“騙子登錄我的網(wǎng)銀就能買(mǎi)理財，U盾認證居然默認關(guān)閉，實(shí)在令人不放心。”日前，家住北京市西城區的王先生經(jīng)歷了卡在身邊“被理財”的遭遇，所幸王先生警惕性高，沒(méi)讓騙子得逞。

記者調查發(fā)現，近期這樣莫名其妙“被理財”的客戶(hù)不在少數，相當一部分人被騙走錢(qián)財。為什么會(huì )莫名其妙“被理財”?理的財去了哪?騙局是怎樣展開(kāi)的?這背后暴露出部分銀行網(wǎng)銀服務(wù)多少漏洞?

騙子幫忙“代購”理財產(chǎn)品意欲何為

日前，北京市民王先生忽然收到工行客服“95588”發(fā)來(lái)的短信：“您尾號××××卡7日15：46分手機銀行支出(如意積存)1000元”。

隨后王先生接到自稱(chēng)一家淘寶店客服的電話(huà)，詢(xún)問(wèn)其是否購買(mǎi)了該店“如意積存”?王先生表示沒(méi)有。緊接著(zhù)“客服”稱(chēng)，“如果不是您本人購買(mǎi)可以幫忙攔截，但是需要您手機短信上的驗證碼。”

接著(zhù)王先生接到95588發(fā)來(lái)的短信：“您正在付款，驗證碼為31023，金額1000元……”

“不是攔截么，怎么成付款了?”心有疑慮的王先生表示要先和銀行核實(shí)一下，掛了電話(huà)。他與工行客服95588聯(lián)系后證實(shí)，他的銀行卡確實(shí)支出1000元購買(mǎi)了“如意金積存”產(chǎn)品，但并非從淘寶購買(mǎi)，而是認購的工行一款貴金屬理財產(chǎn)品。

“恐怕是詐騙電話(huà)。”有些明白情況的王先生未將驗證碼發(fā)給“淘寶店客服”，果斷報警。

警方告訴王先生，近期遇到很多類(lèi)似報案，手法類(lèi)似。不法分子通過(guò)登錄受害人網(wǎng)銀，購買(mǎi)貴金屬理財產(chǎn)品，這時(shí)候存款還在受害人賬戶(hù)上，只是變成理財產(chǎn)品。騙子謊稱(chēng)可以幫助阻截購買(mǎi)或贖回，騙取受害人短信驗證碼，從而盜取受害人賬戶(hù)資金。

“騙子的狡猾在于，受害人看到賬戶(hù)余額瞬間被‘蒸發(fā)’，一慌忙就容易落入陷阱，把驗證碼告訴騙子。”一位銀行從業(yè)人員告訴記者，值得注意的是，騙子索要的短信驗證碼并不能“贖回”理財產(chǎn)品，而是可以進(jìn)行網(wǎng)絡(luò )購物支付、轉賬的短信驗證碼，從而把其他的存款悄悄轉走。

記者調查發(fā)現，近期像王先生這樣遭遇的人不在少數。廣州的李先生按照自稱(chēng)“拍拍網(wǎng)”客服人員的要求提供了短信驗證碼，對方轉走1萬(wàn)元后無(wú)法聯(lián)系……隨著(zhù)北京、廣州、上海、青島、長(cháng)沙等地類(lèi)似案件陸續曝光，不少受害者還自發(fā)成立了QQ群，互助維權。

片面強調交易便捷

忽視安全管理

一個(gè)騙局的完成，涉及多個(gè)流程和環(huán)節。記者梳理發(fā)現，這其中既有客戶(hù)保管個(gè)人信息不善被不法分子鉆了空子等原因，也和當前部分銀行推出的一些金融產(chǎn)品服務(wù)片面強調交易便捷、忽視安全管理，安全漏洞被不法分子利用有關(guān)。

——信息泄露是資金被騙的“禍首”。

這類(lèi)事件中，不法分子首先要獲取客戶(hù)賬號、開(kāi)戶(hù)信息、密碼、手機號碼等個(gè)人信息，這些信息通過(guò)多種渠道泄露，有的是保管客戶(hù)信息的單位工作人員泄露，有的是客戶(hù)個(gè)人保管不善，被不法分子誘導，登錄釣魚(yú)網(wǎng)站或被植入木馬程序等，導致賬戶(hù)密碼泄露。

