工行快捷支付存在漏洞 多名客戶存款莫名消失

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，科技讓生活變得更美好，但同時也引發(fā)一些安全問題。近日，相關(guān)媒體陸續(xù)接到舉報，多名客戶稱，自己在開通“e支付”業(yè)務(wù)后，只需短信驗證碼就能進行支付交易，結(jié)果賬戶里面的錢很快便莫名消失了。不法分子通過特殊渠道截獲短信驗證碼，輕而易舉取走了卡里的錢。據(jù)悉，在這些存款被竊事件當中，被偷竊的個人最大金額達到4.2萬元，不少工行的客戶看到報道后，陷入焦慮。

從事IT行業(yè)的覃先生，平時非常注重隱私的保護，但沒想到在毫不知情的情況下，也遭遇存款盜竊問題。當天自己連續(xù)接到多條短信通知，先是提醒他已開通“短信保管箱業(yè)務(wù)”，后又看到短信內(nèi)容顯示，將進行轉(zhuǎn)賬業(yè)務(wù)，他趕緊查看明細，隨后發(fā)現(xiàn)卡里少了9950元。記者經(jīng)過調(diào)查發(fā)現(xiàn)，和覃先生有著共同經(jīng)歷的還有很多人，目前相關(guān)情況仍在調(diào)查當中。

相關(guān)報道

儲戶存款頻遭竊 “e支付”安全隱患曝光

在互聯(lián)網(wǎng)推陳出新、信息迅速更迭的大時代，各家銀行紛紛著手在互聯(lián)網(wǎng)金融服務(wù)領(lǐng)域積極布局。但科技在給客戶帶來便捷服務(wù)體驗的同時，銀行的風(fēng)險防控也頻頻遭遇拷問。

近日，《中國經(jīng)營報》記者接到儲戶反映稱，從6月中旬到7月上旬，多位北京地區(qū)的工行儲戶遭遇了存款被盜事件。而這類案件的一大共性，就是儲戶大多被犯罪分子強行開通了工行僅憑借短信驗證碼就能快速交易的“e支付”業(yè)務(wù)。同時，犯罪分子借助非法途徑截獲短信驗證碼，輕而易舉地盜竊存款。

在采訪中，多位業(yè)內(nèi)人士認為，這類案件的關(guān)鍵在于銀行的快捷支付將短信驗證碼視為身份認證碼，這本身就存在風(fēng)險，短信驗證碼容易被竊取，這就為快捷支付埋下了風(fēng)險隱患。

多名客戶存款被盜

僅憑借短信驗證碼就能進行支付交易，在給儲戶帶來便利的同時，也給不法分子提供了鉆空子犯罪的機會。

“萬萬沒想到，短短幾分鐘時間銀行存款就莫名少了近2萬元，兩筆錢就這樣被輕易盜取了。”家住北京的覃岳(化名)是IT行業(yè)的從業(yè)人士，平時很注重保護自己的網(wǎng)絡(luò)金融安全，然而，提起前不久他遭遇的一起犯罪分子借助網(wǎng)絡(luò)隔空對其存款進行盜竊的事故，他仍然心有余悸。

7月8日晚23:49，覃岳收到了一條來自中國移動的短信，提示他已經(jīng)開通了中國移動“短信保管箱業(yè)務(wù)”。1分鐘過后，他又收到了一條來自工商銀行95588的短信，上面提示他的工銀“e支付”業(yè)務(wù)已經(jīng)被修改。緊接著95588接連發(fā)來了幾條短信，分別為即將辦理轉(zhuǎn)賬業(yè)務(wù)的通知和即將付款9990元的提示信息及驗證碼。

“由于當時已經(jīng)很晚了，為了不吵到孩子休息，我早就把手機調(diào)成了靜音，當自己看到這幾條短信的時候已經(jīng)是23：55。”慌忙中，覃岳第一時間查詢了他的工行卡交易明細，可是為時已晚，交易明細顯示他的銀行卡里確實少了9990元。

