行业资讯 ev-ssl-news2

您现在所在的位置 首页 > 行业资讯 > 工行网银被指存漏洞:快捷支付风控不到位

工行网银被指存漏洞:快捷支付风控不到位

存款意外“被理财”,背后几多骗局–一条短信引出的部分银行网银服务漏洞之问。

新华网报道:日前,家住北京市西城区的王先生经历了卡在身边“被理财”的遭遇,所幸王先生警惕性高,没让骗子得逞。王先生表示,骗子登录其的网银就能买理财,U盾认证居然默认关闭,实在令人不放心。

记者调查发现,近期这样莫名其妙“被理财”的客户不在少数,相当一部分人被骗走钱财。为什么会莫名其妙“被理财”理的财去了哪骗局是怎样展开的这背后暴露出部分银行网银服务多少漏洞。

骗子帮忙“代购”理财产品意欲何为

日前,北京市民王先生忽然收到工行客服“95588”发来的短信:“您尾号××××卡7日15:46分手机银行支出(如意积存)1000元”。随后王先生接到自称一家淘宝店客服的电话,询问其是否购买了该店“如意积存”王先生表示没有。紧接着“客服”称,“如果不是您本人购买可以帮忙拦截,但是需要您手机短信上的验证码。”

接着王先生接到95588发来的短信:“您正在付款,验证码为31023,金额1000元……”

“不是拦截么,怎么成付款了”心有疑虑的王先生表示要先和银行核实一下,挂了电话。他与工行客服95588联系后证实,他的银行卡确实支出1000元购买了“如意金积存”产品,但并非从淘宝购买,而是认购的工行一款贵金属理财产品。

“恐怕是诈骗电话。”有些明白情况的王先生未将验证码发给“淘宝店客服”,果断报警。

警方告诉王先生,近期遇到很多类似报案,手法类似。不法分子通过登录受害人网银,购买贵金属理财产品,这时候存款还在受害人账户上,只是变成理财产品。骗子谎称可以帮助阻截购买或赎回,骗取受害人短信验证码,从而盗取受害人账户资金。

“骗子的狡猾在于,受害人看到账户余额瞬间被‘蒸发’,一慌忙就容易落入陷阱,把验证码告诉骗子。”一位银行从业人员告诉记者,值得注意的是,骗子索要的短信验证码并不能“赎回”理财产品,而是可以进行网络购物支付、转账的短信验证码,从而把其他的存款悄悄转走。

记者调查发现,近期像王先生这样遭遇的人不在少数。广州的李先生按照自称“拍拍网”客服人员的要求提供了短信验证码,对方转走1万元后无法联系……随着北京、广州、上海、青岛、长沙等地类似案件陆续曝光,不少受害者还自发成立了QQ群,互助维权。

账户余额“蒸发”暴露了网银安全哪些漏洞

一个骗局的完成,涉及多个流程和环节。记者梳理发现,这其中既有客户保管个人信息不善被不法分子钻了空子等原因,也和当前部分银行推出的一些金融产品服务片面强调交易便捷、忽视安全管理,安全漏洞被不法分子利用有关。

——信息泄露是资金被骗的“祸首”。

这类事件中,不法分子首先要获取客户账号、开户信息、密码、手机号码等个人信息,这些信息通过多种渠道泄露,有的是保管客户信息的单位工作人员泄露,有的是客户个人保管不善,被不法分子诱导,登录钓鱼网站或被植入木马程序等,导致账户密码泄露。

专家指出,银行应加大自查、内查,加强客户隐私信息保护措施,谨防客户信息被泄露。但如果由于客户自身原因导致信息被盗,会给银行在交易的辨识上产生一定困难。建议客户不要在非https加密的网站上面输入个人敏感信息。

——理财交易设定的认证级别较低。

记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用U盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要U盾验证。业内人士指出,大部分客户对“如意金积存”等贵金属交易不太了解,骗子利用这样的“名字噱头”好行骗。

记者了解到,“如意金积存”是工行一款贵金属理财产品,客户既可以选择赎回,获得现金,也可以提取实物黄金(1151.50, -1.70, -0.15%)。不过,如意金积存买卖不仅根据每天市场行情价格实时浮动,而且每克赎回还有实时价格和赎回价格的价差,相当于银行总能赚一笔手续费。

“工行目前购买‘如意金积存’的U盾认证是默认‘关闭’的,需要客户开通。”王先生告诉记者,“平时使用网银转账几百元钱都要使用U盾,但购买上万元理财产品却不需要,安全隐患一目了然。”

工行从事外部风险欺诈的工作人员回应说,要求客户自主定制主要是方便客户体验。“比如网银理财,很难因为安全考虑而要求客户都使用U盾。对于外汇、贵金属等日交易频繁的产品,使用U盾会影响客户体验。”

一位上海的受害人表示,骗子曾偷偷登录他的网银购买了11万元的如意金积存,尽管钱没被骗子骗去。但他第二天按照当天金价赎回时,损失7000多元。

——网银登录验证缺失,快捷支付验证安全风控不到位。

“此类诈骗频繁发生,银行有着不可推卸的责任。”王先生认为,“客户的网银在异地登录,银行应该明显能发现登录IP地址异常,但为什么没有触发风险预警机制我从未接触过贵金属理财,这种不正常的交易行为为何没有引起银行风险监控系统的注意”

此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。专家建议,用户要妥善保管短信验证码,不要向包括网络客服、银行工作人员在内的任何人提供密码内容。

银行防风险主动性不足 大数据和生物验证待开发

记者从工行多个网点了解到,工行目前正在调查和梳理电子渠道贵金属产品欺诈事件情况,并向受害人返还由于骗子“代购”而产生的交易手续费。

同时工行做出安全提示,建议客户制定网银及手机银行登录短信提醒,及时了解电子银行登录情况;通过网银或手机银行“安全中心”栏目自助开通“理财类交易开通U盾认证功能”。

然而,王先生认为这样做还远远不够。

“银行没从自身防堵漏洞入手解决,却要求客户自己制定。为什么不是银行主动提醒账户异常登录、理财交易异常”王先生认为,在资金安全方面银行更专业,应该更主动提供服务。

中央财经大学金融法学院教授黄震表示,不能因为使用的便捷性而忽视安全风险,在强大的技术支撑下,银行完全可以考虑依据理财风险类型和交易额度设置认证方式。“像贵金属交易这样投资风险较高的理财交易应该默认开通安全级别较高的认证方式,以免给客户带来损失。”

专家指出,在保障客户资金安全的方式和手段上,部分商业银行未充分利用现有数据资源开发风险模型。中央财经大学中国银行业研究中心主任郭田勇说:“一些银行重视前端实名制认证,而对后端交易验证不够重视,缺乏对客户个人交易行为习惯的积累和判断。银行掌握着庞大的数据资源,但是利用大数据防范金融风险能力尚显不足。”

“在科学技术的不断推进下,安全和便捷并不一定是鱼和熊掌不能兼得。”黄震认为,密码型支付验证方式容易被窃取,随着科技不断创新,应该引入指纹验证、虹膜验证、人脸识别等新兴的、具有生物特性的验证方式。“关键还在于银行能否真正站在客户角度上,思考如何创新服务、防范风险。”

中行网银被盗版 骗走储户几十万

银行出台网络支付安全新举措

银行钓鱼网站+银行假冒短信 骗你钱财没商量

交行手机银行官网遭劫持,沃通CA提醒用户谨慎访问

家长网银被盗刷4万元 个人信息泄露是源头