工行“e支付”曝重大漏洞:短信驗(yàn)證碼存賬戶被盜取隱患�,用戶該如何防范(王彬斌律師創(chuàng)作文章)
導(dǎo)讀:王彬斌您身邊的專業(yè)知識(shí)產(chǎn)權(quán)律師13538982365在互聯(lián)網(wǎng)推陳出新、信息迅速更迭的大時(shí)代�,各家銀行紛紛著手在互聯(lián)網(wǎng)金融服務(wù)領(lǐng)域積極布局。但科技在給客戶帶來便捷服務(wù)體驗(yàn)的同時(shí)�,銀行的風(fēng)險(xiǎn)防控也頻頻遭遇拷問。事件回顧...
王彬斌您身邊的專業(yè)知識(shí)產(chǎn)權(quán)律師13538982365
在互聯(lián)網(wǎng)推陳出新�、信息迅速更迭的大時(shí)代�,各家銀行紛紛著手在互聯(lián)網(wǎng)金融服務(wù)領(lǐng)域積極布局�。但科技在給客戶帶來便捷服務(wù)體驗(yàn)的同時(shí)�,銀行的風(fēng)險(xiǎn)防控也頻頻遭遇拷問�。
事件回顧:
從6月中旬到7月上旬�,多位北京地區(qū)的工行儲(chǔ)戶遭遇了存款被盜事件。而這類案件的一大共性�,就是儲(chǔ)戶大多被犯罪分子強(qiáng)行開通了工行僅憑借短信驗(yàn)證碼就能快速交易的“e支付”業(yè)務(wù)。同時(shí)�,犯罪分子借助非法途徑截獲短信驗(yàn)證碼,輕而易舉地盜竊存款�。
多位業(yè)內(nèi)人士認(rèn)為,這類案件的關(guān)鍵在于銀行的快捷支付將短信驗(yàn)證碼視為身份認(rèn)證碼�,這本身就存在風(fēng)險(xiǎn),短信驗(yàn)證碼容易被竊取�,這就為快捷支付埋下了風(fēng)險(xiǎn)隱患。
多名客戶存款被盜
僅憑借短信驗(yàn)證碼就能進(jìn)行支付交易�,在給儲(chǔ)戶帶來便利的同時(shí),也給不法分子提供了鉆空子犯罪的機(jī)會(huì)�。
“萬萬沒想到,短短幾分鐘時(shí)間銀行存款就莫名少了近2萬元�,兩筆錢就這樣被輕易盜取了?!奔易”本┑鸟?化名)是IT行業(yè)的從業(yè)人士,平時(shí)很注重保護(hù)自己的網(wǎng)絡(luò)金融安全�,然而,提起前不久他遭遇的一起犯罪分子借助網(wǎng)絡(luò)隔空對(duì)其存款進(jìn)行盜竊的事故�,他仍然心有余悸。
7月8日晚23:49�,覃岳收到了一條來自中國(guó)移動(dòng)的短信�,提示他已經(jīng)開通了中國(guó)移動(dòng)“短信保管箱業(yè)務(wù)”�。1分鐘過后,他又收到了一條來自工商銀行95588的短信�,上面提示他的工銀“e支付”業(yè)務(wù)已經(jīng)被修改。緊接著95588接連發(fā)來了幾條短信�,分別為即將辦理轉(zhuǎn)賬業(yè)務(wù)的通知和即將付款9990元的提示信息及驗(yàn)證碼。
“由于當(dāng)時(shí)已經(jīng)很晚了�,為了不吵到孩子休息,我早就把手機(jī)調(diào)成了靜音�,當(dāng)自己看到這幾條短信的時(shí)候已經(jīng)是23:55?!被琶χ校赖谝粫r(shí)間查詢了他的工行卡交易明細(xì)�,可是為時(shí)已晚,交易明細(xì)顯示他的銀行卡里確實(shí)少了9990元�。
“于是我馬上撥打了工行的客服電話,但提示客服話務(wù)繁忙�,等待了2分鐘后我就掛斷了。誰料就在這時(shí)95588又發(fā)來了一條短信�,上面寫到我正在進(jìn)行匯款�,金額為9950元,并告知我‘如有疑問請(qǐng)停止操作’�。”
