工银快捷支付存在漏洞 多名客户存款莫名消失
随着互联网的快速发展,科技让生活变得更加美好,但也带来了一些安全问题。近期,相关媒体陆续收到报道。不少客户表示,开通“电子支付”业务后,只需短信验证码即可进行支付交易。结果,他们账户里的钱很快就莫名其妙地消失了。不法分子通过特殊渠道截获短信验证码,轻松拿走卡内资金。据悉,这些***存款事件中,个人被盗金额最高达到4.2万元。不少工行客户看到报道后陷入焦虑。
从事IT行业的秦先生平时非常注重隐私保护,没想到却在不知不觉中遇到了存款被盗的问题。当天,他接连收到多条短信通知,先是提醒他开通了“短信保管箱服务”,然后又看到短信内容表明要进行转账。他赶紧查了明细,发现卡上少了9950元。经调查,记者发现,与秦先生有同样经历的人还有不少。相关情况仍在调查中。
相关报道
储户存款频发被盗“电子支付”安全风险暴露
在互联网创新、信息快速变革的时代,各家银行开始积极布局互联网金融服务领域。然而,科技在给客户带来便捷服务体验的同时,银行的风险防控也频频受到质疑。
近日,靠前财经记者接到储户反映,6月中旬至7月初,工行北京多户储户遭遇存款被盗的情况。这些案件的一个共同特点是,大部分储户被不法分子强迫开通工商银行的“电子支付”服务,仅通过短信验证码即可实现快速交易。同时,不法分子利用非法手段拦截短信验证码,轻松盗取存款。
采访中,不少业内人士认为,此类案件的关键在于银行快捷支付将短信验证码视为身份验证码。这本身就存在风险。短信验证码容易被盗,为快捷支付奠定了基础。隐藏的风险。
多名客户存款被盗
只需短信验证码即可进行支付交易,这不仅给储户带来了便利,也给不法分子提供了钻空子实施犯罪的机会。
“没想到,短短几分钟,银行存款就莫名减少了近两万元,两笔钱就这么轻易被盗了。”家住北京的谭跃(化名)是一名IT行业从业者。他平时非常重视保护自己的网络金融安全。但提起前不久不法分子利用网络盗取他存款的事件,他仍心有余悸。
7月8日晚23时49分,秦越收到中国移动发来的短信,提醒他已开通中国移动“短信保险箱服务”。一分钟后,他又收到工行发来的短信,提醒他工行的“电子支付”业务已修改。紧接着,几条短信接连发来,包括即将办理转账业务的通知以及即将支付9990元的提示信息和验证码。
“因为时间已经很晚了,为了不打扰孩子们休息,我已经把手机静音了。当我看到这些短信时,已经是23点55分了。”情急之下,秦越立即查看了自己工行卡的交易明细,但已经来不及了。交易明细显示,他的银行卡上确实缺失了9990元。
“于是我立即拨打工行客服电话,却说客服占线,等了2分钟就挂断了。没想到这个时候又发来一条短信,说我正在汇款”金额为9950元,并被告知‘如有疑问,请停止操作’。”
秦越告诉记者:“我立即又查了一遍账户,看到明细我一头雾水,果然账户上又少了9950元。”秦越强调,在此之前,他并没有主动开通“电子邮件账户”。支付”业务,事发后,他测试了自己的笔记本电脑和手机没有病毒。
秦越的经历并非孤例。近日,记者加入了工行储户维权小组,该维权小组的存款通过社交网站被盗。超过40名储户已更改群组名称,并将自己标记为“受害者”。他们中的大多数人无缘无故地开通了工行“电子支付”,然后银行卡里的存款在几分钟内就消失了。
短短几天时间,记者联系到20余名受害人,其被盗存款总额约为25.68万元。其中,最早的存款被盗事件发生在6月13日,最新的事件发生在7月9日。其中,个人被盗金额最高金额为4.2万元,最低金额为500元。
无独有偶,这些案件大多有两个共同点,那就是受害人都是工行储户,且大多是中国移动客户。和秦越一样,他们也被迫开通了中国移动的“短信保险箱”服务。
由于“短信金库”具有同步备份和存储客户收发短信的功能,并且考虑到该业务被强制开通后,立即开通了仅使用短信验证即可进行交易的功能。代码。不少储户因此怀疑中国移动的“短信保管箱”业务与本次存款丢失事件存在必然联系。
