“騙子登錄我的網銀就能買理財，U盾認證居然默認關閉，實在令人不放心。”日前，家住北京市西城區的王先生經歷了卡在身邊“被理財”的遭遇，所幸王先生警惕性高，沒讓騙子得逞。

　　記者調查發現，近期這樣莫名其妙“被理財”的客戶不在少數，相當一部分人被騙走錢財。為什麼會莫名其妙“被理財”？理的財去了哪？騙局是怎樣展開的？這背後暴露出部分銀行網銀服務多少漏洞？

　　騙子幫忙“代購”理財産品意欲何為

　　日前，北京市民王先生忽然收到工行客服“95588”發來的短信：“您尾號××××卡7日15：46分手機銀行支出（如意積存）1000元”。

　　隨後王先生接到自稱一家淘寶店客服的電話，詢問其是否購買了該店“如意積存”？王先生表示沒有。緊接著“客服”稱，“如果不是您本人購買可以幫忙攔截，但是需要您手機短信上的驗證碼。”

　　接著王先生接到95588發來的短信：“您正在付款，驗證碼為31023，金額1000元……”

　　“不是攔截麼，怎麼成付款了？”心有疑慮的王先生表示要先和銀行核實一下，挂了電話。他與工行客服95588聯繫後證實，他的銀行卡確實支出1000元購買了“如意金積存”産品，但並非從淘寶購買，而是認購的工行一款貴金屬理財産品。

　　“恐怕是詐騙電話。”有些明白情況的王先生未將驗證碼發給“淘寶店客服”，果斷報警。

　　警方告訴王先生，近期遇到很多類似報案，手法類似。不法分子通過登錄受害人網銀，購買貴金屬理財産品，這時候存款還在受害人賬戶上，只是變成理財産品。騙子謊稱可以幫助阻截購買或贖回，騙取受害人短信驗證碼，從而盜取受害人賬戶資金。

　　“騙子的狡猾在於，受害人看到賬戶餘額瞬間被‘蒸發’，一慌忙就容易落入陷阱，把驗證碼告訴騙子。”一位銀行從業人員告訴記者，值得注意的是，騙子索要的短信驗證碼並不能“贖回”理財産品，而是可以進行網路購物支付、轉賬的短信驗證碼，從而把其他的存款悄悄轉走。

　　記者調查發現，近期像王先生這樣遭遇的人不在少數。廣州的李先生按照自稱“拍拍網”客服人員的要求提供了短信驗證碼，對方轉走1萬元後無法聯繫……隨著北京、廣州、上海、青島、長沙等地類似案件陸續曝光，不少受害者還自發成立了QQ群，互助維權。

　　片面強調交易便捷

　　忽視安全管理

　　一個騙局的完成，涉及多個流程和環節。記者梳理髮現，這其中既有客戶保管個人資訊不善被不法分子鑽了空子等原因，也和當前部分銀行推出的一些金融産品服務片面強調交易便捷、忽視安全管理，安全漏洞被不法分子利用有關。

　　——資訊洩露是資金被騙的“禍首”。

　　這類事件中，不法分子首先要獲取客戶賬號、開戶資訊、密碼、手機號碼等個人資訊，這些資訊通過多種渠道洩露，有的是保管客戶資訊的單位工作人員洩露，有的是客戶個人保管不善，被不法分子誘導，登錄釣魚網站或被植入木馬程式等，導致賬戶密碼洩露。

　　專家指出，銀行應加大自查、內查，謹防客戶資訊被洩露。但如果由於客戶自身原因導致資訊被盜，會給銀行在交易的辨識上産生一定困難。

　　——理財交易設定的認證級別較低。

　　記者了解到，目前工行網銀在轉賬、匯款、繳費的交易都得使用U盾，但基金、理財、貴金屬交易等投資交易的認證級別較低，默認不需要U盾驗證。業內人士指出，大部分客戶對“如意金積存”等貴金屬交易不太了解，騙子利用這樣的“名字噱頭”好行騙。

　　記者了解到，“如意金積存”是工行一款貴金屬理財産品，客戶既可以選擇贖回，獲得現金，也可以提取實物黃金。不過，如意金積存買賣不僅根據每天市場行情價格實時浮動，而且每克贖回還有實時價格和贖回價格的價差，相當於銀行總能賺一筆手續費。

　　“工行目前購買‘如意金積存’的U盾認證是默認‘關閉’的，需要客戶開通。”王先生告訴記者，“平時使用網銀轉賬幾百元錢都要使用U盾，但購買上萬元理財産品卻不需要，安全隱患一目了然。”

