银行卡被盗刷有三大“风险环节” 储户举证困难

07.08.2015  01:03

  关注理由 银行卡未离身,存款却不翼而飞,这类“离奇”的盗刷,近日频繁发生,几乎都与第三方支付机构有关。犯罪分子只要获得储户身份证号、手机号等信息,就能在第三方支付机构以该储户的名义开户,并绑定该储户银行卡,银行验证储户信息正确性后,第三方支付机构发送手机动态口令到储户手机上。而犯罪分子利用伪基站向该储户手机植入木马病毒,拦截交易验证码、动态口令和交易验证码,也就获得了盗刷银行卡资金的“钥匙”。

  昨日,不少市民拨打95060反映,按此作案手法,每个人的银行卡都有被盗刷的可能,我的账户如何保证安全?

  记者调查发现,通过第三方盗刷,有三大“风险环节”。不少被盗刷的受害储户表示,这些漏洞的存在,第三方支付机构和银行都有责任。

   风险环节1:信息泄露 多家金融机构 存“泄密”漏洞

  受害储户王先生说,日前,他莫名被人在网银在线、顺丰恒通开了户,登录地点在海南。王先生感到不解,“身份信息怎么就泄露到外省去了?

  据业内人士介绍,盗刷者掌握卡号、户名、手机号等信息,多是利用保险、基金、证券、P2P等金融机构网络平台的漏洞获取。记者查阅全球最大的漏洞响应平台——补天漏洞响应平台,已经确认平台存在漏洞的保险公司超过20家。

  据福州受害储户对海都记者反映,还发现犯罪分子利用伪基站冒用银行、运营商的官方客服号码,发送积分兑换现金、抽奖等信息,诱导市民点击短信内的网站链接,获取个人信息的同时,还会向市民手机植入木马病毒。

  “犯罪分子‘广撒网’,大量获取信息、植入木马。”业内人士称,因犯罪成本低,哪怕植入1万个木马只盗刷成功一次,犯罪分子也“赚了”。

   风险环节2:注册 输入基本个人信息,就能绑定银行卡

  在第三方支付平台开户,过程很简单。以国内领先的独立第三方支付企业“快钱”为例,昨日,记者登录快钱官网,按照系统提示,输入手机号、姓名、身份证号,快钱公司随即向记者的手机发来验证码,输入验证码后,完成注册。记者登录账户,又输入银行卡号、手机号、开户行等信息,就成功绑定了一张储蓄卡,全过程不到5分钟。此后,在网上购物时,就可以直接用快钱消费,从绑定的储蓄卡中扣款。

  记者只提供了姓名、手机号、银行卡号、身份证号等信息,并进行一次动态验证,就顺利完成了注册到绑定银行卡的全过程。也就是说,犯罪分子只要利用伪基站拦截下验证码短信,并获取上述个人信息,就能以任何人的名义,在第三方支付平台上开设账户并消费。

  不少市民提出,银行卡从未开通网银,是不是可以“高枕无忧”?记者在昨日试验中发现,未开通网银的银行卡,同样可以绑定第三方支付机构。

   风险环节3:支付快捷支付默认开通,无密码就能付款

  “犯罪分子为啥可以不用支付密码,就直接通过第三方,从我的银行卡里把钱盗刷走呢?”不少受害储户提出,个人信息泄露防不胜防,但如果能在支付环节多设几把“”,犯罪分子就无法把钱转走。但是,不少第三方支付平台在处理部分付款时,一把“”都没有。

  昨日,记者在自己手机安装的一个支付APP上操作时发现,绑定的三张银行卡,均被开通了“快捷支付”功能。该功能是何时开通的呢?为此,记者在支付宝上添加了一张新银行卡,绑定成功后,系统跳出对话框,显示快捷支付已开通。可见,在支付宝上绑定的银行卡,默认就有该功能。

  所谓“快捷支付”,就是一定金额以下的付款无需验证,金额最高可设为2000元。也就是说,犯罪分子若通过支付宝盗刷,每笔只要在2000元以下,不用输入任何密码,只要点击“付款”按钮,就能直接盗刷走钱财。

   律师:盗刷者“开锁”技术提高 银行也该升级“防盗门

  “光凭这些信息,银行就向第三方支付‘开门’,太不谨慎了。”不少市民认为,储户和银行间是合同关系,银行需妥善管理存款。

  去年4月,银监会下发通知规定,市民的银行账户在与第三方支付机构首次建立业务关联时,应经双重认证:在第三方支付机构认证同时,还需通过银行的客户身份鉴别。银行应通过网点、电子渠道或其他有效方式,直接验证客户身份,明确双方权利与义务。

  “可通过网上注册第三方账户,银行往往很难识别客户身份。”福建建达律师事务所律师阚小冬说,互联网催生的盗刷手段不断提高,为保护储户权益,银行有义务提升自身系统的安全性,“小偷开锁技术提高了,银行就该选择有效的防盗门。

  从目前发生的盗刷事件来看,储户想举证银行存在过错很不容易。阚小冬认为,应改变民事诉讼中“谁主张谁举证”的做法,让银行、第三方支付机构证明自身系统的安全性,系统是否存在管理或者技术漏洞。记者李拯郑靓