一条短信引出银行网银服务漏洞
2017-12-06 财讯
骗子为何帮忙“理财”
日前,北京市民王先生忽然收到工行客服“95588”发来的短信:“您尾号××××卡7日15:46分手机银行支出(如意积存)1000元”。
随后王先生接到自称一家淘宝店客服的电话,询问其是否购买了该店“如意积存”?王先生表示没有。紧接着“客服”称,“如果不是您本人购买可以帮忙拦截,但是需要您手机短信上的验证码。”
王先生与工行客服95588联系后证实,他的银行卡确实支出1000元购买了“如意金积存”产品,但并非从淘宝购买,而是认购的工行一款贵金属理财产品。“恐怕是诈骗电话。”王先生未将验证码发给“淘宝店客服”,果断报警。
警方告诉王先生,近期遇到很多类似报案,手法类似。不法分子通过登录受害人网银,购买贵金属理财产品,这时候存款还在受害人账户上,只是变成理财产品。骗子谎称可以帮助阻截购买或赎回,骗取受害人短信验证码,从而盗取受害人账户资金。
暴露网银安全漏洞
——信息泄露是资金被骗的“祸首”。这类事件中,不法分子首先要获取客户账号、开户信息、密码、手机号码等个人信息,这些信息通过多种渠道泄露,有的是保管客户信息的单位工作人员泄露,有的是客户个人保管不善,被不法分子诱导,登录钓鱼网站或被植入木马程序等,导致账户密码泄露。专家指出,银行应加大自查、内查,谨防客户信息被泄露。
——理财交易设定的认证级别较低。记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用U盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要U盾验证。
——网银登录验证缺失,快捷支付验证安全风控不到位。“此类诈骗频繁发生,银行有着不可推卸的责任。”王先生认为,“客户的网银在异地登录,银行应该明显能发现登录IP地址异常,但为什么没有触发风险预警机制?”此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。
大数据和生物验证待开发
中央财经大学中国银行业研究中心主任郭田勇说:“一些银行重视前端实名制认证,而对后端交易验证不够重视,缺乏对客户个人交易行为习惯的积累和判断。银行掌握着庞大的数据资源,但是利用大数据防范金融风险能力尚显不足。”
中央财经大学金融法学院教授黄震认为,密码型支付验证方式容易被窃取,随着科技不断创新,应该引入指纹验证、虹膜验证、人脸识别等新兴的、具有生物特性的验证方式。“关键还在于银行能否真正站在客户角度上,思考如何创新服务、防范风险。”(据新华社北京8月20日电 记者 吴雨)
(来源:《河北日报》2015年08月21日04版)