僅憑借短信驗證碼就能進行支付交易,在給儲戶帶來便利的同時,也給不法分子提供了鉆空子犯罪的機會。
“萬萬沒想到,短短幾分鐘時間銀行存款就莫名少了近2萬元,兩筆錢就這樣被輕易盜取了。”家住北京的覃岳(化名)是IT行業的從業人士,平時很注重保護自己的網絡金融安全,然而,提起前不久他遭遇的一起犯罪分子借助網絡隔空對其存款進行盜竊的事故,他仍然心有余悸。
7月8日晚23:49,覃岳收到了一條來自中國移動的短信,提示他已經開通了中國移動“短信保管箱業務”。1分鐘過后,他又收到了一條來自工商銀行95588的短信,上面提示他的工銀“e支付”業務已經被修改。緊接著95588接連發來了幾條短信,分別為即將辦理轉賬業務的通知和即將付款9990元的提示信息及驗證碼。
“由于當時已經很晚了,為了不吵到孩子休息,我早就把手機調成了靜音,當自己看到這幾條短信的時候已經是23:55。”慌忙中,覃岳第一時間查詢了他的工行卡交易明細,可是為時已晚,交易明細顯示他的銀行卡里確實少了9990元。
“于是我馬上撥打了工行的客服電話,但提示客服話務繁忙,等待了2分鐘后我就掛斷了。誰料就在這時95588又發來了一條短信,上面寫到我正在進行匯款,金額為9950元,并告知我 如有疑問請停止操作 。”
覃岳告訴記者:“我馬上又查詢了我的賬戶,看到明細時我就蒙了,賬戶果然又少了9950元。”覃岳強調道,在此之前,自己并未主動開通過“e支付”業務,而且事發后他檢測過自己的筆記本電腦和手機都沒有病毒。
覃岳的遭遇并不是個案。近日,記者通過某社交網站加入了一個工行存款被盜儲戶的維權群,已經修改群名稱并標注自己為“受害人”的儲戶有40余名。而他們中的大多數都是被無故開通了工銀“e支付”,隨后銀行卡中的存款就在幾分鐘內不翼而飛了。
短短幾天的時間里,記者就聯系到了20多名受害人,他們被盜取的存款金額合計約為25.68萬元。他們當中,最早的存款被竊事件發生在6月13日,最晚的發生在7月9日。其中,被偷竊的個人最大金額達到4.2萬元,最小金額為500元。
巧合的是,這些案件大都有兩個共性,就是受害人同為工行儲戶且多為中國移動的客戶。與覃岳一樣,他們也被強行開通了中國移動的“短信保管箱”業務。
由于“短信保管箱”具有將客戶發送、接收的短信進行同步備份存儲的功能,同時考慮到在這一業務被迫開通后,緊接著就被開通了僅憑借短信驗證碼就可以進行交易的工銀“e支付”,因此多位儲戶懷疑,中國移動的“短信保管箱”業務與此次的存款丟失事件難逃干系。
針對儲戶的疑問,記者聯系了中國移動北京分公司,相關負責人給予的回復稱:“目前經過后臺網絡日志顯示,不知情定制均系有人使用客戶的手機號和客服網站密碼,通過手機登錄客服WAP頁面開通,目前并沒有任何跡象顯示是中國移動網站被攻擊造成了客戶信息泄漏。”
同時,中國移動北京分公司的相關負責人也坦言,由于“短信保管箱”業務設立于2009年,是在短信被廣泛應用于金融領域之前就已經存在,因此未能充分考慮金融類業務所需的安全等級,經過此類事件,該公司會全面梳理基于短信的增值業務,提升此類業務的安全性。“此次銀行卡被盜刷客戶投訴后,客戶雖然仍能開通此業務,但查詢歷史短信的功能已緊急關停,目前正在對業務進行優化,包括 不保存銀行下發的短信 只能查詢24小時前的短信 需要動態密碼驗證 等。”
