原本為了增加安全系數(shù)的手機(jī)動(dòng)態(tài)密碼,,如今卻成了廣發(fā)網(wǎng)銀最大的漏洞,。近段時(shí)間,廣發(fā)信用卡盜刷事件頻發(fā),,作案者手段幾乎一致:在受害者網(wǎng)銀中修改手機(jī)號(hào)碼,,利用新號(hào)碼接受動(dòng)態(tài)密碼,從而完成盜刷支付,。近10名被盜刷者向《IT時(shí)報(bào)》記者提出的相同問(wèn)題是:網(wǎng)上支付環(huán)節(jié)中最重要的一環(huán)——手機(jī),,為什么能如此輕易修改?第三方支付平臺(tái)能否承擔(dān)更多的風(fēng)險(xiǎn)控制功能,?
用戶投訴:一夜“飛”走5000元
8月23日早上王青(化名)打開(kāi)手機(jī),,幾條“一擁而入”的短信,讓他感到“大勢(shì)不妙”:“尊敬的×××,您在廣發(fā)銀行網(wǎng)上銀行的手機(jī)號(hào)已經(jīng)重新設(shè)置成功,�,!薄百F卡末四位××××于23日02時(shí)消費(fèi)人民幣2000.00元,授權(quán)號(hào)末四位××××,�,!睅讞l短信看下來(lái),王青明白了,,自己的廣發(fā)信用卡被盜刷了,,損失5000元。
王青立刻撥打了廣發(fā)信用卡的客服電話,,經(jīng)過(guò)查詢,,第一筆2000元被通過(guò)支付寶購(gòu)買了彩票,第二筆3000元?jiǎng)t通過(guò)銀聯(lián)在線支付了出去,,由于采用即時(shí)到賬的支付方式,,這5000元是追不回來(lái)了。
上網(wǎng)搜索一番,,王青才發(fā)現(xiàn),,原來(lái)發(fā)生在自己身上的“噩夢(mèng)”并非個(gè)例。從今年7月初開(kāi)始,,便陸陸續(xù)續(xù)有人在網(wǎng)上投訴,,廣發(fā)上線新網(wǎng)銀系統(tǒng)后,信用卡被盜刷,。葉迷(化名)是另一名廣發(fā)信用卡被盜刷者,。今年7月4日,他的一張廣發(fā)信用卡在凌晨?jī)牲c(diǎn)多的時(shí)候被盜刷2000元,,通過(guò)環(huán)迅支付用于購(gòu)買一家名為騰馳策劃公司的服務(wù),,被盜經(jīng)歷與王青如出一轍。經(jīng)過(guò)一個(gè)多月的聯(lián)系,,葉迷得到的最新回復(fù)是:廣發(fā)銀行風(fēng)險(xiǎn)控制部門已介入調(diào)查,,在此期間,無(wú)需還款,。
記者調(diào)查:第三方支付難止損
在記者拿到的一份廣發(fā)信用卡被盜刷者的名單中,,有5個(gè)被盜者與葉迷一樣,數(shù)千元的款項(xiàng)均被轉(zhuǎn)移至那家名為騰馳策劃的公司,。到底這是一家怎樣的公司呢,?8月24日,記者多次撥打騰馳網(wǎng)站上的電話,,始終無(wú)法接通,,其中公布的400電話,,更是被接線方否認(rèn)屬于騰馳。葉迷告訴《IT時(shí)報(bào)》記者,,曾有深圳的受害者去騰馳網(wǎng)站上標(biāo)明的地址查訪,,卻并沒(méi)有找到這家公司。
通過(guò)第三方支付平臺(tái)——環(huán)迅支付,,記者拿到一份來(lái)自騰馳的聲明,,稱他們也是受害者,盜刷者是他們的一名會(huì)員,,目前已無(wú)法聯(lián)系,,其賬戶也被凍結(jié)。聲明的落款是7月26日,。環(huán)迅支付相關(guān)人士向記者證實(shí),,這是一家正規(guī)運(yùn)營(yíng)的公司,證照齊全,,銷售的是網(wǎng)絡(luò)優(yōu)化等服務(wù),。
7月4日失竊當(dāng)日,葉迷向環(huán)迅提出終止付款的要求,,但最終并沒(méi)有被支持,。環(huán)迅支付相關(guān)人士告訴記者,普通用戶與環(huán)迅之間都是T+1的結(jié)算方式,,也就是說(shuō),第一天凌晨發(fā)生的盜刷,,第二天才會(huì)真正由環(huán)迅支付給商戶,,如果盜刷者購(gòu)買的是實(shí)物商品,且當(dāng)天便與環(huán)訊聯(lián)系,,便有可能追回被盜款項(xiàng),。但由于盜刷者通常購(gòu)買的都是彩票、充值卡等虛擬商品,,采用的是即時(shí)到賬的結(jié)算方式,,所以第三方支付平臺(tái)很難止損。
