工行作为四大行中信用卡业务最好的银行,自然有不少犯罪分子盯着,因为工行有不少优质客户,金额损失很大。那么最常见的诈骗、盗刷案例都是由于用户未保管好手机验证码、密码等资料引起的,卡宝宝网分析师做了一番调查:
作案方法的总结
1.获取客户手机银行、网上银行登陆密码
2.通过如意金等渠道实现客户账户资金的扣除,客户随后收到95588的扣款短信,高度紧张
3.犯罪分子打来电话,索要验证码,实际也就是开通工银e支付
4.将客户资金转出
每一步的风险分析
1.很多人认为登陆密码被犯罪分子获取就是工行的过错——因为自己不怎么登陆网银然后用的肾6。
如果你用的未越狱的肾6,那么你的密码基本上可以肯定是通过网银泄露,今年工行电子银行进行过一次升级,将手机银行与网银密码统一。
如果你用的越狱或者非苹果,那么可能泄露的渠道就多了去了,基本不登录并不代表没有登录过,哪怕就是那一次登录正好有木马。
当然也有人提到会不会是撞库泄露密码,当然有这个可能,不过卡宝宝网分析师以为极小极小,并不太相信一个银行的密钥保存会如此不堪一击,至少在乌云曝出漏洞前不太可能。
2.工行存在一定违规的过错——没有贯彻银监会对于初次开通投资交易需授权的规定
3.这一步是整个犯罪流程的核心环节,第二步可以通过多种渠道扣款,但是谨记——不管怎么扣,资金还是属于客户账户,虽然买贵金属多少有点损失。但是第三步可以实现将客户资金转出,从而达到非法牟利。所以关于工银e支付的风险分析便是关键——
在初次开通工银e支付时,只需要手机验证码,于是受害人大多在这个环节将验证码告知了犯罪分子,从而被骗。
很难说这是一个漏洞,95588给客户预留手机号下发验证码客户亲口自愿告知了犯罪分子从而导致资金的损失,是犯罪分子太聪明还是客户些许无知?
在这个问题上,工行的问题在于安全验证不足,过于强调便利性。其他银行没出问题只是因为没有工银e支付这个业务。工银e支付这个业务是工行近两年面对第三方支付的巨大压力下推出的,主打便利性,比起原来支付需要U盾密码器着实方便不少,毕竟没谁天天都揣着那俩玩意儿。