“于是我馬上撥打了工行的客服電話，但提示客服話務(wù)繁忙，等待了2分鐘后我就掛斷了。誰料就在這時95588又發(fā)來了一條短信，上面寫到我正在進行匯款，金額為9950元，并告知我‘如有疑問請停止操作’。”

覃岳告訴記者：“我馬上又查詢了我的賬戶，看到明細時我就蒙了，賬戶果然又少了9950元。”覃岳強調(diào)道，在此之前，自己并未主動開通過“e支付”業(yè)務(wù)，而且事發(fā)后他檢測過自己的筆記本電腦和手機都沒有病毒。

覃岳的遭遇并不是個案。近日，記者通過某社交網(wǎng)站加入了一個工行存款被盜儲戶的維權(quán)群，已經(jīng)修改群名稱并標注自己為“受害人”的儲戶有40余名。而他們中的大多數(shù)都是被無故開通了工銀“e支付”，隨后銀行卡中的存款就在幾分鐘內(nèi)不翼而飛了。

短短幾天的時間里，記者就聯(lián)系到了20多名受害人，他們被盜取的存款金額合計約為25.68萬元。他們當中，最早的存款被竊事件發(fā)生在6月13日，最晚的發(fā)生在7月9日。其中，被偷竊的個人最大金額達到4.2萬元，最小金額為500元。

巧合的是，這些案件大都有兩個共性，就是受害人同為工行儲戶且多為中國移動的客戶。與覃岳一樣，他們也被強行開通了中國移動的“短信保管箱”業(yè)務(wù)。

由于“短信保管箱”具有將客戶發(fā)送、接收的短信進行同步備份存儲的功能，同時考慮到在這一業(yè)務(wù)被迫開通后，緊接著就被開通了僅憑借短信驗證碼就可以進行交易的工銀“e支付”，因此多位儲戶懷疑，中國移動的“短信保管箱”業(yè)務(wù)與此次的存款丟失事件難逃干系。

針對儲戶的疑問，記者聯(lián)系了中國移動北京分公司，相關(guān)負責(zé)人給予的回復(fù)稱：“目前經(jīng)過后臺網(wǎng)絡(luò)日志顯示，不知情定制均系有人使用客戶的手機號和客服網(wǎng)站密碼，通過手機登錄客服WAP頁面開通，目前并沒有任何跡象顯示是中國移動網(wǎng)站被攻擊造成了客戶信息泄漏。”

同時，中國移動北京分公司的相關(guān)負責(zé)人也坦言，由于“短信保管箱”業(yè)務(wù)設(shè)立于2009年，是在短信被廣泛應(yīng)用于金融領(lǐng)域之前就已經(jīng)存在，因此未能充分考慮金融類業(yè)務(wù)所需的安全等級，經(jīng)過此類事件，該公司會全面梳理基于短信的增值業(yè)務(wù)，提升此類業(yè)務(wù)的安全性。“此次銀行卡被盜刷客戶投訴后，客戶雖然仍能開通此業(yè)務(wù)，但查詢歷史短信的功能已緊急關(guān)停，目前正在對業(yè)務(wù)進行優(yōu)化，包括‘不保存銀行下發(fā)的短信’‘只能查詢24小時前的短信’‘需要動態(tài)密碼驗證’等。”

安全大考

在采訪中，記者了解到，并非所有儲戶的存款都是在被辦理了“短信保管箱”之后才被盜的。

儲戶秦玉(化名)也是本次存款丟失的受害人之一，但與其他受害人不同的是，她的手機號并非歸屬于中國移動公司，沒有出現(xiàn)過被辦理“短信保管箱”的情況。秦玉告訴記者：“在我存款被盜取的過程中，我沒有收到過動態(tài)密碼，只收到了95588發(fā)來的短信驗證碼，稱我正在修改工銀‘e支付’的信息，隨后就是我的存款被轉(zhuǎn)走的通知。而‘e支付’這項業(yè)務(wù)也并非我本人開通。”