覃岳說:“我馬上又查詢了我的賬戶�,看到明細(xì)時(shí)我就蒙了�,賬戶果然又少了9950元�。”覃岳強(qiáng)調(diào)道�,在此之前,自己并未主動(dòng)開通過“e支付”業(yè)務(wù)�,而且事發(fā)后他檢測(cè)過自己的筆記本電腦和手機(jī)都沒有病毒。
覃岳的遭遇并不是個(gè)案�。近日,記者通過某社交網(wǎng)站加入了一個(gè)工行存款被盜儲(chǔ)戶的維權(quán)群�,已經(jīng)修改群名稱并標(biāo)注自己為“受害人”的儲(chǔ)戶有40余名。而他們中的大多數(shù)都是被無故開通了工銀“e支付”�,隨后銀行卡中的存款就在幾分鐘內(nèi)不翼而飛了。
短短幾天的時(shí)間里�,就有20多名受害人他們被盜取的存款金額合計(jì)約為25.68萬元。他們當(dāng)中�,最早的存款被竊事件發(fā)生在6月13日,最晚的發(fā)生在7月9日�。其中,被偷竊的個(gè)人最大金額達(dá)到4.2萬元�,最小金額為500元。
巧合的是�,這些案件大都有兩個(gè)共性,就是受害人同為工行儲(chǔ)戶且多為中國(guó)移動(dòng)的客戶�。與覃岳一樣,他們也被強(qiáng)行開通了中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)�。
由于“短信保管箱”具有將客戶發(fā)送�、接收的短信進(jìn)行同步備份存儲(chǔ)的功能�,同時(shí)考慮到在這一業(yè)務(wù)被迫開通后,緊接著就被開通了僅憑借短信驗(yàn)證碼就可以進(jìn)行交易的工銀“e支付”�,因此多位儲(chǔ)戶懷疑,中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)與此次的存款丟失事件難逃干系�。
針對(duì)儲(chǔ)戶的疑問,記者聯(lián)系了中國(guó)移動(dòng)北京分公司�,相關(guān)負(fù)責(zé)人給予的回復(fù)稱:“目前經(jīng)過后臺(tái)網(wǎng)絡(luò)日志顯示,不知情定制均系有人使用客戶的手機(jī)號(hào)和客服網(wǎng)站密碼�,通過手機(jī)登錄客服WAP頁面開通,目前并沒有任何跡象顯示是中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏�。”
同時(shí)�,中國(guó)移動(dòng)北京分公司的相關(guān)負(fù)責(zé)人也坦言,由于“短信保管箱”業(yè)務(wù)設(shè)立于2009年�,是在短信被廣泛應(yīng)用于金融領(lǐng)域之前就已經(jīng)存在,因此未能充分考慮金融類業(yè)務(wù)所需的安全等級(jí)�,經(jīng)過此類事件,該公司會(huì)全面梳理基于短信的增值業(yè)務(wù)�,提升此類業(yè)務(wù)的安全性?!按舜毋y行卡被盜刷客戶投訴后,客戶雖然仍能開通此業(yè)務(wù)�,但查詢歷史短信的功能已緊急關(guān)停�,目前正在對(duì)業(yè)務(wù)進(jìn)行優(yōu)化�,包括‘不保存銀行下發(fā)的短信’‘只能查詢24小時(shí)前的短信’‘需要?jiǎng)討B(tài)密碼驗(yàn)證’等�。”
并非所有儲(chǔ)戶的存款都是在被辦理了“短信保管箱”之后才被盜的�。
儲(chǔ)戶秦玉(化名)也是本次存款丟失的受害人之一,但與其他受害人不同的是�,她的手機(jī)號(hào)并非歸屬于中國(guó)移動(dòng)公司,沒有出現(xiàn)過被辦理“短信保管箱”的情況�。秦玉告訴記者:“在我存款被盜取的過程中,我沒有收到過動(dòng)態(tài)密碼�,只收到了95588發(fā)來的短信驗(yàn)證碼,稱我正在修改工銀‘e支付’的信息�,隨后就是我的存款被轉(zhuǎn)走的通知。而‘e支付’這項(xiàng)業(yè)務(wù)也并非我本人開通�。”