针对储户的疑问,记者联系了中国移动北京分公司,相关负责人回应:“目前,后台网络日志显示,不知情定制是有人利用客户手机号码和客服网站密码进行不知情定制。”通过手机登录客服,WAP页面已打开,目前没有迹象表明中国移动网站遭到攻击导致客户信息泄露。”
同时,中国移动北京分公司相关负责人也坦言,由于“短信保险箱”业务于2009年成立,且在短信广泛应用于金融领域之前就已经存在,未能充分考虑客户的需求。金融服务。此类事件发生后,公司将对短信增值业务进行全面梳理,并提高短信增值业务的安全性。 “在客户投诉银行卡被盗刷后,虽然客户仍然可以开通这项服务,但查询历史短信的功能已被紧急关闭。目前该服务正在优化,包括‘不保存发送的短信’”银行‘’可以查询24小时前的短信、‘需要动态密码验证’等”
安全测试
采访中记者了解到,并不是所有储户的存款在经过“短信保管箱”处理后都被盗。
储户秦宇(化名)也是本次存款损失的受害者之一,但与其他受害者不同的是,她的手机号码不属于中国移动,也一直没有“短信保险箱”。秦宇告诉记者:“我的存款被盗的过程中,我没有收到动态密码,只收到一条短信验证码,说我正在修改工行的‘电子支付’信息,然后我的存款就被盗了。”转让了,‘电子支付’业务不是我开的。”
某国有银行电子银行部人士推测,秦宇案中的短信验证码是不法分子通过其他方式获取的。与U盾相比,使用短信验证码进行交易的快速支付虽然方便,但安全性相对较差。
“该类案件的关键问题在于,银行使用短信验证码作为身份认证的依据,这就决定了会存在一定的风险。”猎豹移动安全专家李铁军认为,虽然在这起事件中,工商银行和中国移动公司都有责任,但中国移动的“短信保险柜”业务只是窃取短信验证码的一种方式。它类似于以前拦截手机短信的钓鱼网站和病毒。因此,关键问题在于短信验证码本身。
“在保障信息安全时,通常采用三种方式进行身份验证,即使用密码等‘已知’;短信验证码等‘持有’以及指纹、虹膜等‘固有’。”某国有银行科技部门人士告诉记者,“如果只采用单一验证,比如短信验证,其安全性不如双重验证。同时,两者‘都’都知道”。 ”和“持有”可能会被盗。但是,指纹识别还需要考虑识别率的问题,例如带有指纹识别的手机有时无法使用自己的指纹解锁。短信验证的成本比较低,而且可以通过的效率较高,所以应用比较广泛。”
李铁军认为,从实际操作情况来看,快捷支付给人们的消费带来了极大的便利。 “目前中国可以说是全球移动支付最发达的国家,我们不能因为存款被盗而停止吃饭、放弃快捷支付。如果我们想在移动终端上加上传统的U盾,保证“安全性,显然交易速度会大大降低,使用起来很不方便,银行很可能会被第三方支付机构打败。”李铁军建议,既然每种支付方式都有风险,这种风险不应该存在。传递给客户。存款人的权益可以通过保险得到保障。
“当然,银行也应该不断提高网上银行的安全性。”李铁军坦言,目前银行系统都采用实名制,比一些不实名制运营的第三方支付公司安全得多。但银行的系统在安全保障方面应该更加完善,以减少恶意入侵造成的存款损失。
采访中,记者了解到,储户存款被盗的事件似乎早有犯罪分子埋下伏笔。
储户刘全(化名)的存款于6月28日被盗,但后来他发现自己的网银早在这之前就已经从其他地方登录过,但并未收到银行的任何提示。 。刘全的情况也发生在很多储户身上。他们告诉记者,从外地登录他们网银的IP地址集中在海南。
针对这一情况,记者拨打工商银行客服电话进行查询。工作人员告诉记者,网银远程登录提醒服务需要客户开通。如果该服务未启动,则不会提醒客户。不少储户表示,原本以为这项提醒服务不需要额外开通。
值得一提的是,记者向工商银行发出采访函,询问此类案件的起因及处理情况。不过,工商银行相关人员告诉记者,由于目前仍在调查中,不方便透露更多信息。截至发稿,记者尚未收到工商银行的回复。
