原本為了增加安全系數(shù)的手機動態(tài)密碼,,如今卻成了廣發(fā)網銀最大的漏洞,。近段時間,廣發(fā)信用卡盜刷事件頻發(fā),,作案者手段幾乎一致:在受害者網銀中修改手機號碼,,利用新號碼接受動態(tài)密碼,,從而完成盜刷支付。近10名被盜刷者向《IT時報》記者提出的相同問題是:網上支付環(huán)節(jié)中最重要的一環(huán)——手機,,為什么能如此輕易修改,?第三方支付平臺能否承擔更多的風險控制功能?
用戶投訴:一夜“飛”走5000元
8月23日早上王青(化名)打開手機,幾條“一擁而入”的短信,,讓他感到“大勢不妙”:“尊敬的×××,,您在廣發(fā)銀行網上銀行的手機號已經重新設置成功�,!薄百F卡末四位××××于23日02時消費人民幣2000.00元,,授權號末四位××××�,!睅讞l短信看下來,,王青明白了,自己的廣發(fā)信用卡被盜刷了,,損失5000元,。
王青立刻撥打了廣發(fā)信用卡的客服電話,經過查詢,,第一筆2000元被通過支付寶購買了彩票,,第二筆3000元則通過銀聯(lián)在線支付了出去,由于采用即時到賬的支付方式,,這5000元是追不回來了,。
上網搜索一番,王青才發(fā)現(xiàn),,原來發(fā)生在自己身上的“噩夢”并非個例,。從今年7月初開始,便陸陸續(xù)續(xù)有人在網上投訴,,廣發(fā)上線新網銀系統(tǒng)后,,信用卡被盜刷。葉迷(化名)是另一名廣發(fā)信用卡被盜刷者,。今年7月4日,,他的一張廣發(fā)信用卡在凌晨兩點多的時候被盜刷2000元,通過環(huán)迅支付用于購買一家名為騰馳策劃公司的服務,,被盜經歷與王青如出一轍,。經過一個多月的聯(lián)系,葉迷得到的最新回復是:廣發(fā)銀行風險控制部門已介入調查,,在此期間,,無需還款。
記者調查:第三方支付難止損
在記者拿到的一份廣發(fā)信用卡被盜刷者的名單中,,有5個被盜者與葉迷一樣,,數(shù)千元的款項均被轉移至那家名為騰馳策劃的公司。到底這是一家怎樣的公司呢,?8月24日,,記者多次撥打騰馳網站上的電話,,始終無法接通,其中公布的400電話,,更是被接線方否認屬于騰馳,。葉迷告訴《IT時報》記者,曾有深圳的受害者去騰馳網站上標明的地址查訪,,卻并沒有找到這家公司,。
通過第三方支付平臺——環(huán)迅支付,記者拿到一份來自騰馳的聲明,,稱他們也是受害者,,盜刷者是他們的一名會員,目前已無法聯(lián)系,,其賬戶也被凍結,。聲明的落款是7月26日。環(huán)迅支付相關人士向記者證實,,這是一家正規(guī)運營的公司,,證照齊全,銷售的是網絡優(yōu)化等服務,。
7月4日失竊當日,葉迷向環(huán)迅提出終止付款的要求,,但最終并沒有被支持,。環(huán)迅支付相關人士告訴記者,普通用戶與環(huán)迅之間都是T+1的結算方式,,也就是說,,第一天凌晨發(fā)生的盜刷,第二天才會真正由環(huán)迅支付給商戶,,如果盜刷者購買的是實物商品,,且當天便與環(huán)訊聯(lián)系,便有可能追回被盜款項,。但由于盜刷者通常購買的都是彩票,、充值卡等虛擬商品,采用的是即時到賬的結算方式,,所以第三方支付平臺很難止損,。
廣發(fā)網銀可隨意更改手機
經過對多名受害者采訪,《IT時報》記者基本復盤了整個被盜刷的經過,。5月20日,,廣發(fā)信用卡的新網銀上線,其中一項重要修改是,,取消原有固定的支付密碼,,而采用手機動態(tài)密碼的方式,,也就是說,每次支付前,,手機將收到一條動態(tài)密碼,,以此作為支付憑據(jù)。
然而,,這種新操作模式有個致命的弱點,,除非用戶設置了“私密問題”,否則黑客只需知道網銀登錄名和密碼,,便可在網銀上修改手機號碼,,且修改后的密碼直接發(fā)送至新號碼處,從而完成支付,�,!皬V發(fā)稱這是為了方便丟失手機用戶,可到底是網銀安全重要,,還是為這極少數(shù)丟手機用戶服務重要,?”王青對廣發(fā)的解釋很不理解。
在記者拿到的這份被盜刷名單中,,有五六起案件的盜刷者修改后新手機為同一個“159”開頭的號碼,,基本可確定,這些案件均一人所為,。然而由于涉案金額并不高,,每件盜刷案大多在數(shù)千元左右,被害者分布范圍廣,,遍布浙江,、廣東、北京等地,,盡管都已經報警,,但警方明確表示,案值太小,,恐怕很難破案,。
諸多網銀只有廣發(fā)中招
“銀行總是說盜刷責任在我們,沒保管好密碼,,難道廣發(fā)網銀就一點責任都沒有嗎,?”王青告訴記者,他電腦中裝了360安全衛(wèi)士,、網購保鏢等各種殺毒軟件,,定期更新,從未報警說有木馬,,“我網購6年,,工行,、招行、交行等銀行的信用卡和網銀都有,,且最近兩個月內均使用過,,就算電腦被種了木馬,這些銀行的網銀登錄密碼應該全被盜,,為何其他銀行沒有被盜刷,,只有廣發(fā)被盜刷成功?”
到底其他銀行是如何做的呢,?記者隨即撥打了招商銀行的客服電話,,對于記者要求更改注冊手機號碼的要求,客服人員提出不僅要人工核對多重資料,,而且修改號碼的請求短信會同時發(fā)給新,、舊手機號碼,最關鍵的是,,修改請求第二天才生效,,如是,被修改者有一天的時間來發(fā)現(xiàn),,是否密碼被盜,。至于通過網銀修改手機號碼?“是不可能的,�,!�
浦發(fā)銀行的網銀防范也十分嚴密。每次登錄都必須輸入手機動態(tài)密碼,,從開始便杜絕了盜刷者登錄的可能。
記者手記:遲遲不見亡羊補牢
在記者接觸的被盜刷者中,,最早一人于7月4日被盜刷,,最晚一人于8月23日被盜刷,中間相隔一個半月,,用戶也已經多次向廣發(fā)投訴,。但為何如此明顯的漏洞,廣發(fā)網銀仍沒有做任何補救工作呢,?亡羊補牢為時不晚,,就算現(xiàn)在進入調查階段,先把“羊圈”修補好,,應該難度不大吧,。沒人苛求銀行服務十全十美,人們在意的,,只是對用戶起碼的用心和尊重而已,。就這點來說,,廣發(fā)差距甚遠。