原本為了增加安全系數的手機動(dòng)態(tài)密碼��,如今卻成了廣發(fā)網(wǎng)銀最大的漏洞���。近段時(shí)間����,廣發(fā)信用卡盜刷事件頻發(fā)��,作案者手段幾乎一致:在受害者網(wǎng)銀中修改手機號碼����,利用新號碼接受動(dòng)態(tài)密碼���,從而完成盜刷支付��。近10名被盜刷者向《IT時(shí)報》記者提出的相同問(wèn)題是:網(wǎng)上支付環(huán)節中最重要的一環(huán)——手機��,為什么能如此輕易修改����?第三方支付平臺能否承擔更多的風(fēng)險控制功能�?
用戶(hù)投訴:一夜“飛”走5000元
8月23日早上王青(化名)打開(kāi)手機�����,幾條“一擁而入”的短信�����,讓他感到“大勢不妙”:“尊敬的×××�����,您在廣發(fā)銀行網(wǎng)上銀行的手機號已經(jīng)重新設置成功�������!薄百F卡末四位××××于23日02時(shí)消費人民幣2000.00元�,授權號末四位××××�������!睅讞l短信看下來(lái)�����,王青明白了��,自己的廣發(fā)信用卡被盜刷了����,損失5000元����。
王青立刻撥打了廣發(fā)信用卡的客服電話(huà)����,經(jīng)過(guò)查詢(xún)�,第一筆2000元被通過(guò)支付寶購買(mǎi)了彩票����,第二筆3000元則通過(guò)銀聯(lián)在線(xiàn)支付了出去���,由于采用即時(shí)到賬的支付方式�����,這5000元是追不回來(lái)了���。
上網(wǎng)搜索一番���,王青才發(fā)現��,原來(lái)發(fā)生在自己身上的“噩夢(mèng)”并非個(gè)例�。從今年7月初開(kāi)始�,便陸陸續續有人在網(wǎng)上投訴�����,廣發(fā)上線(xiàn)新網(wǎng)銀系統后����,信用卡被盜刷����。葉迷(化名)是另一名廣發(fā)信用卡被盜刷者����。今年7月4日����,他的一張廣發(fā)信用卡在凌晨?jì)牲c(diǎn)多的時(shí)候被盜刷2000元�,通過(guò)環(huán)迅支付用于購買(mǎi)一家名為騰馳策劃公司的服務(wù)�,被盜經(jīng)歷與王青如出一轍�。經(jīng)過(guò)一個(gè)多月的聯(lián)系�����,葉迷得到的最新回復是:廣發(fā)銀行風(fēng)險控制部門(mén)已介入調查����,在此期間�,無(wú)需還款�����。
記者調查:第三方支付難止損
在記者拿到的一份廣發(fā)信用卡被盜刷者的名單中���,有5個(gè)被盜者與葉迷一樣����,數千元的款項均被轉移至那家名為騰馳策劃的公司����。到底這是一家怎樣的公司呢���?8月24日�����,記者多次撥打騰馳網(wǎng)站上的電話(huà)����,始終無(wú)法接通��,其中公布的400電話(huà)�����,更是被接線(xiàn)方否認屬于騰馳�����。葉迷告訴《IT時(shí)報》記者���,曾有深圳的受害者去騰馳網(wǎng)站上標明的地址查訪(fǎng)�,卻并沒(méi)有找到這家公司�。
通過(guò)第三方支付平臺——環(huán)迅支付���,記者拿到一份來(lái)自騰馳的聲明��,稱(chēng)他們也是受害者�,盜刷者是他們的一名會(huì )員�,目前已無(wú)法聯(lián)系�,其賬戶(hù)也被凍結�。聲明的落款是7月26日��。環(huán)迅支付相關(guān)人士向記者證實(shí)�,這是一家正規運營(yíng)的公司�,證照齊全�����,銷(xiāo)售的是網(wǎng)絡(luò )優(yōu)化等服務(wù)�����。
7月4日失竊當日���,葉迷向環(huán)迅提出終止付款的要求��,但最終并沒(méi)有被支持�����。環(huán)迅支付相關(guān)人士告訴記者�����,普通用戶(hù)與環(huán)迅之間都是T+1的結算方式����,也就是說(shuō)�����,第一天凌晨發(fā)生的盜刷�����,第二天才會(huì )真正由環(huán)迅支付給商戶(hù)�����,如果盜刷者購買(mǎi)的是實(shí)物商品����,且當天便與環(huán)訊聯(lián)系���,便有可能追回被盜款項�����。但由于盜刷者通常購買(mǎi)的都是彩票�、充值卡等虛擬商品�,采用的是即時(shí)到賬的結算方式��,所以第三方支付平臺很難止損��。