專(zhuān)家指出，銀行應加大自查、內查，謹防客戶(hù)信息被泄露。但如果由于客戶(hù)自身原因導致信息被盜，會(huì )給銀行在交易的辨識上產(chǎn)生一定困難。

——理財交易設定的認證級別較低。

記者了解到，目前工行網(wǎng)銀在轉賬、匯款、繳費的交易都得使用U盾，但基金、理財、貴金屬交易等投資交易的認證級別較低，默認不需要U盾驗證。業(yè)內人士指出，大部分客戶(hù)對“如意金積存”等貴金屬交易不太了解，騙子利用這樣的“名字噱頭”好行騙。

記者了解到，“如意金積存”是工行一款貴金屬理財產(chǎn)品，客戶(hù)既可以選擇贖回，獲得現金，也可以提取實(shí)物黃金。不過(guò)，如意金積存買(mǎi)賣(mài)不僅根據每天市場(chǎng)行情價(jià)格實(shí)時(shí)浮動(dòng)，而且每克贖回還有實(shí)時(shí)價(jià)格和贖回價(jià)格的價(jià)差，相當于銀行總能賺一筆手續費。

“工行目前購買(mǎi)‘如意金積存’的U盾認證是默認‘關(guān)閉’的，需要客戶(hù)開(kāi)通。”王先生告訴記者，“平時(shí)使用網(wǎng)銀轉賬幾百元錢(qián)都要使用U盾，但購買(mǎi)上萬(wàn)元理財產(chǎn)品卻不需要，安全隱患一目了然。”

工行從事外部風(fēng)險欺詐的工作人員回應說(shuō)，要求客戶(hù)自主定制主要是方便客戶(hù)體驗。“比如網(wǎng)銀理財，很難因為安全考慮而要求客戶(hù)都使用U盾。對于外匯、貴金屬等日交易頻繁的產(chǎn)品，使用U盾會(huì )影響客戶(hù)體驗。”

一位上海的受害人表示，騙子曾偷偷登錄他的網(wǎng)銀購買(mǎi)了11萬(wàn)元的如意金積存，盡管錢(qián)沒(méi)被騙子騙去。但他第二天按照當天金價(jià)贖回時(shí)，損失7000多元。

——網(wǎng)銀登錄驗證缺失，快捷支付驗證安全風(fēng)控不到位。

“此類(lèi)詐騙頻繁發(fā)生，銀行有著(zhù)不可推卸的責任。”王先生認為，“客戶(hù)的網(wǎng)銀在異地登錄，銀行應該明顯能發(fā)現登錄IP地址異常，但為什么沒(méi)有觸發(fā)風(fēng)險預警機制?我從未接觸過(guò)貴金屬理財，這種不正常的交易行為為何沒(méi)有引起銀行風(fēng)險監控系統的注意?”

此類(lèi)事件中，不法分子大都通過(guò)冒充商戶(hù)客服或銀行工作人員，獲取客戶(hù)快捷支付或工銀e支付短信驗證碼盜竊客戶(hù)資金，這顯示出目前快捷支付存在驗證不足的問(wèn)題。專(zhuān)家建議，用戶(hù)要妥善保管短信驗證碼，不要向包括網(wǎng)絡(luò )客服、銀行工作人員在內的任何人提供密碼內容。

專(zhuān)家：

大數據和生物驗證待開(kāi)發(fā)

對此，中國工商銀行電子銀行業(yè)務(wù)相關(guān)負責人表示，針對近期發(fā)生的不法分子利用貴金屬積存等業(yè)務(wù)實(shí)施詐騙的情況，該行已經(jīng)梳理發(fā)現了重要案件線(xiàn)索并報告公安部門(mén)，將繼續全力配合公安部門(mén)偵破案件，盡快將犯罪分子繩之以法。

