很早就看到微博上曝出工行客户资金通过95588的验证码短信被盗案件
在社区上也曾看到过此类案件
今天在社区上第二次看到有坛友被诈骗,所幸资金无损失
继而就看到一些类似于“很可能是工行故意为之赚取手续费”、“早就说工行IT不靠谱”之类的说法
还是想写下一文,不过需要申明的是我并非工行托,更不是工行员工,只是工行用得最久,也学习金融专业,对此类事件较为敏感,自以为多少也有点资格评论一二
为了博一下眼球吸引大家往下看,我想提醒大家一句话,信用卡领用合约里有“对于使用密码进行的交易,银行均视为客户本人进行的交易”,放在这里就是,“对于通过客户预留手机号完成的交易银行均视为其本人完成的交易,似乎银行并无明显过错”?可以这样理解吗?所以让我们往下看
一、案例
微博上@公交姬 是大家转得最多的案例,详情可翻阅新浪微博
社区上今天曝出的案例原帖:http://www.flyertea.com/thread-431639-1-1.html 请翻阅,LZ写得很详细,不再赘述
两者的案例有一个差别,就是工银e支付验证码短信被犯罪分子获取的形式,前者是被犯罪分子利用中国移动“短信保管箱”业务在不知情的情况下被获取,后者是犯罪分子打电话以退款的名义试图获取。前者显然是中国移动的业务漏洞,而后者在前者的业务漏洞被封堵后已经成为更主流的诈骗形式。
二、作案方法的总结
1.获取客户手机银行、网上银行登陆密码
2.通过如意金等渠道实现客户账户资金的扣除,客户随后收到95588的扣款短信,高度紧张
3.犯罪分子打来电话,索要验证码,实际也就是开通工银e支付
4.将客户资金转出
三、每一步的风险分析
1.很多人认为登陆密码被犯罪分子获取就是工行的过错——因为自己不怎么登陆网银然后用的肾6。
如果你用的未越狱的肾6,那么你的密码基本上可以肯定是通过网银泄露,今年工行电子银行进行过一次升级,将手机银行与网银密码统一。
如果你用的越狱或者非苹果,那么可能泄露的渠道就多了去了,基本不登录并不代表没有登录过,哪怕就是那一次登录正好有木马。
当然也有人提到会不会是撞库泄露密码,当然有这个可能,不过我以为极小极小,我不太相信一个银行的密钥保存会如此不堪一击,至少在乌云曝出漏洞前我以为不太可能。
2.这一步根据今天下午坛友的说法,工行存在一定违规的过错——没有贯彻银监会对于初次开通投资交易需授权的规定
说实话,我不敢确定,因为还没去翻银监会的条例。另外我自己的都是很早很早就开了,我也不确定到底有没有验证还是说现在取消验证了
3.这一步是整个犯罪流程的核心环节,第二步可以通过多种渠道扣款,但是谨记——不管怎么扣,资金还是属于客户账户,虽然买贵金属多少有点损失。但是第三步可以实现将客户资金转出,从而达到非法牟利。所以关于工银e支付的风险分析便是关键——
在初次开通工银e支付时,只需要手机验证码,于是受害人大多在这个环节将验证码告知了犯罪分子,从而被骗。
很难说这是一个漏洞,95588给客户预留手机号下发验证码客户亲口自愿告知了犯罪分子从而导致资金的损失,是犯罪分子太聪明还是客户些许无知?