廣發(fā)網(wǎng)銀可隨意更改手機
經(jīng)過(guò)對多名受害者采訪(fǎng)����,《IT時(shí)報》記者基本復盤(pán)了整個(gè)被盜刷的經(jīng)過(guò)����。5月20日�,廣發(fā)信用卡的新網(wǎng)銀上線(xiàn)����,其中一項重要修改是�,取消原有固定的支付密碼��,而采用手機動(dòng)態(tài)密碼的方式�,也就是說(shuō)��,每次支付前�����,手機將收到一條動(dòng)態(tài)密碼���,以此作為支付憑據����。
然而�����,這種新操作模式有個(gè)致命的弱點(diǎn)�����,除非用戶(hù)設置了“私密問(wèn)題”�����,否則黑客只需知道網(wǎng)銀登錄名和密碼�����,便可在網(wǎng)銀上修改手機號碼�,且修改后的密碼直接發(fā)送至新號碼處�,從而完成支付�����!皬V發(fā)稱(chēng)這是為了方便丟失手機用戶(hù)�����,可到底是網(wǎng)銀安全重要����,還是為這極少數丟手機用戶(hù)服務(wù)重要�?”王青對廣發(fā)的解釋很不理解�����。
在記者拿到的這份被盜刷名單中��,有五六起案件的盜刷者修改后新手機為同一個(gè)“159”開(kāi)頭的號碼�����,基本可確定�,這些案件均一人所為�。然而由于涉案金額并不高�����,每件盜刷案大多在數千元左右��,被害者分布范圍廣����,遍布浙江��、廣東��、北京等地���,盡管都已經(jīng)報警�����,但警方明確表示�����,案值太小�,恐怕很難破案�����。
諸多網(wǎng)銀只有廣發(fā)中招
“銀行總是說(shuō)盜刷責任在我們���,沒(méi)保管好密碼����,難道廣發(fā)網(wǎng)銀就一點(diǎn)責任都沒(méi)有嗎����?”王青告訴記者����,他電腦中裝了360安全衛士����、網(wǎng)購保鏢等各種殺毒軟件�,定期更新�,從未報警說(shuō)有木馬����,“我網(wǎng)購6年��,工行��、招行���、交行等銀行的信用卡和網(wǎng)銀都有�,且最近兩個(gè)月內均使用過(guò)���,就算電腦被種了木馬��,這些銀行的網(wǎng)銀登錄密碼應該全被盜����,為何其他銀行沒(méi)有被盜刷�����,只有廣發(fā)被盜刷成功�����?”
到底其他銀行是如何做的呢����?記者隨即撥打了招商銀行的客服電話(huà)����,對于記者要求更改注冊手機號碼的要求�,客服人員提出不僅要人工核對多重資料�,而且修改號碼的請求短信會(huì )同時(shí)發(fā)給新��、舊手機號碼���,最關(guān)鍵的是�����,修改請求第二天才生效����,如是���,被修改者有一天的時(shí)間來(lái)發(fā)現�����,是否密碼被盜�����。至于通過(guò)網(wǎng)銀修改手機號碼���?“是不可能的������!
浦發(fā)銀行的網(wǎng)銀防范也十分嚴密���。每次登錄都必須輸入手機動(dòng)態(tài)密碼�����,從開(kāi)始便杜絕了盜刷者登錄的可能�。
記者手記:遲遲不見(jiàn)亡羊補牢
在記者接觸的被盜刷者中����,最早一人于7月4日被盜刷��,最晚一人于8月23日被盜刷���,中間相隔一個(gè)半月�,用戶(hù)也已經(jīng)多次向廣發(fā)投訴�。但為何如此明顯的漏洞���,廣發(fā)網(wǎng)銀仍沒(méi)有做任何補救工作呢����?亡羊補牢為時(shí)不晚����,就算現在進(jìn)入調查階段�����,先把“羊圈”修補好����,應該難度不大吧���。沒(méi)人苛求銀行服務(wù)十全十美�,人們在意的�,只是對用戶(hù)起碼的用心和尊重而已���。就這點(diǎn)來(lái)說(shuō)���,廣發(fā)差距甚遠��。