某國有銀行電子銀行部人士猜測，秦玉的情況應(yīng)該是短信驗證碼被犯罪分子通過其他途徑獲取了。與U盾相比，使用短信驗證碼進行交易的快捷支付雖然便捷，但安全性相對較差。

“這類案件的關(guān)鍵問題在于銀行是將短信驗證碼作為身份認證的依據(jù)，而這就決定了會存在一定的風(fēng)險。”獵豹移動安全專家李鐵軍認為，雖然在此次事件中，工商銀行和中國移動公司都有責(zé)任，但中國移動的“短信保管箱”業(yè)務(wù)只是一個可能竊取短信驗證碼的途徑，與以往的釣魚網(wǎng)站、攔截手機短信的病毒作用類似，因此關(guān)鍵問題在于短信驗證碼本身。

“在保證信息安全時，通常可以借助三種方式進行身份驗證，分別是利用‘所知道的’如密碼;‘所持有的’如短信驗證碼和‘所固有的’如指紋、虹膜。”某國有銀行科技部人士告訴記者，“如果只采用單一驗證，如短信驗證，其安全性不如雙重驗證安全。同時，‘所知道的’和‘所持有的’都可能會被人竊取，其安全性不如‘所固有的’。但指紋識別也要考慮識別率的問題，比如有指紋識別的手機有時候也會出現(xiàn)自己的指紋解不了鎖的情況。短信驗證的成本相對較低，且通過率高，因此應(yīng)用更為廣泛。”

李鐵軍認為，從實際運行的情況上看，快捷支付已經(jīng)給人們的消費帶來了很大的方便。“目前，中國可以稱得上是全球移動支付最發(fā)達的國家。不能因為發(fā)生了存款被盜的情況，就要因噎廢食，摒棄快捷支付。如果要在移動終端增加傳統(tǒng)的U盾來保證安全，顯然交易的速度會大打折扣，使用起來很不方便，銀行很可能就會被第三方支付機構(gòu)打敗。”李鐵軍建議，由于每種支付方式都會有風(fēng)險，但這種風(fēng)險不應(yīng)該轉(zhuǎn)嫁到客戶身上，因此可以通過保險的形式來保障儲戶的權(quán)益。

“當然，銀行也應(yīng)該繼續(xù)完善網(wǎng)銀的安全性。”李鐵軍坦言，目前銀行的系統(tǒng)都是使用實名制的，這相對于有些非實名制操作的第三方支付公司而言，安全性要高很多。但銀行的系統(tǒng)在安全保證方面應(yīng)該做得更完善，以便減少惡意入侵導(dǎo)致的存款丟失事件。

在采訪中，記者了解到，此次儲戶存款被盜事件似乎早已被犯罪分子埋下伏筆。

儲戶劉全(化名)的存款是在6月28日被盜的，但后來他發(fā)現(xiàn)，早在那之前，自己的網(wǎng)銀就已在異地被登錄過了，但自己并未收到過銀行的提示。而劉全的情況也在多位儲戶身上發(fā)生過，他們告訴記者，他們網(wǎng)銀被異地登錄的IP地址集中在海南一帶。

針對這一情況，記者致電了工商銀行的客服電話詢問，工作人員告訴記者，網(wǎng)銀異地登錄提醒服務(wù)，需要客戶自己開通，如果沒開通這一業(yè)務(wù)就不會受到提醒。而多位儲戶均表示，自己原本以為這項提醒業(yè)務(wù)不需要額外開通。

值得一提的是，就此類案件發(fā)生的原因及處理辦法，記者向工行發(fā)出了采訪函進行詢問，但工行相關(guān)人員告訴記者，由于現(xiàn)在還在調(diào)查中，不方便透露更多信息，截至發(fā)稿，記者并未得到工行的回復(fù)。