戶名、手機號碼等資訊,銀行驗證手機號碼正確性後,第三方支付發送手機動態密碼到用戶的手機號上,用戶輸入正確的手機動態密碼,即可完成支付。

  快捷支付可以提高用戶體驗,但作為一個新生領域,也讓不法分子有機可趁。去年底中國銀聯一份調查數據顯示,移動支付井噴式發展的同時,風險形勢變得更為嚴峻,有一成的受訪者遭遇過網上交易的詐騙,其中釣魚網站、木馬病毒以及虛假退款是主要的欺詐手段。

  一股份制銀行反詐騙部門相關人士指出,快捷支付安全性較高,其驗證密碼只發送到客戶預留的手機號碼上,是唯一的識別密鑰。動態短信驗證密碼相較于U盾而言安全系數略低,但是在客戶體驗和安全方面的最大平衡。

  不法分子通常通過兩種方式獲取個人資訊,一是拼湊法,通過已經被洩露的個人資訊,進行整合加工;另一方面直接攻擊平臺獲取個人交易資訊。“所以短信動態驗證碼等必須妥善保管,不要輕信所謂低價網站、郵件、短信、聊天工具等發來的連結。”

  ■專家説法

  打擊網路詐騙需多部門聯動

  一位警方人士表示,類似工行儲戶資金被盜的案件頻發,都是異地網路詐騙,很難抓到不法分子,損失也很難找回。董希淼也指出,“關於維權問題,個人力量是很有限的,可以由工信部或者消費者協會提起公益訴訟,同時通信公司與公安部加強合作,共同打擊犯罪。”在他看來,近些年來中國網路詐騙頻發,其中移動端風險系數更是倍增,這需要用戶、公安系統、電信運營商、銀行等部門聯動,否則事態改善空間非常有限。

  多位受訪人士認為,支付方式都存在風險,但這種風險不應該轉嫁到客戶身上,建議通過保險的形式來保障儲戶的權益。

  京華時報記者余雪菲古曉宇實習記者羅夢嬌趙雯琪

熱圖一覽

  • 股票名稱 最新價 漲跌幅