這位負責人表示，購買(mǎi)銀行的貴金屬積存等產(chǎn)品沒(méi)有發(fā)生資金對外支付，資產(chǎn)仍在客戶(hù)本人賬戶(hù)內。如確認客戶(hù)賬戶(hù)被不法分子盜用，非本人操作申購和贖回貴金屬積存等產(chǎn)品，產(chǎn)生的手續費和價(jià)差銀行全額返還，堅決維護客戶(hù)權益。對于客戶(hù)因為上當受騙，忽視銀行驗證碼短信中的警示信息，通過(guò)電話(huà)將短信驗證碼等關(guān)鍵信息主動(dòng)告知不法分子，導致賬戶(hù)資金被盜的情況，銀行正聯(lián)系客戶(hù)妥善處理。

對于有客戶(hù)提出在工行電子銀行內購買(mǎi)貴金屬積存等投資類(lèi)產(chǎn)品不需要U盾認證的問(wèn)題，這位負責人表示這種設計不是安全漏洞，而是為了在確?？蛻?hù)資金不向外劃轉的前提下為客戶(hù)提供更便捷的服務(wù)。針對當前電信詐騙和金融詐騙持續高發(fā)的外部形勢，工行決定暫時(shí)對此類(lèi)交易實(shí)施交易認證措施，這能從根本阻斷這類(lèi)詐騙現象，但是認證環(huán)節也會(huì )使客戶(hù)操作的便捷性受到一些影響，希望客戶(hù)能夠理解。工行正加緊研發(fā)新的安全措施并推出，在避免欺詐的同時(shí)提升業(yè)務(wù)操作的便捷性。這位負責人表示，目前針對銀行客戶(hù)的各類(lèi)詐騙手法層出不窮，銀行方面將不斷加強安全防范手段，確?？蛻?hù)資金安全。這位負責人強調，這次發(fā)生的貴金屬積存業(yè)務(wù)詐騙是零星的、少量的，工行的系統安全沒(méi)有問(wèn)題。這位負責人還表示，將會(huì )通過(guò)各個(gè)服務(wù)渠道密集地向客戶(hù)宣傳防范金融詐騙和電信詐騙的知識，也希望全社會(huì )加大這方面的宣傳力度，共同增強公眾的防詐騙意識。

同時(shí)工行做出安全提示，建議客戶(hù)制定網(wǎng)銀及手機銀行登錄短信提醒，及時(shí)了解電子銀行登錄情況;通過(guò)網(wǎng)銀或手機銀行“安全中心”欄目自助開(kāi)通“理財類(lèi)交易開(kāi)通U盾認證功能”。

中央財經(jīng)大學(xué)金融法學(xué)院教授黃震表示，不能因為使用的便捷性而忽視安全風(fēng)險，在強大的技術(shù)支撐下，銀行完全可以考慮依據理財風(fēng)險類(lèi)型和交易額度設置認證方式。“像貴金屬交易這樣投資風(fēng)險較高的理財交易應該默認開(kāi)通安全級別較高的認證方式，以免給客戶(hù)帶來(lái)?yè)p失。”

專(zhuān)家指出，在保障客戶(hù)資金安全的方式和手段上，部分商業(yè)銀行未充分利用現有數據資源開(kāi)發(fā)風(fēng)險模型。中央財經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇說(shuō)：“一些銀行重視前端實(shí)名制認證，而對后端交易驗證不夠重視，缺乏對客戶(hù)個(gè)人交易行為習慣的積累和判斷。銀行掌握著(zhù)龐大的數據資源，但是利用大數據防范金融風(fēng)險能力尚顯不足。”

“在科學(xué)技術(shù)的不斷推進(jìn)下，安全和便捷并不一定是魚(yú)和熊掌不能兼得。”黃震認為，密碼型支付驗證方式容易被竊取，隨著(zhù)科技不斷創(chuàng )新，應該引入指紋驗證、虹膜驗證、人臉識別等新興的、具有生物特性的驗證方式。“關(guān)鍵還在于銀行能否真正站在客戶(hù)角度上，思考如何創(chuàng )新服務(wù)、防范風(fēng)險。”(吳雨)