29汽车网

工行支付存在漏洞e支付风险大 多名储户存款无故失窃

发表于:2024-11-07 作者:29汽车网编辑
编辑最后更新 2024年11月07日,从6月中旬到7月上旬,多位北京地区的工行储户遭遇了存款被盗事件。
从6月中旬到7月上旬,多位北京地区的工行储户遭遇了存款被盗事件。而这类案件的一大共性,就是储户大多被犯罪分子强行开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时,犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。
  在采访中,多位业内人士认为,这类案件的关键在于银行的快捷支付将短信验证码视为身份认证码,这本身就存在风险,短信验证码容易被窃取,这就为快捷支付埋下了风险隐患。
  多名客户存款被盗
  仅凭借短信验证码就能进行支付交易,在给储户带来便利的同时,也给不法分子提供了钻空子犯罪的机会。
  “万万没想到,短短几分钟时间银行存款就莫名少了近2万元,两笔钱就这样被轻易盗取了。”家住北京的覃岳(化名)是IT行业的从业人士,平时很注重保护自己的网络金融安全,然而,提起前不久他遭遇的一起犯罪分子借助网络隔空对其存款进行盗窃的事故,他仍然心有余悸。
  7月8日晚23:49,覃岳收到了一条来自中国移动的短信,提示他已经开通了中国移动“短信保管箱业务”。1分钟过后,他又收到了一条来自工商银行95588的短信,上面提示他的工银“e支付”业务已经被修改。紧接着95588接连发来了几条短信,分别为即将办理转账业务的通知和即将付款9990元的提示信息及验证码。
  “由于当时已经很晚了,为了不吵到孩子休息,我早就把手机调成了静音,当自己看到这几条短信的时候已经是23:55。”慌忙中,覃岳第一时间查询了他的工行卡交易明细,可是为时已晚,交易明细显示他的银行卡里确实少了9990元。
  “于是我马上拨打了工行的客服电话,但提示客服话务繁忙,等待了2分钟后我就挂断了。谁料就在这时95588又发来了一条短信,上面写到我正在进行汇款,金额为9950元,并告知我‘如有疑问请停止操作’。”
  覃岳告诉记者:“我马上又查询了我的账户,看到明细时我就蒙了,账户果然又少了9950元。”覃岳强调道,在此之前,自己并未主动开通过“e支付”业务,而且事发后他检测过自己的笔记本电脑和手机都没有病毒。
  覃岳的遭遇并不是个案。近日,记者通过某社交网站加入了一个工行存款被盗储户的维权群,已经修改群名称并标注自己为“受害人”的储户有40余名。而他们中的大多数都是被无故开通了工银“e支付”,随后银行卡中的存款就在几分钟内不翼而飞了。
  短短几天的时间里,记者就联系到了20多名受害人,他们被盗取的存款金额合计约为25.68万元。他们当中,最早的存款被窃事件发生在6月13日,最晚的发生在7月9日。其中,被偷窃的个人最大金额达到4.2万元,最小金额为500元。
  巧合的是,这些案件大都有两个共性,就是受害人同为工行储户且多为中国移动的客户。与覃岳一样,他们也被强行开通了中国移动的“短信保管箱”业务。
  由于“短信保管箱”具有将客户发送、接收的短信进行同步备份存储的功能,同时考虑到在这一业务被迫开通后,紧接着就被开通了仅凭借短信验证码就可以进行交易的工银“e支付”,因此多位储户怀疑,中国移动的“短信保管箱”业务与此次的存款丢失事件难逃干系。
  针对储户的疑问,记者联系了中国移动北京分公司,相关负责人给予的回复称:“目前经过后台网络日志显示,不知情定制均系有人使用客户的手机号和客服网站密码,通过手机登录客服WAP页面开通,目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。”
  同时,中国移动北京分公司的相关负责人也坦言,由于“短信保管箱”业务设立于2009年,是在短信被广泛应用于金融领域之前就已经存在,因此未能充分考虑金融类业务所需的安全等级,经过此类事件,该公司会全面梳理基于短信的增值业务,提升此类业务的安全性。“此次银行卡被盗刷客户投诉后,客户虽然仍能开通此业务,但查询历史短信的功能已紧急关停,目前正在对业务进行优化,包括‘不保存银行下发的短信’‘只能查询24小时前的短信’‘需要动态密码验证’等。”
0