很早就看到微博上曝出工行客户资金通过95588的验证码短信被盗案件
在论坛上也曾看到过此类案件
今天在论坛上第二次看到有坛友被诈骗,所幸资金**失
继而就看到一些类似于“很可能是工行故意为之赚取手续费”、“早就说工行IT不靠谱”之类的说法
还是想写下一文,不过需要申明的是我并非工行托,更不是工行员工,只是工行用得最久,也学习金融专业,对此类事件较为敏感,自以为多少也有点资格评论一二
为了博一下眼球吸引大家往下看,我想提醒大家一句话,信用卡领用合约里有“对于使用密码进行的交易,银行均视为客户本人进行的交易”,放在这里就是,“对于通过客户预留手机号完成的交易银行均视为其本人完成的交易,似乎银行并无明显过错”?可以这样理解吗?所以让我们往下看一、案例 微博上@公交姬 是大家转得最多的案例,详情可翻阅新浪微博
论坛上今天曝出的案例原帖:
https://www.flyert.com/thread-431639-1-1.html 请翻阅,LZ写得很详细,不再赘述
两者的案例有一个差别,就是工银e支付验证码短信被犯罪分子获取的形式,前者是被犯罪分子利用中国移动“短信保管箱”业务在不知情的情况下被获取,后者是犯罪分子打电话以退款的名义试图获取。前者显然是中国移动的业务漏洞,而后者在前者的业务漏洞被封堵后已经成为更主流的诈骗形式。二、作案方法的总结 1.获取客户手机银行、网上银行登陆密码
2.通过如意金等渠道实现客户账户资金的扣除,客户随后收到95588的扣款短信,高度紧张
3.犯罪分子打来电话,索要验证码,实际也就是开通工银e支付
4.将客户资金转出
三、每一步的风险分析 1.很多人认为登陆密码被犯罪分子获取就是工行的过错——因为自己不怎么登陆网银然后用的肾6。
如果你用的未越狱的肾6,那么你的密码基本上可以肯定是通过网银泄露,今年工行电子银行进行过一次升级,将手机银行与网银密码统一。
如果你用的越狱或者非苹果,那么可能泄露的渠道就多了去了,基本不登录并不代表没有登录过,哪怕就是那一次登录正好有木马。
当然也有人提到会不会是撞库泄露密码,当然有这个可能,不过我以为极小极小,我不太相信一个银行的密钥保存会如此不堪一击,至少在乌云曝出漏洞前我以为不太可能。
2.这一步根据今天下午坛友的说法,工行存在一定违规的过错——没有贯彻银监会对于初次开通投资交易需授权的规定
说实话,我不敢确定,因为还没去翻银监会的条例。另外我自己的都是很早很早就开了,我也不确定到底有没有验证还是说现在取消验证了
3.这一步是整个犯罪流程的核心环节,第二步可以通过多种渠道扣款,但是谨记——不管怎么扣,资金还是属于客户账户,虽然买贵金属多少有点损失。但是第三步可以实现将客户资金转出,从而达到非法牟利。所以关于工银e支付的风险分析便是关键——
在初次开通工银e支付时,只需要手机验证码,于是受害人大多在这个环节将验证码告知了犯罪分子,从而被骗。
很难说这是一个漏洞,95588给客户预留手机号下发验证码客户亲口自愿告知了犯罪分子从而导致资金的损失,是犯罪分子太聪明还是客户些许无知?
在这个问题上,工行的问题在于安全验证不足,过于强调便利性。很多工行黑在此类案件集中爆发后都会补刀,为何我用的其他银行都没出问题继而推出工行有重大过错。非也。其他银行没出问题只是因为没有工银e支付这个业务。工银e支付这个业务是工行近两年面对第三方支付的巨大压力下推出的,主打便利性,比起原来支付需要U盾密码器着实方便不少,毕竟没谁天天都揣着那俩玩意儿。
四、每一步的应对措施 1.网银手机银行密码泄露并不能构成实质性威胁,没有e支付犯罪分子并不能获取客户资金。不过既然不能防范密码的泄露,那就好好利用一下工行提供的安全防范措施。网银工银信使可以免费定制“网银手机银行登陆动态短信提醒”,一旦登陆便会有类似下图的短信提醒,如非本人登陆直接转发95588便可强制退出。