首頁>國企·民企>財·知道財·知道
工行儲戶資金通過短信被盜刷 北京移動已暫停相關業(yè)務
近日,工行北京地區(qū)多位儲戶資金通過快捷支付業(yè)務被盜。工行昨天回應稱,“工行快捷支付曝重大漏洞”系誤解,事發(fā)原因是不法分子使用非法手段獲取了客戶的相關信息和密碼,再利用客戶信息開通了客戶手機的“短信保管箱”業(yè)務,從而獲取交易驗證短信并盜取資金。北京移動方面已經(jīng)緊急暫停了相關業(yè)務,并表示如查實儲戶被盜刷資金確是移動的業(yè)務問題,愿意承擔賠償責任。
■事件回放
多位儲戶資金被盜刷
7月9日,微博網(wǎng)友“公交姬”在微博上吐槽銀行卡被盜刷事件,該網(wǎng)友被強制開通了北京移動的短信保險箱業(yè)務,不法分子通過快捷支付的手機動態(tài)密碼完成盜刷。據(jù)記者了
解,北京地區(qū)多位儲戶遇到類似情況,有類似經(jīng)歷的受騙者在社交工具上成立交流群,規(guī)模近20人。一時之間,工行“工銀e支付”有重大漏洞的說法甚囂塵上。
■工行回應
工銀e支付運營正常
針對儲戶資金通過快捷支付被盜一事,工行方面昨天表示,工銀e支付業(yè)務運營正常,也未發(fā)生泄露客戶信息的情況,儲戶資金被盜主要是由于其預留的手機被強行開通了中國移動的“短信保險箱”業(yè)務,不法分子盜取儲戶動態(tài)密碼,進而通過快捷支付盜取資金。
工行在公告中表示,“近年來,多家支付機構和商業(yè)銀行都推出了基于手機短信驗證的快捷支付業(yè)務,這種小額支付方式方便快捷,受到了客戶的廣泛歡迎。我行的工銀e支付業(yè)務也屬于這種快捷支付業(yè)務,該業(yè)務開通時需要驗證客戶預留在我行的密碼和手機號碼,支付時需要驗證我行向客戶預留手機發(fā)送的短信驗證碼。只要客戶保管好手機上的短信,安全性是有保障的?,F(xiàn)在社會上一些不法分子利用非法手段竊取客戶個人信息和認證短信,以盜取客戶資金。為安全使用工銀e支付業(yè)務,我行提醒廣大客戶務必保管好個人信息、密碼,防止手機被植入病毒,防止認證短信被盜取。”工銀e支付每日累計支付的最大限額是1萬元,每月5萬元。
中國人民大學重陽金融研究院客座研究員董希淼認為,這個事件的主要責任在運營商身上。
■移動回應
移動已暫停相關業(yè)務
針對此事,北京移動回復稱,其已關注到客戶投訴以及媒體的相關報道,目前已與相關客戶就解決投訴問題達成初步意向,并表示將積極配合警方調(diào)查取證,同時已與銀行取得聯(lián)系,查找風險漏洞。北京移動表示,正在仔細對比客戶被盜刷時段的數(shù)據(jù)記錄,如果查實確實是移動的業(yè)務問題,“我們愿意承擔賠償責任”。
對于短信內(nèi)容泄露的原因,包括用戶投訴的被強制辦理短信保管箱業(yè)務,甚至退訂之后再次被訂購這項業(yè)務的情況,北京移動表示,已逐一對十余起類似客戶投訴進行了仔細核查,通過后臺網(wǎng)絡日志發(fā)現(xiàn),此類不知情定制均系不法分子使用客戶的手機號和客服網(wǎng)站密碼,通過手機登錄客服網(wǎng)站開通的。“目前并沒有任何跡象顯示是中國移動網(wǎng)站被攻擊造成了客戶信息泄露”。
