一觉醒来 信用卡被盗刷 北京、上海等地12人遭遇相同 接收“动态验证码”的绑定手机号被修改
广发网银升级用户信用卡被盗刷
广发网银系统在一次升级后,在北京、上海等地相继有12名持卡人遭遇了类似的网银失窃。都是犯罪分子在网上修改他们接收“动态验证码”的绑定手机号后冒名盗刷。资深黑客表示,这一系列案件说明,广发网银系统可能存在较大漏洞。记者调查发现,与其他银行网银设置相比,广发网银客户信息更容易被冒名修改。
记者上午获悉,部分被盗刷持卡人在被要求签订“对外保密”协议后,广发银行已经为他们“先行垫付”了被盗刷金额。广发工作人员表示,此举并不意味着银行存在过错。
盗刷案发
一觉醒来 信用卡被盗刷了
叶先生告诉记者,他习惯睡觉前把手机关了。
7月4日早上,叶先生一觉醒来打开手机,5条来自广发银行客服95508的短信就让他惊讶不已。
第一条短信显示他的信用卡消费了2000元。第二条是“尾号4497的信用卡余额不足,交易失败”。后面的三条短信内容相同,“尾号是1194的信用卡卡片有效期输入错误,交易失败”。“短信都是夜里一两点钟发的,我睡得正香,信用卡肯定是被盗刷了。”叶先生说。
叶先生介绍,5月20日广发银行系统升级后,网银支付不再使用密码,取而代之的是手机动态验证码。客户每次消费100元以上,绑定的手机号码就会收到动态验证码,用以在网上确认。
叶先生说:“让人奇怪的是,盗刷是通过网银进行的,但我的手机并没收到动态验证码。我向银行客服咨询后,对方答复,验证短信发到一个138开头的手机号码上了。”这是北京号码,叶先生当着记者的面拨打,但是无法接通。
QQ维权 12人遭类似盗刷
在与广发银行交涉过程中,叶先生发现一个广发卡被盗刷者组成的QQ群。群里还有11人有着和他完全一样的遭遇,大家都是在广发网银系统升级不久,重新填写个人信息后被盗刷的。他们来自北京、上海、广东、浙江等多个省市,初步统计被盗刷总金额有5万余元。
经过沟通,大家发现,他们的卡都是在上海环迅电子商务有限公司这个第三方支付平台上被盗刷的,被盗资金都被转入滕驰策划公司。
12人中,除叶先生的手机动态验证码被修改为138开头的手机号外,其余人的号码全部被修改为159开头的特定号码,且都为北京号码。
通过上海环迅公司,记者拿到一份腾驰策划公司的声明,称其也是受害者,盗刷者是他们的一名会员,目前已无法与其联系,其账户也被冻结。
错在卡主 银行说法引不满
叶先生表示,他们在向广发银行反映情况时,他们的客服中心工作人员表示,信用卡在网上被盗刷,很可能是客户自己泄露了个人的资料信息和密码,“要么是被熟人窃取了信息,要么就是上了钓鱼网站或木马病毒的当。”持卡人对此说法纷纷表示不满。“银行总说被盗刷的责任在我们,是我们没保管好密码,难道广发就一点责任没有吗?”一位王先生说。他告诉记者,他的电脑里安装了360安全卫士、网购保镖等各种杀毒软件,他很注意定期更新,电脑从未报警说有木马。“我网购6年,工行、招行、交行等银行的网银都有,且最近两个月都用过,就算电脑被种了木马,为什么别的网银没事,只有广发卡被盗刷呢?”
质疑漏洞
响应升级 完善资料后失窃
叶先生告诉记者,今年5月上旬,广发银行通过短信、公告等形式告知持卡人,该行网银将于5月20日23时至次日12时暂停服务,全面升级,要求之前填写资料不全的持卡人完善“个人资料”,包括卡片有效期和卡片背后的三位验证码等内容。
7月2日,叶先生登录网银,将尾号4497的信用卡的个人资料进行了“完善”,对尾号为1194的卡片没做处理。“就这么寸,‘完善’后的卡片两天后就被盗刷了。”叶先生说。而其他受害者也都有和叶先生类似的经历。
存在漏洞 个人信息易泄露
精通网站系统的资深黑客小鱼(化名)表示,从被盗刷持卡人反映的情况来看,他们的个人资料被黑客用木马程序或钓鱼网站窃取的可能性很大。但他同时指出,这也说明广发网银的系统存在漏洞。
小鱼说,“其实任何网银系统都有漏洞,因为系统是人设计的,就必然有各种缺陷。所以银行也会不断地进行系统升级,提高系统的安全性能。但是多人在同一时段因为同样的原因遭遇盗刷,说明这家银行网银的漏洞可能比较明显、严重。而这一点也被黑客发现并钻了空子。”
小鱼进一步分析,这起系列案其实也暴露出广发银行网银系统在修改绑定手机号码的问题上,存在安全隐患,因为它确实不如其他银行的设置合理、安全。
记者调查 银行用U盾最多
刚接到读者爆料时,记者随即致电广发客服,询问如何修改接收动态验证码的手机号码。对方答复,除到柜台办理外,还可直接登录广发网银修改。
具体分两种情况:之前设置过“私密问题”(指卡片的有效期和卡片背后的三位验证码。)的,答对即可修改;未设置的可直接修改。重填资料后会有验证短信发送到新手机号上,输入验证短信,手机号码修改成功,原手机号不会再收到验证信息。
小鱼认为,这种设置貌似安全,但一旦系统存在漏洞被黑客攻破,客户信息被窃取,所谓的“私密问题”也就不再“私密”,难以起到安全保障作用。
叶先生怀疑,犯罪分子就是“山寨”了能接收动态验证码的手机号码后盗刷,他的正牌手机反而接不到短信,“手机验证关”失灵了。
记者此后调查多家银行发现,大多数银行的网银使用ukey(一种通过USB直接与电脑相连、具有密码验证功能的存储设备,如工商银行的U盾)作为安全保障。