工行网银服务漏洞引不满强调便捷却忽视安全
记者调查发现,近期这样莫名其妙“被理财”的客户不在少数,相当一部分人被骗走钱财。为什么会莫名其妙“被理财”?理的财去了哪?骗局是怎样展开的?这背后暴露出部分银行网银服务多少漏洞?
骗子帮忙“代购”理财产品意欲何为
日前,北京市民王先生忽然收到工行客服“95588”发来的短信:“您尾号××××卡7日15:46分手机银行支出(如意积存)1000元”。
接着王先生接到95588发来的短信:“您正在付款,验证码为31023,金额1000元……”
“骗子的狡猾在于,受害人看到账户余额瞬间被‘蒸发’,一慌忙就容易落入陷阱,把验证码告诉骗子。”一位银行从业人员告诉记者,值得注意的是,骗子索要的短信验证码并不能“赎回”理财产品,而是可以进行网络购物支付、转账的短信验证码,从而把其他的存款悄悄转走。
片面强调交易便捷
忽视安全管理
一个骗局的完成,涉及多个流程和环节。记者梳理发现,这其中既有客户保管个人信息不善被不法分子钻了空子等原因,也和当前部分银行推出的一些金融产品服务片面强调交易便捷、忽视安全管理,安全漏洞被不法分子利用有关。
——信息泄露是资金被骗的“祸首”。
专家指出,银行应加大自查、内查,谨防客户信息被泄露。但如果由于客户自身原因导致信息被盗,会给银行在交易的辨识上产生一定困难。
——理财交易设定的认证级别较低。
记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用U盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要U盾验证。业内人士指出,大部分客户对“如意金积存”等贵金属交易不太了解,骗子利用这样的“名字噱头”好行骗。
记者了解到,“如意金积存”是工行一款贵金属理财产品,客户既可以选择赎回,获得现金,也可以提取实物黄金。不过,如意金积存买卖不仅根据每天市场行情价格实时浮动,而且每克赎回还有实时价格和赎回价格的价差,相当于银行总能赚一笔手续费。
“工行目前购买‘如意金积存’的U盾认证是默认‘关闭’的,需要客户开通。”王先生告诉记者,“平时使用网银转账几百元钱都要使用U盾,但购买上万元理财产品却不需要,安全隐患一目了然。”
工行从事外部风险欺诈的工作人员回应说,要求客户自主定制主要是方便客户体验。“比如网银理财,很难因为安全考虑而要求客户都使用U盾。对于外汇、贵金属等日交易频繁的产品,使用U盾会影响客户体验。”
此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。专家建议,用户要妥善保管短信验证码,不要向包括网络客服、银行工作人员在内的任何人提供密码内容。
专家:
大数据和生物验证待开发
对于有客户提出在工行电子银行内购买贵金属积存等投资类产品不需要U盾认证的问题,这位负责人表示这种设计不是安全漏洞,而是为了在确保客户资金不向外划转的前提下为客户提供更便捷的服务。针对当前电信诈骗和金融诈骗持续高发的外部形势,工行决定暂时对此类交易实施交易认证措施,这能从根本阻断这类诈骗现象,但是认证环节也会使客户操作的便捷性受到一些影响,希望客户能够理解。工行正加紧研发新的安全措施并推出,在避免欺诈的同时提升业务操作的便捷性。这位负责人表示,目前针对银行客户的各类诈骗手法层出不穷,银行方面将不断加强安全防范手段,确保客户资金安全。这位负责人强调,这次发生的贵金属积存业务诈骗是零星的、少量的,工行的系统安全没有问题。这位负责人还表示,将会通过各个服务渠道密集地向客户宣传防范金融诈骗和电信诈骗的知识,也希望全社会加大这方面的宣传力度,共同增强公众的防诈骗意识。
中央财经大学金融法学院教授黄震表示,不能因为使用的便捷性而忽视安全风险,在强大的技术支撑下,银行完全可以考虑依据理财风险类型和交易额度设置认证方式。“像贵金属交易这样投资风险较高的理财交易应该默认开通安全级别较高的认证方式,以免给客户带来损失。”
专家指出,在保障客户资金安全的方式和手段上,部分商业银行未充分利用现有数据资源开发风险模型。中央财经大学中国银行业研究中心主任郭田勇说:“一些银行重视前端实名制认证,而对后端交易验证不够重视,缺乏对客户个人交易行为习惯的积累和判断。银行掌握着庞大的数据资源,但是利用大数据防范金融风险能力尚显不足。”
“在科学技术的不断推进下,安全和便捷并不一定是鱼和熊掌不能兼得。”黄震认为,密码型支付验证方式容易被窃取,随着科技不断创新,应该引入指纹验证、虹膜验证、人脸识别等新兴的、具有生物特性的验证方式。“关键还在于银行能否真正站在客户角度上,思考如何创新服务、防范风险。”(吴雨)