在这个问题上,工行的问题在于安全验证不足,过于强调便利性。很多工行黑在此类案件集中爆发后都会补刀,为何我用的其他银行都没出问题继而推出工行有重大过错。非也。其他银行没出问题只是因为没有工银e支付这个业务。工银e支付这个业务是工行近两年面对第三方支付的巨大压力下推出的,主打便利性,比起原来支付需要U盾密码器着实方便不少,毕竟没谁天天都揣着那俩玩意儿。
四、每一步的应对措施
1.网银手机银行密码泄露并不能构成实质性威胁,没有e支付犯罪分子并不能获取客户资金。不过既然不能防范密码的泄露,那就好好利用一下工行提供的安全防范措施。网银工银信使可以免费定制“网银手机银行登陆动态短信提醒”,一旦登陆便会有类似下图的短信提醒,如非本人登陆直接转发95588便可强制退出。
另外顺便说一句,网银可以设置登录名,建议就不要使用手机号、身份证号、卡号登陆了,这一点安全中心项目中也可以对安全策略进行调整,建议只使用用户名登陆,用户名和密码也别和其他网站重复了
2.有些坛友也提到对于犯罪分子购买如意金等交易,可以在安全中心中打开对于理财类交易的强制验证。
而事实上,从8月14日开始,工行已经对所有网银客户强制进行二次验证,不论是否打开验证开关,在登陆账户外汇账户商品账户贵金属网上保险等投资交易项目时均需要通过口令卡密码器U盾进行二次验证。这一步可能的风险已经堵死了,换而言之犯罪分子最多查查你的账,在注册账户之间划转资金。
3.对于工银e支付的风险,如果在初次开通时也增加一道二次验证,便会安全许多。但是显然基于便利性的考虑,不可能每次使用工银e支付都进行二次验证,解决的办法我在最后红色加粗部分进行讨论。
五、关于工行黑
今年工行此类诈骗案件集中爆发,大量受害人围观人将罪责归于工行,认为是工行泄露密码、工行安全措施不足、工行纵容犯罪分子,更有甚者——工行故意为之,显然并不太可能。
从投入上看, 工行作为在电子银行领域一直走在前面的国有大行,IT投入数一数二。援引杨凯生的话“大概从1999年开始到去年为止,我们每年在这方面的投资超过50亿元,连续15年平均每年超过50亿”
从业务领域看,工行目前提供的账户原油账户农产品等交易均为首创,创新程度不言而喻。
至于密码泄露的可能性,如果工行登陆密码泄露显然将是一次毁灭性的事件,但我也有理由相信,目前来看并无可能。
至于U盾和密码器是否安全,U盾和密码器不安全的前提是U盾被复制或密码器密钥被破解,而这正是工行网银安全运行的基础,我虽不从事IT行业,但我想这并没那么简单。
印象中建行的U盾出现过被复制的案件,就目前看,除了短信,工行的其他几种验证方式都是安全的。
再次申明,丝毫没有维护工行的意思,单纯客观说明罢了。
六、给受害人和工行说的话
1.虽然有些无情,但是套用蛤蛤的话,客户还是要提高自己的姿势水平啊,毕竟除了由于中国移动业务漏洞导致的验证码泄露,那些自己把验证码告诉犯罪分子的受害人同志,银行真的拦不住。我想说的是,产品创新大潮一刻不停,越来越多的金融产品被推出,如果你依然只会使用转账只会买点基金,对于一些基本的安全验证常识不十分清楚,对于一些银行提供的安全防范措施并不能运用——比如登陆动态提醒短信,那么真的不能完全赖银行。
正如反洗钱流程中提到的了解你的客户(KYC),那么作为客户,你也应当了解你所使用的产品。
没有任何一种产品天衣无缝,没有任何一种业务完美无瑕,不过,骗子只能骗不了解的人,对于清楚的人,显然没有丝毫能力。
2.对于工行。此类事件的核心都在于工银e支付,工银e支付是工行主打的一个创新产品,对于加强与第三方支付的竞争显然极为关键,但是经过此次事件,工行也理应认识到平衡创新性和安全性的重要性,对于一些业务流程应该更加细化对于一些产品应该牺牲一些便利性更注重安全性,毕竟银行说来说去,客户的信任最为关键。
说道为何工行要干e支付,印象中没哪家支付机构仅凭短信验证,支付宝需要手机宝令,银联在线需要有效期CVV以及短信。所以这里的便捷是一个优点也是一个致命弱点,这是被第三方支付们逼的,实在没辙了,只好先抢便利性牺牲一些安全性了。
正如之前所说,就算在初次开通工银e支付时需要用U盾密码器口令卡进行二次验证,着实有利于加强工银e支付的安全性,但对于已经开通过的客户呢?显然这只能防范住未曾开通过的客户被犯罪分子冒名开通,但是如何保住便利性又提高安全性,我以为,利用手机银行客户端,在每次使用工银e支付时参照支付宝设置支付宝令或许不失为一种更好的方式,同样都是利用手机,同样都不需要物理介质,但是安全了许多。当然,这又带来一个问题,如此一来就会把工银e支付的客户群体限制在使用了手机银行的这一部分人群上,显然这是工行所不愿意见到的,这是后话。
很多人质疑这么大批量的案件爆发为何工行不出来说句话,我以为——很简单,在风险没有尽可能消除前,大张旗鼓宣传只会让更多犯罪分子受启发。
最后,依然希望受害人能早日挽回损失,犯罪分子早日被绳之以法。
起笔草草,不当之处请斧正