廣發(fā)網(wǎng)銀可隨意更改手機(jī)
經(jīng)過(guò)對(duì)多名受害者采訪,,《IT時(shí)報(bào)》記者基本復(fù)盤了整個(gè)被盜刷的經(jīng)過(guò),。5月20日,廣發(fā)信用卡的新網(wǎng)銀上線,,其中一項(xiàng)重要修改是,,取消原有固定的支付密碼,而采用手機(jī)動(dòng)態(tài)密碼的方式,,也就是說(shuō),,每次支付前,,手機(jī)將收到一條動(dòng)態(tài)密碼,以此作為支付憑據(jù),。
然而,,這種新操作模式有個(gè)致命的弱點(diǎn),除非用戶設(shè)置了“私密問(wèn)題”,,否則黑客只需知道網(wǎng)銀登錄名和密碼,,便可在網(wǎng)銀上修改手機(jī)號(hào)碼,且修改后的密碼直接發(fā)送至新號(hào)碼處,,從而完成支付,。“廣發(fā)稱這是為了方便丟失手機(jī)用戶,,可到底是網(wǎng)銀安全重要,,還是為這極少數(shù)丟手機(jī)用戶服務(wù)重要?”王青對(duì)廣發(fā)的解釋很不理解,。
在記者拿到的這份被盜刷名單中,,有五六起案件的盜刷者修改后新手機(jī)為同一個(gè)“159”開(kāi)頭的號(hào)碼,基本可確定,,這些案件均一人所為,。然而由于涉案金額并不高,每件盜刷案大多在數(shù)千元左右,,被害者分布范圍廣,,遍布浙江、廣東,、北京等地,,盡管都已經(jīng)報(bào)警,但警方明確表示,,案值太小,,恐怕很難破案。
諸多網(wǎng)銀只有廣發(fā)中招
“銀行總是說(shuō)盜刷責(zé)任在我們,,沒(méi)保管好密碼,,難道廣發(fā)網(wǎng)銀就一點(diǎn)責(zé)任都沒(méi)有嗎?”王青告訴記者,,他電腦中裝了360安全衛(wèi)士,、網(wǎng)購(gòu)保鏢等各種殺毒軟件,定期更新,,從未報(bào)警說(shuō)有木馬,,“我網(wǎng)購(gòu)6年,工行,、招行,、交行等銀行的信用卡和網(wǎng)銀都有,,且最近兩個(gè)月內(nèi)均使用過(guò),就算電腦被種了木馬,,這些銀行的網(wǎng)銀登錄密碼應(yīng)該全被盜,,為何其他銀行沒(méi)有被盜刷,只有廣發(fā)被盜刷成功,?”
到底其他銀行是如何做的呢,?記者隨即撥打了招商銀行的客服電話,對(duì)于記者要求更改注冊(cè)手機(jī)號(hào)碼的要求,,客服人員提出不僅要人工核對(duì)多重資料,,而且修改號(hào)碼的請(qǐng)求短信會(huì)同時(shí)發(fā)給新、舊手機(jī)號(hào)碼,,最關(guān)鍵的是,,修改請(qǐng)求第二天才生效,如是,,被修改者有一天的時(shí)間來(lái)發(fā)現(xiàn),,是否密碼被盜。至于通過(guò)網(wǎng)銀修改手機(jī)號(hào)碼,?“是不可能的,。”
浦發(fā)銀行的網(wǎng)銀防范也十分嚴(yán)密,。每次登錄都必須輸入手機(jī)動(dòng)態(tài)密碼,,從開(kāi)始便杜絕了盜刷者登錄的可能。
記者手記:遲遲不見(jiàn)亡羊補(bǔ)牢
在記者接觸的被盜刷者中,,最早一人于7月4日被盜刷,,最晚一人于8月23日被盜刷,中間相隔一個(gè)半月,,用戶也已經(jīng)多次向廣發(fā)投訴,。但為何如此明顯的漏洞,,廣發(fā)網(wǎng)銀仍沒(méi)有做任何補(bǔ)救工作呢,?亡羊補(bǔ)牢為時(shí)不晚,就算現(xiàn)在進(jìn)入調(diào)查階段,,先把“羊圈”修補(bǔ)好,,應(yīng)該難度不大吧。沒(méi)人苛求銀行服務(wù)十全十美,,人們?cè)谝獾�,,只是�?duì)用戶起碼的用心和尊重而已。就這點(diǎn)來(lái)說(shuō),,廣發(fā)差距甚遠(yuǎn),。