广发网银系统在一次升级后,在北京、上海等地相继有12名持卡人遭遇了类似的网银失窃。都是犯罪分子在网上修改他们接收“动态验证码”的绑定手机号后冒名盗刷。资深黑客表示,这一系列案件说明,广发网银系统可能存在较大漏洞。记者调查发现,与其他银行网银设置相比,广发网银客户信息更容易被冒名修改。
记者上午获悉,部分被盗刷持卡人在被要求签订“对外保密”协议后,广发银行已经为他们“先行垫付”了被盗刷金额。广发工作人员表示,此举并不意味着银行存在过错。
盗刷案发
一觉醒来 信用卡被盗刷了
叶先生告诉记者,他习惯睡觉前把手机关了。
7月4日早上,叶先生一觉醒来打开手机,5条来自广发银行客服95508的短信就让他惊讶不已。
第一条短信显示他的信用卡消费了2000元。第二条是“尾号4497的信用卡余额不足,交易失败”。后面的三条短信内容相同,“尾号是1194的信用卡卡片有效期输入错误,交易失败”。
“短信都是夜里一两点钟发的,我睡得正香,信用卡肯定是被盗刷了。”叶先生说。
叶先生介绍,5月20日广发银行系统升级后,网银支付不再使用密码,取而代之的是手机动态验证码。客户每次消费100元以上,绑定的手机号码就会收到动态验证码,用以在网上确认。
叶先生说:“让人奇怪的是,盗刷是通过网银进行的,但我的手机并没收到动态验证码。我向银行客服咨询后,对方答复,验证短信发到一个138开头的手机号码上了。”这是北京号码,叶先生当着记者的面拨打,但是无法接通。
QQ维权 12人遭类似盗刷
在与广发银行交涉过程中,叶先生发现一个广发卡被盗刷者组成的QQ群。群里还有11人有着和他完全一样的遭遇,大家都是在广发网银系统升级不久,重新填写个人信息后被盗刷的。他们来自北京、上海、广东、浙江等多个省市,初步统计被盗刷总金额有5万余元。
经过沟通,大家发现,他们的卡都是在上海环迅电子商务有限公司这个第三方支付平台上被盗刷的,被盗资金都被转入滕驰策划公司。
12人中,除叶先生的手机动态验证码被修改为138开头的手机号外,其余人的号码全部被修改为159开头的特定号码,且都为北京号码。
通过上海环迅公司,记者拿到一份腾驰策划公司的声明,称其也是受害者,盗刷者是他们的一名会员,目前已无法与其联系,其账户也被冻结。
错在卡主 银行说法引不满
叶先生表示,他们在向广发银行反映情况时,他们的客服中心工作人员表示,信用卡在网上被盗刷,很可能是客户自己泄露了个人的资料信息和密码,“要么是被熟人窃取了信息,要么就是上了钓鱼网站或木马病毒的当。”持卡人对此说法纷纷表示不满。
“银行总说被盗刷的责任在我们,是我们没保管好密码,难道广发就一点责任没有吗?”一位王先生说。他告诉记者,他的电脑里安装了360安全卫士、网购保镖等各种杀毒软件,他很注意定期更新,电脑从未报警说有木马。“我网购6年,工行、招行、交行等银行的网银都有,且最近两个月都用过,就算电脑被种了木马,为什么别的网银没事,只有广发卡被盗刷呢?”