某國(guó)有銀行電子銀行部人士猜測(cè)�,秦玉的情況應(yīng)該是短信驗(yàn)證碼被犯罪分子通過其他途徑獲取了。與U盾相比�,使用短信驗(yàn)證碼進(jìn)行交易的快捷支付雖然便捷,但安全性相對(duì)較差�。
“這類案件的關(guān)鍵問題在于銀行是將短信驗(yàn)證碼作為身份認(rèn)證的依據(jù),而這就決定了會(huì)存在一定的風(fēng)險(xiǎn)�。”獵豹移動(dòng)安全專家李鐵軍認(rèn)為�,雖然在此次事件中,工商銀行和中國(guó)移動(dòng)公司都有責(zé)任�,但中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)只是一個(gè)可能竊取短信驗(yàn)證碼的途徑�,與以往的釣魚網(wǎng)站�、攔截手機(jī)短信的病毒作用類似,因此關(guān)鍵問題在于短信驗(yàn)證碼本身�。
“在保證信息安全時(shí)�,通常可以借助三種方式進(jìn)行身份驗(yàn)證�,分別是利用‘所知道的’如密碼;‘所持有的’如短信驗(yàn)證碼和‘所固有的’如指紋、虹膜�。”某國(guó)有銀行科技部人士告訴記者�,“如果只采用單一驗(yàn)證,如短信驗(yàn)證�,其安全性不如雙重驗(yàn)證安全。同時(shí)�,‘所知道的’和‘所持有的’都可能會(huì)被人竊取,其安全性不如‘所固有的’�。但指紋識(shí)別也要考慮識(shí)別率的問題,比如有指紋識(shí)別的手機(jī)有時(shí)候也會(huì)出現(xiàn)自己的指紋解不了鎖的情況�。短信驗(yàn)證的成本相對(duì)較低,且通過率高�,因此應(yīng)用更為廣泛�。”
李鐵軍認(rèn)為�,從實(shí)際運(yùn)行的情況上看,快捷支付已經(jīng)給人們的消費(fèi)帶來了很大的方便�?!澳壳埃袊?guó)可以稱得上是全球移動(dòng)支付最發(fā)達(dá)的國(guó)家�。不能因?yàn)榘l(fā)生了存款被盜的情況,就要因噎廢食�,摒棄快捷支付。如果要在移動(dòng)終端增加傳統(tǒng)的U盾來保證安全�,顯然交易的速度會(huì)大打折扣,使用起來很不方便�,銀行很可能就會(huì)被第三方支付機(jī)構(gòu)打敗?!崩铊F軍建議,由于每種支付方式都會(huì)有風(fēng)險(xiǎn)�,但這種風(fēng)險(xiǎn)不應(yīng)該轉(zhuǎn)嫁到客戶身上,因此可以通過保險(xiǎn)的形式來保障儲(chǔ)戶的權(quán)益�。
“當(dāng)然,銀行也應(yīng)該繼續(xù)完善網(wǎng)銀的安全性�。”李鐵軍坦言�,目前銀行的系統(tǒng)都是使用實(shí)名制的�,這相對(duì)于有些非實(shí)名制操作的第三方支付公司而言,安全性要高很多。但銀行的系統(tǒng)在安全保證方面應(yīng)該做得更完善�,以便減少惡意入侵導(dǎo)致的存款丟失事件。
王律師觀點(diǎn):
首先先科普一下相關(guān)的法律法規(guī)這樣會(huì)使讀者更好認(rèn)知和理解�,根據(jù)最高人民檢察院《關(guān)于辦理妨害信用卡管理刑事案件具體應(yīng)用法律若干問題的解釋》第五條中關(guān)于“冒用他人信用卡”的相關(guān)規(guī)定:“刑法第一百九十六條第一款第(三)項(xiàng)所稱‘冒用他人信用卡’,包括以下情形:(三)竊取�、收買�、騙取或者以其他非法方式獲取他人信用卡信息資料�,并通過互聯(lián)網(wǎng)、通訊終端使用的�?!逼湫袨閼?yīng)當(dāng)構(gòu)成信用卡詐騙罪。其以上文中的案例都已經(jīng)構(gòu)成了犯罪�。
