“騙子登錄我的網(wǎng)銀就能買理財,U盾認證居然默認關(guān)閉,實在令人不放心。”日前,家住北京市西城區(qū)的王先生經(jīng)歷了卡在身邊“被理財”的遭遇,所幸王先生警惕性高,沒讓騙子得逞。
記者調(diào)查發(fā)現(xiàn),近期這樣莫名其妙“被理財”的客戶不在少數(shù),相當一部分人被騙走錢財。為什么會莫名其妙“被理財”?理的財去了哪?騙局是怎樣展開的?這背后暴露出部分銀行網(wǎng)銀服務多少漏洞?
騙子幫忙“代購”理財產(chǎn)品意欲何為
日前,北京市民王先生忽然收到工行客服“95588”發(fā)來的短信:“您尾號××××卡7日15:46分手機銀行支出(如意積存)1000元”。
隨后王先生接到自稱一家淘寶店客服的電話,[注冊德國公司]詢問其是否購買了該店“如意積存”?王先生表示沒有。緊接著“客服”稱,“如果不是您本人購買可以幫忙攔截,但是需要您手機短信上的驗證碼。”
接著王先生接到95588發(fā)來的短信:“您正在付款,驗證碼為31023,金額1000元……”
“不是攔截么,怎么成付款了?”心有疑慮的王先生表示要先和銀行核實一下,掛了電話。他與工行客服95588聯(lián)系后證實,他的銀行卡確實支出1000元購買了“如意金積存”產(chǎn)品,但并非從淘寶購買,而是認購的工行一款貴金屬理財產(chǎn)品。
“恐怕是詐騙電話。”有些明白情況的王先生未將驗證碼發(fā)給“淘寶店客服”,果斷報警。
警方告訴王先生,近期遇到很多類似報案,手法類似。不法分子通過登錄受害人網(wǎng)銀,購買貴金屬理財產(chǎn)品,這時候存款還在受害人賬戶上,只是變成理財產(chǎn)品。騙子謊稱可以幫助阻截購買或贖回,騙取受害人短信驗證碼,從而盜取受害人賬戶資金。
“騙子的狡猾在于,受害人看到賬戶余額瞬間被‘蒸發(fā)’,一慌忙就容易落入陷阱,把驗證碼告訴騙子!币晃汇y行從業(yè)人員告訴記者,[德國公司注冊]值得注意的是,騙子索要的短信驗證碼并不能“贖回”理財產(chǎn)品,而是可以進行網(wǎng)絡(luò)購物支付、轉(zhuǎn)賬的短信驗證碼,從而把其他的存款悄悄轉(zhuǎn)走。
記者調(diào)查發(fā)現(xiàn),近期像王先生這樣遭遇的人不在少數(shù)。廣州的李先生按照自稱“拍拍網(wǎng)”客服人員的要求提供了短信驗證碼,對方轉(zhuǎn)走1萬元后無法聯(lián)系……隨著北京、廣州、上海、青島、長沙等地類似案件陸續(xù)曝光,不少受害者還自發(fā)成立了QQ群,互助維權(quán)。
片面強調(diào)交易便捷
忽視安全管理
一個騙局的完成,涉及多個流程和環(huán)節(jié)。記者梳理發(fā)現(xiàn),這其中既有客戶保管個人信息不善被不法分子鉆了空子等原因,也和當前部分銀行推出的一些金融產(chǎn)品服務片面強調(diào)交易便捷、忽視安全管理,安全漏洞被不法分子利用有關(guān)。
——信息泄露是資金被騙的“禍首”。
這類事件中,不法分子首先要獲取客戶賬號、開戶信息、密碼、手機號碼等個人信息,這些信息通過多種渠道泄露,有的是保管客戶信息的單位工作人員泄露,有的是客戶個人保管不善,被不法分子誘導,登錄釣魚網(wǎng)站或被植入木馬程序等,導致賬戶密碼泄露。
專家指出,銀行應加大自查、內(nèi)查,謹防客戶信息被泄露。但如果由于客戶自身原因?qū)е滦畔⒈槐I,會給銀行在交易的辨識上產(chǎn)生一定困難。
——理財交易設(shè)定的認證級別較低。
記者了解到,目前工行網(wǎng)銀在轉(zhuǎn)賬、匯款、繳費的交易都得使用U盾,但基金、理財、貴金屬交易等投資交易的認證級別較低,默認不需要U盾驗證。業(yè)內(nèi)人士指出,大部分客戶對“如意金積存”等貴金屬交易不太了解,騙子利用這樣的“名字噱頭”好行騙。
記者了解到,“如意金積存”是工行一款貴金屬理財產(chǎn)品,客戶既可以選擇贖回,獲得現(xiàn)金,也可以提取實物黃金。不過,如意金積存買賣不僅根據(jù)每天市場行情價格實時浮動,而且每克贖回還有實時價格和贖回價格的價差,相當于銀行總能賺一筆手續(xù)費。
“工行目前購買‘如意金積存’的U盾認證是默認‘關(guān)閉’的,需要客戶開通!蓖跸壬嬖V記者,“平時使用網(wǎng)銀轉(zhuǎn)賬幾百元錢都要使用U盾,但購買上萬元理財產(chǎn)品卻不需要,安全隱患一目了然!