　　工行從事外部風險欺詐的工作人員回應説，要求客戶自主定制主要是方便客戶體驗。“比如網銀理財，很難因為安全考慮而要求客戶都使用U盾。對於外匯、貴金屬等日交易頻繁的産品，使用U盾會影響客戶體驗。”

　　一位上海的受害人表示，騙子曾偷偷登錄他的網銀購買了11萬元的如意金積存，儘管錢沒被騙子騙去。但他第二天按照當天金價贖回時，損失7000多元。

　　——網銀登錄驗證缺失，快捷支付驗證安全風控不到位。

　　“此類詐騙頻繁發生，銀行有著不可推卸的責任。”王先生認為，“客戶的網銀在異地登錄，銀行應該明顯能發現登錄IP地址異常，但為什麼沒有觸發風險預警機制？我從未接觸過貴金屬理財，這種不正常的交易行為為何沒有引起銀行風險監控系統的注意？”

　　此類事件中，不法分子大都通過冒充商戶客服或銀行工作人員，獲取客戶快捷支付或工銀e支付短信驗證碼盜竊客戶資金，這顯示出目前快捷支付存在驗證不足的問題。專家建議，用戶要妥善保管短信驗證碼，不要向包括網路客服、銀行工作人員在內的任何人提供密碼內容。

　　專家：

　　大數據和生物驗證待開發

　　對此，中國工商銀行電子銀行業務相關負責人表示，針對近期發生的不法分子利用貴金屬積存等業務實施詐騙的情況，該行已經梳理髮現了重要案件線索並報告公安部門，將繼續全力配合公安部門偵破案件，儘快將犯罪分子繩之以法。

　　這位負責人表示，購買銀行的貴金屬積存等産品沒有發生資金對外支付，資産仍在客戶本人賬戶內。如確認客戶賬戶被不法分子盜用，非本人操作申購和贖回貴金屬積存等産品，産生的手續費和價差銀行全額返還，堅決維護客戶權益。對於客戶因為上當受騙，忽視銀行驗證碼短信中的警示資訊，通過電話將短信驗證碼等關鍵資訊主動告知不法分子，導致賬戶資金被盜的情況，銀行正聯繫客戶妥善處理。

　　對於有客戶提出在工行電子銀行內購買貴金屬積存等投資類産品不需要U盾認證的問題，這位負責人表示這種設計不是安全漏洞，而是為了在確保客戶資金不向外劃轉的前提下為客戶提供更便捷的服務。針對當前電信詐騙和金融詐騙持續高發的外部形勢，工行決定暫時對此類交易實施交易認證措施，這能從根本阻斷這類詐騙現象，但是認證環節也會使客戶操作的便捷性受到一些影響，希望客戶能夠理解。工行正加緊研發新的安全措施並推出，在避免欺詐的同時提升業務操作的便捷性。這位負責人表示，目前針對銀行客戶的各類詐騙手法層出不窮，銀行方面將不斷加強安全防範手段，確保客戶資金安全。這位負責人強調，這次發生的貴金屬積存業務詐騙是零星的、少量的，工行的系統安全沒有問題。這位負責人還表示，將會通過各個服務渠道密集地向客戶宣傳防範金融詐騙和電信詐騙的知識，也希望全社會加大這方面的宣傳力度，共同增強公眾的防詐騙意識。

　　同時工行做出安全提示，建議客戶制定網銀及手機銀行登錄短信提醒，及時了解電子銀行登錄情況；通過網銀或手機銀行“安全中心”欄目自助開通“理財類交易開通U盾認證功能”。

　　中央財經大學金融法學院教授黃震表示，不能因為使用的便捷性而忽視安全風險，在強大的技術支撐下，銀行完全可以考慮依據理財風險類型和交易額度設置認證方式。“像貴金屬交易這樣投資風險較高的理財交易應該默認開通安全級別較高的認證方式，以免給客戶帶來損失。”

　　專家指出，在保障客戶資金安全的方式和手段上，部分商業銀行未充分利用現有數據資源開發風險模型。中央財經大學中國銀行業研究中心主任郭田勇説：“一些銀行重視前端實名制認證，而對後端交易驗證不夠重視，缺乏對客戶個人交易行為習慣的積累和判斷。銀行掌握著龐大的數據資源，但是利用大數據防範金融風險能力尚顯不足。”

　　“在科學技術的不斷推進下，安全和便捷並不一定是魚和熊掌不能兼得。”黃震認為，密碼型支付驗證方式容易被竊取，隨著科技不斷創新，應該引入指紋驗證、虹膜驗證、人臉識別等新興的、具有生物特性的驗證方式。“關鍵還在於銀行能否真正站在客戶角度上，思考如何創新服務、防範風險。”（吳雨）