針對(duì)這一情況,王律師致電了工商銀行的客服電話詢問�,工作人員告訴王律師,網(wǎng)銀異地登錄提醒服務(wù)�,需要客戶自己開通,如果沒開通這一業(yè)務(wù)就不會(huì)受到提醒�。而多位儲(chǔ)戶均表示,自己原本以為這項(xiàng)提醒業(yè)務(wù)不需要額外開通�。
王律師提醒:
用戶要提高安全防范意識(shí),不要認(rèn)為單憑有密碼和手機(jī)動(dòng)態(tài)驗(yàn)證碼就是絕對(duì)安全的�。在通過手機(jī)綁定的網(wǎng)絡(luò)支付時(shí),最好還要有多重防護(hù),比如辦理網(wǎng)銀盾�、電子口令卡等再次保障安全的工具。
涉及網(wǎng)絡(luò)支付時(shí)�,一定要選擇正規(guī)電商網(wǎng)站進(jìn)行交易,安裝專業(yè)的手機(jī)安全軟件�,查殺和攔截手機(jī)盜號(hào)病毒,并識(shí)別短信�、網(wǎng)頁中可能存在的“釣魚”網(wǎng)站鏈接�。
另外,要妥善保管好手機(jī)和密碼�、設(shè)置合理的轉(zhuǎn)賬支付限額、開通及時(shí)短信通知服務(wù)�、提防虛假WAP網(wǎng)址和網(wǎng)絡(luò)釣魚、使用完手機(jī)銀行后應(yīng)及時(shí)清除手機(jī)內(nèi)存中臨時(shí)存儲(chǔ)賬戶�、密碼等敏感信息等。
使用手機(jī)銀行的用戶�,在碰到不能收發(fā)短信,或者無法接打電話時(shí)�,也一定要多一個(gè)心眼,及時(shí)關(guān)注SIM卡是否被補(bǔ)辦�,以及手機(jī)銀行的資金動(dòng)向。
而銀行如何及時(shí)針對(duì)新型犯罪手段�,設(shè)置更加讓人放心的支付、轉(zhuǎn)賬保密程序�,也成為消費(fèi)者關(guān)心的問題。
王彬斌您身邊的專業(yè)知識(shí)產(chǎn)權(quán)律師13538982365
-
保護(hù)您珍貴的智慧財(cái)富!:知識(shí)產(chǎn)權(quán)案件逐年成倍增長(zhǎng)�,既有國(guó)際經(jīng)濟(jì)發(fā)展的大趨勢(shì)也有國(guó)內(nèi)產(chǎn)業(yè)調(diào)整的客觀需求。現(xiàn)在知識(shí)產(chǎn)權(quán)真正成為企業(yè)逐鹿商海的矛和盾�,企業(yè)不僅要矛尖也要盾厚,每個(gè)企業(yè)都有自己知識(shí)產(chǎn)權(quán)的脈動(dòng)�,有針對(duì)性的進(jìn)行建設(shè)和保護(hù)企業(yè)知識(shí)產(chǎn)權(quán),方能助企業(yè)一臂之力�!
關(guān)注微信“王彬斌律師”(微信號(hào)wangbinbinlawyer),閱讀更多精彩文章�。使用微信掃描左側(cè)二維碼添加關(guān)注。
掃描二維碼�,關(guān)注王彬斌律師
(聲明:本文僅代表作者觀點(diǎn),不代表法邦網(wǎng)立場(chǎng)�。本文為作者授權(quán)法邦網(wǎng)發(fā)表,如有轉(zhuǎn)載務(wù)必注明來源“王彬斌律師網(wǎng)”)
執(zhí)業(yè)律所:廣州盈科律師事務(wù)所
咨詢電話:
15811286610
知識(shí)產(chǎn)權(quán)雙證王彬斌律師�,用專業(yè)和責(zé)任為您保護(hù)珍貴智慧財(cái)富!
專業(yè)的事交給專業(yè)的律師�,一對(duì)一預(yù)約專家律師咨詢,歡迎來電135 3898 2365預(yù)約詳細(xì)面談�。
