银行密码泄露超40位储户受害 无二次认证留漏洞
海峡网8月28日讯(记者 郑靓)盗取储户登录密码后,开通储户贵金属理财账户,并转入资金,再制造网购“扣款”和“退款”假象。趁储户着急无措时,骗子假扮网店人员,骗走验证码,开通快捷支付功能疯狂盗刷。
福州市民林先生遇此骗局并非个案,据了解,7—8月间,全国和他一样的受害者,已达千人。对此,涉事行发出公告,称犯罪分子通过发送病毒短信、钓鱼网站套取信息,此外“撞库”也是主因,即电子银行登录密码,与其它团购、第三方支付等网站相同,通过攻击网站盗取信息。涉事行也因此下调了快捷支付限额。不过,这份公告遭到受害储户质疑。
质疑一:网银登录密码究竟为何泄露?
林先生卡遭盗刷,前提是骗子已掌握了他账户和网银的登录密码,方可将卡上存款转入理财账户,而密码是怎么泄露的?
涉事行公告称,客户密码等关键信息,是犯罪分子通过非法手段获取的。比较常见的包括向客户手机发送含病毒链接的短信,或通过钓鱼网站套取,另外就是通过“撞库”。
何为“撞库”?福州分行相关人士曾告诉记者,这指部分客户设置的电子银行的用户名、登录密码,与账户其它团购、第三方支付等网站上的完全相同,犯罪分子通过攻击这些安全保护薄弱的网站,获取用户信息后,再到电子银行尝试登录。
对此,多位受害者表示难以接受。“我有好几张银行卡,电子银行登录密码相同,为何就是这张被盗刷?”一厦门受害者说,和她一样遇此骗局的受害者组成QQ群,人数已升至1329人,福建受害者大约40多人,分别来自福州、厦门、龙岩、三明、南平等地。
质疑二:无二次认证给骗子开“后门”
“网银买理财,为何不用二次认证?”福建受害者小陈说,一般来说,把钱划入理财账户,除了网银登录密码,还需插U盾输入支付密码,进行二次认证,“那么多储户受害,就是因为骗子抓住该行不用二次认证就能买理财这一安全漏洞。”
“自己的钱划入自己的理财账户,相当于左手换到右手,何需再认证?”该行人士曾说。此次涉事行公告也称,这种设计不是安全漏洞,而是为客户提供更便捷的服务;并表示,因诈骗持续高发,暂开始实施认证措施,正加紧研发新的安全措施,在避免欺诈的同时提升便捷性。
此外,该行当日还将快捷支付的日累计支付限额下调至5000元,超过该限额需使用U盾自助上调或到营业网点办理,最高可上调到2万元。
质疑三:客服业务不熟少了道防线
“余额突然少了几万元,心慌了。”福州受害者肖女士曾对记者表示,骗子能得逞,是因她被突如其来的扣款短信乱了阵脚,落入圈套,“虽然钱被划入理财账户,实际上还在自己名下,但银行发来的提醒短信,只说是‘扣款’,很容易以为钱已被盗走。”
肖女士还表示,银行客服业务不熟,也是她账户之所以遭到盗刷的原因之一。“当时,我一收到扣款短信,就打电话给银行客服询问情况。”她说,客服只告诉她,交易细节是“B2C”,不清楚具体扣款原因。
此时,骗子假冒网店人员打来电话,骗取交易验证码,企图开通快捷支付功能并盗刷。“若客服明确告知,钱买了理财,没实际损失,我怎么会相信骗子呢?”
另一受害者也表示,发现账户异常,首先联系的是热线客服,“客服业务不熟,没有提供有效帮助,相当于少了道防线。”对此,多位福州银行界人士告诉记者,热线客服流动性很大,“往往还没熟悉业务就换人了”。