京華時報制圖謝瑤
近日,工行北京地區多位儲戶資金通過快捷支付業務被盜。工行昨天回應稱,“工行快捷支付曝重大漏洞”系誤解,事發原因是不法分子使用非法手段獲取了客戶的相關信息和密碼,再利用客戶信息開通了客戶手機的“短信保管箱”業務,從而獲取交易驗証短信並盜取資金。北京移動方面已經緊急暫停了相關業務,並表示如查實儲戶被盜刷資金確是移動的業務問題,願意承擔賠償責任。
■事件回放
多位儲戶資金被盜刷
7月9日,微博網友“公交姬”在微博上吐槽銀行卡被盜刷事件,該網友被強制開通了北京移動的短信保險箱業務,不法分子通過快捷支付的手機動態密碼完成盜刷。據記者了解,北京地區多位儲戶遇到類似情況,有類似經歷的受騙者在社交工具上成立交流群,規模近20人。一時之間,工行“工銀e支付”有重大漏洞的說法甚囂塵上。
■工行回應
工銀e支付運營正常
針對儲戶資金通過快捷支付被盜一事,工行方面昨天表示,工銀e支付業務運營正常,也未發生泄露客戶信息的情況,儲戶資金被盜主要是由於其預留的手機被強行開通了中國移動的“短信保險箱”業務,不法分子盜取儲戶動態密碼,進而通過快捷支付盜取資金。
工行在公告中表示,“近年來,多家支付機構和商業銀行都推出了基於手機短信驗証的快捷支付業務,這種小額支付方式方便快捷,受到了客戶的廣泛歡迎。我行的工銀e支付業務也屬於這種快捷支付業務,該業務開通時需要驗証客戶預留在我行的密碼和手機號碼,支付時需要驗証我行向客戶預留手機發送的短信驗証碼。隻要客戶保管好手機上的短信,安全性是有保障的。現在社會上一些不法分子利用非法手段竊取客戶個人信息和認証短信,以盜取客戶資金。為安全使用工銀e支付業務,我行提醒廣大客戶務必保管好個人信息、密碼,防止手機被植入病毒,防止認証短信被盜取。”工銀e支付每日累計支付的最大限額是1萬元,每月5萬元。
中國人民大學重陽金融研究院客座研究員董希淼認為,這個事件的主要責任在運營商身上。
■移動回應
移動已暫停相關業務
針對此事,北京移動回復稱,其已關注到客戶投訴以及媒體的相關報道,目前已與相關客戶就解決投訴問題達成初步意向,並表示將積極配合警方調查取証,同時已與銀行取得聯系,查找風險漏洞。北京移動表示,正在仔細對比客戶被盜刷時段的數據記錄,如果查實確實是移動的業務問題,“我們願意承擔賠償責任”。
對於短信內容泄露的原因,包括用戶投訴的被強制辦理短信保管箱業務,甚至退訂之后再次被訂購這項業務的情況,北京移動表示,已逐一對十余起類似客戶投訴進行了仔細核查,通過后台網絡日志發現,此類不知情定制均系不法分子使用客戶的手機號和客服網站密碼,通過手機登錄客服網站開通的。“目前並沒有任何跡象顯示是中國移動網站被攻擊造成了客戶信息泄露”。
北京移動表示,為了客戶信息安全,目前已暫停了短信保管箱業務的短信查詢等功能,並正在對此業務進行優化,優化內容包括“不保存銀行下發的短信”、“隻能查詢24小時前企業短信”、“需要動態密碼驗証”等,所有業務優化會在8月底前完成。中國移動還提醒客戶盡快升級弱密碼,不要安裝來歷不明的軟件,避免密碼被盜。
記者昨天致電中國移動客服熱線,對方表示,移動短信保管箱業務是為了解決許多人手機短信容量不充足的問題,開通這項業務可以自動將用戶發送、接收的短信同步備份存儲到雲端,用戶登錄移動官網就可以查詢備份的短信。移動客服人員稱,這項業務的雲端數據受到多項安全保護,用戶隻有通過手機號和密碼才能登錄,且登錄記錄會以短信形式反饋到手機上,用戶可通過向客服電話發送相應短信代碼開通和取消該項業務,業務收費為3元/月。
電信行業分析師馬繼華認為,造成用戶驗証碼泄露的原因,可能是木馬病毒入侵導致的用戶信息被盜取。
■相關背景
快捷支付井噴帶來風險
快捷支付是指用戶購買商品時,不需開通網銀,隻需提供銀行卡卡號、戶名、手機號碼等信息,銀行驗証手機號碼正確性后,第三方支付發送手機動態口令到用戶的手機號上,用戶輸入正確的手機動態口令,即可完成支付。
快捷支付可以提高用戶體驗,但作為一個新生領域,也讓不法分子有機可趁。去年底中國銀聯一份調查數據顯示,移動支付井噴式發展的同時,風險形勢變得更為嚴峻,有一成的受訪者遭遇過網上交易的詐騙,其中釣魚網站、木馬病毒以及虛假退款是主要的欺詐手段。
一股份制銀行反詐騙部門相關人士指出,快捷支付安全性較高,其驗証密碼隻發送到客戶預留的手機號碼上,是唯一的識別密鑰。動態短信驗証密碼相較於U盾而言安全系數略低,但是在客戶體驗和安全方面的最大平衡。
不法分子通常通過兩種方式獲取個人信息,一是拼湊法,通過已經被泄露的個人信息,進行整合加工﹔另一方面直接攻擊平台獲取個人交易信息。“所以短信動態驗証碼等必須妥善保管,不要輕信所謂低價網站、郵件、短信、聊天工具等發來的鏈接。”
■專家說法
打擊網絡詐騙需多部門聯動
一位警方人士表示,類似工行儲戶資金被盜的案件頻發,都是異地網絡詐騙,很難抓到不法分子,損失也很難找回。董希淼也指出,“關於維權問題,個人力量是很有限的,可以由工信部或者消費者協會提起公益訴訟,同時通信公司與公安部加強合作,共同打擊犯罪。”在他看來,近些年來中國網絡詐騙頻發,其中移動端風險系數更是倍增,這需要用戶、公安系統、電信運營商、銀行等部門聯動,否則事態改善空間非常有限。
多位受訪人士認為,支付方式都存在風險,但這種風險不應該轉嫁到客戶身上,建議通過保險的形式來保障儲戶的權益。
京華時報記者余雪菲古曉宇實習記者羅夢嬌趙雯琪