质疑漏洞
响应升级 完善资料后失窃
叶先生告诉记者,今年5月上旬,广发银行通过短信、公告等形式告知持卡人,该行网银将于5月20日23时至次日12时暂停服务,全面升级,要求之前填写资料不全的持卡人完善“个人资料”,包括卡片有效期和卡片背后的三位验证码等内容。
7月2日,叶先生登录网银,将尾号4497的信用卡的个人资料进行了“完善”,对尾号为1194的卡片没做处理。“就这么寸,‘完善’后的卡片两天后就被盗刷了。”叶先生说。而其他受害者也都有和叶先生类似的经历。
存在漏洞 个人信息易泄露
精通网站系统的资深黑客小鱼(化名)表示,从被盗刷持卡人反映的情况来看,他们的个人资料被黑客用木马程序或钓鱼网站窃取的可能性很大。但他同时指出,这也说明广发网银的系统存在漏洞。
小鱼说,“其实任何网银系统都有漏洞,因为系统是人设计的,就必然有各种缺陷。所以银行也会不断地进行系统升级,提高系统的安全性能。但是多人在同一时段因为同样的原因遭遇盗刷,说明这家银行网银的漏洞可能比较明显、严重。而这一点也被黑客发现并钻了空子。”
小鱼进一步分析,这起系列案其实也暴露出广发银行网银系统在修改绑定手机号码的问题上,存在安全隐患,因为它确实不如其他银行的设置合理、安全。
记者调查 银行用U盾最多
刚接到读者爆料时,记者随即致电广发客服,询问如何修改接收动态验证码的手机号码。对方答复,除到柜台办理外,还可直接登录广发网银修改。
具体分两种情况:之前设置过“私密问题”(指卡片的有效期和卡片背后的三位验证码。)的,答对即可修改;未设置的可直接修改。重填资料后会有验证短信发送到新手机号上,输入验证短信,手机号码修改成功,原手机号不会再收到验证信息。
小鱼认为,这种设置貌似安全,但一旦系统存在漏洞被黑客攻破,客户信息被窃取,所谓的“私密问题”也就不再“私密”,难以起到安全保障作用。
叶先生怀疑,犯罪分子就是“山寨”了能接收动态验证码的手机号码后盗刷,他的正牌手机反而接不到短信,“手机验证关”失灵了。
记者此后调查多家银行发现,大多数银行的网银使用ukey (一种通过USB直接与电脑相连、具有密码验证功能的存储设备,如工商银行的U盾)作为安全保障。
招商银行虽然也使用动态验证码,但其客服人员表示,更改验证手机号码不能通过网银进行,只能在柜台修改。
最新进展
更新设置 备案手机接提醒
记者近日登录广发网银的官方网站发现,网银已经推出一套新的安全模式。网银客服告诉记者,由于原先系统的安全级别不够,已修改了部分安全内容。
在新系统下,想修改接收动态验证码的手机号码,需先在网上填写原来的手机号码,网银会向该号码发送验证短信,成功接收并将验证内容在网上填写正确后,才可将号码更改为新号码。同时,新网银系统具备登录短信提醒功能,登录网银时系统会自动给备案手机发送一条通知短信。
先行垫付 赔钱先签保密协议
9月20日,数名受害者告诉记者,广发银行总行已经对他们反映的问题作出答复,要求他们签署了一份“先行垫付”协议,然后将盗刷金额先退还给他们。
但协议中附加了保密条款,要求获得退款的客户“对外保密”,不得外泄协议内容。
记者上午获悉,已经有部分人拿到了退款。
据悉,广发银行总行已成立专案组,对这起群体性失窃案进行调查。
持卡人姜先生告诉记者,他发现网银失窃后报案,东城警方目前已经刑事立案,警方正在侦查中。
广发回复 垫付不意味有错
昨天下午,记者致电广发银行总行公共事务部询问此事,接线人员表示稍后给予答复。随后,一位女工作人员回电表示,将于傍晚做出书面答复。但截至记者上午发稿时,书面答复仍未收到。记者再次致电相关部门,得到“昨天处理这事的人不在,得问一下”的答复。
在昨天的采访交涉中,女工作人员提到,虽然银行已经对部分受害者“先行垫付”,但这并不意味着银行存在过错。“先行垫付”是对于特殊、紧急情况下出现问题的应急处理。“如果调查到最后,发现银行不存在问题,这笔钱我们还会再要回来。”她说。
律师说法
网银失窃 持卡人难得赔偿
据悉,在北京,尚无网银失窃后法院判决银行承担赔偿责任的先例。
法院普遍认为,黑客通过种木马窃取储户个人资料,属于“因个人原因导致信息泄露”,储户应承担不利后果。储户如不能提供证据证明银行存在过错,银行不承担责任。
北京市双利律师事务所律师刘琳认为,由于专业能力所限,让储户和律师去证明网银系统存在漏洞,根本做不到。不少律师也表达了类似观点。
异地被盗 可在申领地报案
刘琳认为,遇到网银失窃,持卡人应在第一时间报案,然后再与银行协商。“越早破案,赃款追回的可能性越大,直接从犯罪分子手里要回钱,比从银行手里要钱容易得多。”他说。
刘琳告诉记者,根据公检法联合发布的《关于信用卡诈骗犯罪管辖有关问题的通知》,对以窃取、收买等手段非法获取他人信用卡信息资料后在异地使用的信用卡诈骗案,持卡人可在信用卡申领地的公安机关报案。即持卡人在北京办卡,被外地犯罪分子在网上盗刷,可以直接在北京报案。