廣發(fā)信用卡屢遭盜刷 手機密碼存致命漏洞
2011-08-29   作者:  來源:IT時報
 
【字號

    原本為了增加安全系數(shù)的手機動態(tài)密碼,如今卻成了廣發(fā)網(wǎng)銀最大的漏洞。近段時間,廣發(fā)信用卡盜刷事件頻發(fā),作案者手段幾乎一致:在受害者網(wǎng)銀中修改手機號碼,利用新號碼接受動態(tài)密碼,從而完成盜刷支付。近10名被盜刷者向《IT時報》記者提出的相同問題是:網(wǎng)上支付環(huán)節(jié)中最重要的一環(huán)——手機,為什么能如此輕易修改?第三方支付平臺能否承擔更多的風險控制功能?

  用戶投訴:一夜“飛”走5000元

  8月23日早上王青(化名)打開手機,幾條“一擁而入”的短信,讓他感到“大勢不妙”:“尊敬的×××,您在廣發(fā)銀行網(wǎng)上銀行的手機號已經(jīng)重新設置成功!薄百F卡末四位××××于23日02時消費人民幣2000.00元,授權(quán)號末四位××××!睅讞l短信看下來,王青明白了,自己的廣發(fā)信用卡被盜刷了,損失5000元。
  王青立刻撥打了廣發(fā)信用卡的客服電話,經(jīng)過查詢,第一筆2000元被通過支付寶購買了彩票,第二筆3000元則通過銀聯(lián)在線支付了出去,由于采用即時到賬的支付方式,這5000元是追不回來了。
  上網(wǎng)搜索一番,王青才發(fā)現(xiàn),原來發(fā)生在自己身上的“噩夢”并非個例。從今年7月初開始,便陸陸續(xù)續(xù)有人在網(wǎng)上投訴,廣發(fā)上線新網(wǎng)銀系統(tǒng)后,信用卡被盜刷。葉迷(化名)是另一名廣發(fā)信用卡被盜刷者。今年7月4日,他的一張廣發(fā)信用卡在凌晨兩點多的時候被盜刷2000元,通過環(huán)迅支付用于購買一家名為騰馳策劃公司的服務,被盜經(jīng)歷與王青如出一轍。經(jīng)過一個多月的聯(lián)系,葉迷得到的最新回復是:廣發(fā)銀行風險控制部門已介入調(diào)查,在此期間,無需還款。

  記者調(diào)查:第三方支付難止損

  在記者拿到的一份廣發(fā)信用卡被盜刷者的名單中,有5個被盜者與葉迷一樣,數(shù)千元的款項均被轉(zhuǎn)移至那家名為騰馳策劃的公司。到底這是一家怎樣的公司呢?8月24日,記者多次撥打騰馳網(wǎng)站上的電話,始終無法接通,其中公布的400電話,更是被接線方否認屬于騰馳。葉迷告訴《IT時報》記者,曾有深圳的受害者去騰馳網(wǎng)站上標明的地址查訪,卻并沒有找到這家公司。
  通過第三方支付平臺——環(huán)迅支付,記者拿到一份來自騰馳的聲明,稱他們也是受害者,盜刷者是他們的一名會員,目前已無法聯(lián)系,其賬戶也被凍結(jié)。聲明的落款是7月26日。環(huán)迅支付相關人士向記者證實,這是一家正規(guī)運營的公司,證照齊全,銷售的是網(wǎng)絡優(yōu)化等服務。
  7月4日失竊當日,葉迷向環(huán)迅提出終止付款的要求,但最終并沒有被支持。環(huán)迅支付相關人士告訴記者,普通用戶與環(huán)迅之間都是T+1的結(jié)算方式,也就是說,第一天凌晨發(fā)生的盜刷,第二天才會真正由環(huán)迅支付給商戶,如果盜刷者購買的是實物商品,且當天便與環(huán)訊聯(lián)系,便有可能追回被盜款項。但由于盜刷者通常購買的都是彩票、充值卡等虛擬商品,采用的是即時到賬的結(jié)算方式,所以第三方支付平臺很難止損。

