原本為了增加安全系數的手機動態密碼,如今卻成了廣發網銀最大的漏洞�����。近段時間,廣發信用卡盜刷事件頻發��,作案者手段幾乎一致:在受害者網銀中修改手機號碼���,利用新號碼接受動態密碼��,從而完成盜刷支付。近10名被盜刷者向《IT時報》記者提出的相同問題是:網上支付環節中最重要的一環——手機,為什么能如此輕易修改���?第三方支付平臺能否承擔更多的風險控制功能?
用戶投訴:一夜“飛”走5000元
8月23日早上王青(化名)打開手機���,幾條“一擁而入”的短信��,讓他感到“大勢不妙”:“尊敬的×××�����,您在廣發銀行網上銀行的手機號已經重新設置成功��!薄百F卡末四位××××于23日02時消費人民幣2000.00元��,授權號末四位××××����!睅讞l短信看下來,王青明白了,自己的廣發信用卡被盜刷了,損失5000元�����。
王青立刻撥打了廣發信用卡的客服電話��,經過查詢,第一筆2000元被通過支付寶購買了彩票���,第二筆3000元則通過銀聯在線支付了出去���,由于采用即時到賬的支付方式�����,這5000元是追不回來了。
上網搜索一番���,王青才發現���,原來發生在自己身上的“噩夢”并非個例。從今年7月初開始,便陸陸續續有人在網上投訴�����,廣發上線新網銀系統后,信用卡被盜刷���。葉迷(化名)是另一名廣發信用卡被盜刷者�����。今年7月4日�����,他的一張廣發信用卡在凌晨兩點多的時候被盜刷2000元���,通過環迅支付用于購買一家名為騰馳策劃公司的服務��,被盜經歷與王青如出一轍�����。經過一個多月的聯系��,葉迷得到的最新回復是:廣發銀行風險控制部門已介入調查,在此期間,無需還款���。
記者調查:第三方支付難止損
在記者拿到的一份廣發信用卡被盜刷者的名單中,有5個被盜者與葉迷一樣,數千元的款項均被轉移至那家名為騰馳策劃的公司��。到底這是一家怎樣的公司呢��?8月24日��,記者多次撥打騰馳網站上的電話���,始終無法接通�����,其中公布的400電話�,更是被接線方否認屬于騰馳����。葉迷告訴《IT時報》記者����,曾有深圳的受害者去騰馳網站上標明的地址查訪�,卻并沒有找到這家公司。
通過第三方支付平臺——環迅支付����,記者拿到一份來自騰馳的聲明�,稱他們也是受害者����,盜刷者是他們的一名會員,目前已無法聯系�,其賬戶也被凍結�。聲明的落款是7月26日�。環迅支付相關人士向記者證實,這是一家正規運營的公司�,證照齊全�,銷售的是網絡優化等服務�。
7月4日失竊當日,葉迷向環迅提出終止付款的要求�,但最終并沒有被支持����。環迅支付相關人士告訴記者���,普通用戶與環迅之間都是T+1的結算方式����,也就是說�,第一天凌晨發生的盜刷����,第二天才會真正由環迅支付給商戶���,如果盜刷者購買的是實物商品���,且當天便與環訊聯系����,便有可能追回被盜款項�。但由于盜刷者通常購買的都是彩票�、充值卡等虛擬商品,采用的是即時到賬的結算方式�,所以第三方支付平臺很難止損����。
廣發網銀可隨意更改手機
經過對多名受害者采訪,《IT時報》記者基本復盤了整個被盜刷的經過���。5月20日���,廣發信用卡的新網銀上線���,其中一項重要修改是���,取消原有固定的支付密碼�,而采用手機動態密碼的方式,也就是說�,每次支付前���,手機將收到一條動態密碼���,以此作為支付憑據���。
然而���,這種新操作模式有個致命的弱點����,除非用戶設置了“私密問題”,否則黑客只需知道網銀登錄名和密碼,便可在網銀上修改手機號碼,且修改后的密碼直接發送至新號碼處���,從而完成支付。“廣發稱這是為了方便丟失手機用戶���,可到底是網銀安全重要,還是為這極少數丟手機用戶服務重要?”王青對廣發的解釋很不理解。
在記者拿到的這份被盜刷名單中,有五六起案件的盜刷者修改后新手機為同一個“159”開頭的號碼�,基本可確定����,這些案件均一人所為����。然而由于涉案金額并不高,每件盜刷案大多在數千元左右���,被害者分布范圍廣,遍布浙江���、廣東���、北京等地����,盡管都已經報警,但警方明確表示���,案值太小���,恐怕很難破案����。
諸多網銀只有廣發中招
“銀行總是說盜刷責任在我們,沒保管好密碼,難道廣發網銀就一點責任都沒有嗎����?”王青告訴記者���,他電腦中裝了360安全衛士���、網購保鏢等各種殺毒軟件�,定期更新����,從未報警說有木馬,“我網購6年,工行、招行、交行等銀行的信用卡和網銀都有�,且最近兩個月內均使用過���,就算電腦被種了木馬,這些銀行的網銀登錄密碼應該全被盜�,為何其他銀行沒有被盜刷����,只有廣發被盜刷成功���?”
到底其他銀行是如何做的呢���?記者隨即撥打了招商銀行的客服電話�,對于記者要求更改注冊手機號碼的要求,客服人員提出不僅要人工核對多重資料�,而且修改號碼的請求短信會同時發給新�、舊手機號碼���,最關鍵的是���,修改請求第二天才生效����,如是,被修改者有一天的時間來發現����,是否密碼被盜�。至于通過網銀修改手機號碼����?“是不可能的����!
浦發銀行的網銀防范也十分嚴密����。每次登錄都必須輸入手機動態密碼���,從開始便杜絕了盜刷者登錄的可能����。
記者手記:遲遲不見亡羊補牢
在記者接觸的被盜刷者中�,最早一人于7月4日被盜刷,最晚一人于8月23日被盜刷�,中間相隔一個半月���,用戶也已經多次向廣發投訴����。但為何如此明顯的漏洞,廣發網銀仍沒有做任何補救工作呢����?亡羊補牢為時不晚����,就算現在進入調查階段����,先把“羊圈”修補好,應該難度不大吧����。沒人苛求銀行服務十全十美����,人們在意的���,只是對用戶起碼的用心和尊重而已���。就這點來說���,廣發差距甚遠�。