工行從事外部風險欺詐的工作人員回應說,要求客戶自主定制主要是方便客戶體驗!氨热缇W(wǎng)銀理財,很難因為安全考慮而要求客戶都使用U盾。對于外匯、貴金屬等日交易頻繁的產(chǎn)品,使用U盾會影響客戶體驗!
一位上海的受害人表示,騙子曾偷偷登錄他的網(wǎng)銀購買了11萬元的如意金積存,盡管錢沒被騙子騙去。但他第二天按照當天金價贖回時,損失7000多元。
——網(wǎng)銀登錄驗證缺失,快捷支付驗證安全風控不到位。
“此類詐騙頻繁發(fā)生,銀行有著不可推卸的責任!蓖跸壬J為,“客戶的網(wǎng)銀在異地登錄,銀行應該明顯能發(fā)現(xiàn)登錄IP地址異常,但為什么沒有觸發(fā)風險預警機制?我從未接觸過貴金屬理財,這種不正常的交易行為為何沒有引起銀行風險監(jiān)控系統(tǒng)的注意?”
此類事件中,不法分子大都通過冒充商戶客服或銀行工作人員,獲取客戶快捷支付或工銀e支付短信驗證碼盜竊客戶資金,這顯示出目前快捷支付存在驗證不足的問題。專家建議,用戶要妥善保管短信驗證碼,不要向包括網(wǎng)絡(luò)客服、銀行工作人員在內(nèi)的任何人提供密碼內(nèi)容。
專家:
大數(shù)據(jù)和生物驗證待開發(fā)
對此,中國工商銀行電子銀行業(yè)務相關(guān)負責人表示,針對近期發(fā)生的不法分子利用貴金屬積存等業(yè)務實施詐騙的情況,該行已經(jīng)梳理發(fā)現(xiàn)了重要案件線索并報告公安部門,將繼續(xù)全力配合公安部門偵破案件,盡快將犯罪分子繩之以法。
這位負責人表示,購買銀行的貴金屬積存等產(chǎn)品沒有發(fā)生資金對外支付,資產(chǎn)仍在客戶本人賬戶內(nèi)。如確認客戶賬戶被不法分子盜用,非本人操作申購和贖回貴金屬積存等產(chǎn)品,產(chǎn)生的手續(xù)費和價差銀行全額返還,堅決維護客戶權(quán)益。對于客戶因為上當受騙,忽視銀行驗證碼短信中的警示信息,通過電話將短信驗證碼等關(guān)鍵信息主動告知不法分子,導致賬戶資金被盜的情況,銀行正聯(lián)系客戶妥善處理。
對于有客戶提出在工行電子銀行內(nèi)購買貴金屬積存等投資類產(chǎn)品不需要U盾認證的問題,這位負責人表示這種設(shè)計不是安全漏洞,而是為了在確?蛻糍Y金不向外劃轉(zhuǎn)的前提下為客戶提供更便捷的服務。針對當前電信詐騙和金融詐騙持續(xù)高發(fā)的外部形勢,工行決定暫時對此類交易實施交易認證措施,這能從根本阻斷這類詐騙現(xiàn)象,但是認證環(huán)節(jié)也會使客戶操作的便捷性受到一些影響,希望客戶能夠理解。工行正加緊研發(fā)新的安全措施并推出,在避免欺詐的同時提升業(yè)務操作的便捷性。這位負責人表示,目前針對銀行客戶的各類詐騙手法層出不窮,銀行方面將不斷加強安全防范手段,確保客戶資金安全。這位負責人強調(diào),這次發(fā)生的貴金屬積存業(yè)務詐騙是零星的、少量的,工行的系統(tǒng)安全沒有問題。這位負責人還表示,將會通過各個服務渠道密集地向客戶宣傳防范金融詐騙和電信詐騙的知識,也希望全社會加大這方面的宣傳力度,共同增強公眾的防詐騙意識。
同時工行做出安全提示,建議客戶制定網(wǎng)銀及手機銀行登錄短信提醒,及時了解電子銀行登錄情況;通過網(wǎng)銀或手機銀行“安全中心”欄目自助開通“理財類交易開通U盾認證功能”。
中央財經(jīng)大學金融法學院教授黃震表示,不能因為使用的便捷性而忽視安全風險,在強大的技術(shù)支撐下,銀行完全可以考慮依據(jù)理財風險類型和交易額度設(shè)置認證方式!跋褓F金屬交易這樣投資風險較高的理財交易應該默認開通安全級別較高的認證方式,以免給客戶帶來損失!
專家指出,在保障客戶資金安全的方式和手段上,部分商業(yè)銀行未充分利用現(xiàn)有數(shù)據(jù)資源開發(fā)風險模型。中央財經(jīng)大學中國銀行業(yè)研究中心主任郭田勇說:“一些銀行重視前端實名制認證,而對后端交易驗證不夠重視,缺乏對客戶個人交易行為習慣的積累和判斷。銀行掌握著龐大的數(shù)據(jù)資源,但是利用大數(shù)據(jù)防范金融風險能力尚顯不足!
“在科學技術(shù)的不斷推進下,安全和便捷并不一定是魚和熊掌不能兼得!秉S震認為,密碼型支付驗證方式容易被竊取,隨著科技不斷創(chuàng)新,應該引入指紋驗證、虹膜驗證、人臉識別等新興的、具有生物特性的驗證方式!瓣P(guān)鍵還在于銀行能否真正站在客戶角度上,思考如何創(chuàng)新服務、防范風險!