在采訪中,記者了解到,并非所有儲戶的存款都是在被辦理了“短信保管箱”之后才被盜的。
儲戶秦玉(化名)也是本次存款丟失的受害人之一,但與其他受害人不同的是,她的手機號并非歸屬于中國移動公司,沒有出現過被辦理“短信保管箱”的情況。秦玉告訴記者:“在我存款被盜取的過程中,我沒有收到過動態密碼,只收到了95588發來的短信驗證碼,稱我正在修改工銀 e支付 的信息,隨后就是我的存款被轉走的通知。而 e支付 這項業務也并非我本人開通。”
某國有銀行電子銀行部人士猜測,秦玉的情況應該是短信驗證碼被犯罪分子通過其他途徑獲取了。與U盾相比,使用短信驗證碼進行交易的快捷支付雖然便捷,但安全性相對較差。
“這類案件的關鍵問題在于銀行是將短信驗證碼作為身份認證的依據,而這就決定了會存在一定的風險。”獵豹移動安全專家李鐵軍認為,雖然在此次事件中,工商銀行和中國移動公司都有責任,但中國移動的“短信保管箱”業務只是一個可能竊取短信驗證碼的途徑,與以往的釣魚網站、攔截手機短信的病毒作用類似,因此關鍵問題在于短信驗證碼本身。
“在保證信息安全時,通常可以借助三種方式進行身份驗證,分別是利用 所知道的 如密碼; 所持有的 如短信驗證碼和 所固有的 如指紋、虹膜。”某國有銀行科技部人士告訴記者,“如果只采用單一驗證,如短信驗證,其安全性不如雙重驗證安全。同時, 所知道的 和 所持有的 都可能會被人竊取,其安全性不如 所固有的 。但指紋識別也要考慮識別率的問題,比如有指紋識別的手機有時候也會出現自己的指紋解不了鎖的情況。短信驗證的成本相對較低,且通過率高,因此應用更為廣泛。”
李鐵軍認為,從實際運行的情況上看,快捷支付已經給人們的消費帶來了很大的方便。“目前,中國可以稱得上是全球移動支付最發達的國家。不能因為發生了存款被盜的情況,就要因噎廢食,摒棄快捷支付。如果要在移動終端增加傳統的U盾來保證安全,顯然交易的速度會大打折扣,使用起來很不方便,銀行很可能就會被第三方支付機構打敗。”李鐵軍建議,由于每種支付方式都會有風險,但這種風險不應該轉嫁到客戶身上,因此可以通過保險的形式來保障儲戶的權益。
“當然,銀行也應該繼續完善網銀的安全性。”李鐵軍坦言,目前銀行的系統都是使用實名制的,這相對于有些非實名制操作的第三方支付公司而言,安全性要高很多。但銀行的系統在安全保證方面應該做得更完善,以便減少惡意入侵導致的存款丟失事件。
在采訪中,記者了解到,此次儲戶存款被盜事件似乎早已被犯罪分子埋下伏筆。
儲戶劉全(化名)的存款是在6月28日被盜的,但后來他發現,早在那之前,自己的網銀就已在異地被登錄過了,但自己并未收到過銀行的提示。而劉全的情況也在多位儲戶身上發生過,他們告訴記者,他們網銀被異地登錄的IP地址集中在海南一帶。
針對這一情況,記者致電了工商銀行的客服電話詢問,工作人員告訴記者,網銀異地登錄提醒服務,需要客戶自己開通,如果沒開通這一業務就不會受到提醒。而多位儲戶均表示,自己原本以為這項提醒業務不需要額外開通。
值得一提的是,就此類案件發生的原因及處理辦法,記者向工行發出了采訪函進行詢問,但工行相關人員告訴記者,由于現在還在調查中,不方便透露更多信息,截至發稿,記者并未得到工行的回復。
京公網安備 11010502049343號