  廣發(fā)網(wǎng)銀可隨意更改手機

  經(jīng)過對多名受害者采訪,《IT時報》記者基本復盤了整個被盜刷的經(jīng)過。5月20日,廣發(fā)信用卡的新網(wǎng)銀上線,其中一項重要修改是,取消原有固定的支付密碼,而采用手機動態(tài)密碼的方式,也就是說,每次支付前,手機將收到一條動態(tài)密碼,以此作為支付憑據(jù)。
  然而,這種新操作模式有個致命的弱點,除非用戶設置了“私密問題”,否則黑客只需知道網(wǎng)銀登錄名和密碼,便可在網(wǎng)銀上修改手機號碼,且修改后的密碼直接發(fā)送至新號碼處,從而完成支付!皬V發(fā)稱這是為了方便丟失手機用戶,可到底是網(wǎng)銀安全重要,還是為這極少數(shù)丟手機用戶服務重要?”王青對廣發(fā)的解釋很不理解。
  在記者拿到的這份被盜刷名單中,有五六起案件的盜刷者修改后新手機為同一個“159”開頭的號碼,基本可確定,這些案件均一人所為。然而由于涉案金額并不高,每件盜刷案大多在數(shù)千元左右,被害者分布范圍廣,遍布浙江、廣東、北京等地,盡管都已經(jīng)報警,但警方明確表示,案值太小,恐怕很難破案。

  諸多網(wǎng)銀只有廣發(fā)中招

  “銀行總是說盜刷責任在我們,沒保管好密碼,難道廣發(fā)網(wǎng)銀就一點責任都沒有嗎?”王青告訴記者,他電腦中裝了360安全衛(wèi)士、網(wǎng)購保鏢等各種殺毒軟件,定期更新,從未報警說有木馬,“我網(wǎng)購6年,工行、招行、交行等銀行的信用卡和網(wǎng)銀都有,且最近兩個月內(nèi)均使用過,就算電腦被種了木馬,這些銀行的網(wǎng)銀登錄密碼應該全被盜,為何其他銀行沒有被盜刷,只有廣發(fā)被盜刷成功?”
  到底其他銀行是如何做的呢?記者隨即撥打了招商銀行的客服電話,對于記者要求更改注冊手機號碼的要求,客服人員提出不僅要人工核對多重資料,而且修改號碼的請求短信會同時發(fā)給新、舊手機號碼,最關鍵的是,修改請求第二天才生效,如是,被修改者有一天的時間來發(fā)現(xiàn),是否密碼被盜。至于通過網(wǎng)銀修改手機號碼?“是不可能的!
  浦發(fā)銀行的網(wǎng)銀防范也十分嚴密。每次登錄都必須輸入手機動態(tài)密碼,從開始便杜絕了盜刷者登錄的可能。

  記者手記:遲遲不見亡羊補牢

  在記者接觸的被盜刷者中,最早一人于7月4日被盜刷,最晚一人于8月23日被盜刷,中間相隔一個半月,用戶也已經(jīng)多次向廣發(fā)投訴。但為何如此明顯的漏洞,廣發(fā)網(wǎng)銀仍沒有做任何補救工作呢?亡羊補牢為時不晚,就算現(xiàn)在進入調(diào)查階段,先把“羊圈”修補好,應該難度不大吧。沒人苛求銀行服務十全十美,人們在意的,只是對用戶起碼的用心和尊重而已。就這點來說,廣發(fā)差距甚遠。

  凡標注來源為“經(jīng)濟參考報”或“經(jīng)濟參考網(wǎng)”的所有文字、圖片、音視頻稿件,及電子雜志等數(shù)字媒體產(chǎn)品,版權(quán)均屬新華社經(jīng)濟參考報社,未經(jīng)書面授權(quán),不得以任何形式發(fā)表使用。
 
相關新聞:
· 廣發(fā)銀行:推出手機銀行無卡取款業(yè)務 2011-08-19
· 廣發(fā)行A+H股上市或再推遲 2011-08-12
· 廣發(fā)卡超額限金設陷阱 支付額度缺競爭力 2011-06-24
· 匯率波動拖累理財產(chǎn)品 廣發(fā)兩產(chǎn)品零收益 2011-06-23
 
頻道精選:
·[財智]肯德基曝炸雞油4天一換 陷食品安全N重門·[財智]忽悠不斷 黑幕頻現(xiàn),券商能否被信任
·[思想]觀點擂臺:奢侈品,降稅的糾結(jié)·[思想]破解"兩難"選擇成為宏觀政策著眼點
·[讀書]《五常學經(jīng)濟》·[讀書]投資盡可逆向思維 做人恪守道德底線
 
關于我們 | 版面設置 | 聯(lián)系我們 | 媒體刊例 | 友情鏈接
經(jīng)濟參考報社版權(quán)所有 本站所有新聞內(nèi)容未經(jīng)協(xié)議授權(quán),禁止下載使用
新聞線索提供熱線:010-63074375 63072334 報社地址:北京市宣武門西大街甲101號
Copyright 2000-2010 XINHUANET.com All Rights Reserved.京ICP證010042號