北京移動表示,為了客戶信息安全,目前已暫停了短信保管箱業(yè)務的短信查詢等功能,并正在對此業(yè)務進行優(yōu)化,優(yōu)化內(nèi)容包括“不保存銀行下發(fā)的短信”、“只能查詢24小時前企業(yè)短信”、“需要動態(tài)密碼驗證”等,所有業(yè)務優(yōu)化會在8月底前完成。中國移動還提醒客戶盡快升級弱密碼,不要安裝來歷不明的軟件,避免密碼被盜。
記者昨天致電中國移動客服熱線,對方表示,移動短信保管箱業(yè)務是為了解決許多人手機短信容量不充足的問題,開通這項業(yè)務可以自動將用戶發(fā)送、接收的短信同步備份存儲到云端,用戶登錄移動官網(wǎng)就可以查詢備份的短信。移動客服人員稱,這項業(yè)務的云端數(shù)據(jù)受到多項安全保護,用戶只有通過手機號和密碼才能登錄,且登錄記錄會以短信形式反饋到手機上,用戶可通過向客服電話發(fā)送相應短信代碼開通和取消該項業(yè)務,業(yè)務收費為3元/月。
電信行業(yè)分析師馬繼華認為,造成用戶驗證碼泄露的原因,可能是木馬病毒入侵導致的用戶信息被盜取。
■相關背景
快捷支付井噴帶來風險
快捷支付是指用戶購買商品時,不需開通網(wǎng)銀,只需提供銀行卡卡號、戶名、手機號碼等信息,銀行驗證手機號碼正確性后,第三方支付發(fā)送手機動態(tài)口令到用戶的手機號上,用戶輸入正確的手機動態(tài)口令,即可完成支付。
快捷支付可以提高用戶體驗,但作為一個新生領域,也讓不法分子有機可趁。去年底中國銀聯(lián)一份調(diào)查數(shù)據(jù)顯示,移動支付井噴式發(fā)展的同時,風險形勢變得更為嚴峻,有一成的受訪者遭遇過網(wǎng)上交易的詐騙,其中釣魚網(wǎng)站、木馬病毒以及虛假退款是主要的欺詐手段。
一股份制銀行反詐騙部門相關人士指出,快捷支付安全性較高,其驗證密碼只發(fā)送到客戶預留的手機號碼上,是唯一的識別密鑰。動態(tài)短信驗證密碼相較于U盾而言安全系數(shù)略低,但是在客戶體驗和安全方面的最大平衡。
不法分子通常通過兩種方式獲取個人信息,一是拼湊法,通過已經(jīng)被泄露的個人信息,進行整合加工;另一方面直接攻擊平臺獲取個人交易信息。“所以短信動態(tài)驗證碼等必須妥善保管,不要輕信所謂低價網(wǎng)站、郵件、短信、聊天工具等發(fā)來的鏈接。”
■專家說法
打擊網(wǎng)絡詐騙需多部門聯(lián)動
一位警方人士表示,類似工行儲戶資金被盜的案件頻發(fā),都是異地網(wǎng)絡詐騙,很難抓到不法分子,損失也很難找回。董希淼也指出,“關于維權問題,個人力量是很有限的,可以由工信部或者消費者協(xié)會提起公益訴訟,同時通信公司與公安部加強合作,共同打擊犯罪。”在他看來,近些年來中國網(wǎng)絡詐騙頻發(fā),其中移動端風險系數(shù)更是倍增,這需要用戶、公安系統(tǒng)、電信運營商、銀行等部門聯(lián)動,否則事態(tài)改善空間非常有限。
多位受訪人士認為,支付方式都存在風險,但這種風險不應該轉(zhuǎn)嫁到客戶身上,建議通過保險的形式來保障儲戶的權益。
京華時報記者余雪菲古曉宇實習記者羅夢嬌趙雯琪
編輯:羅韋
關鍵詞:業(yè)務 短信 支付 移動