当前位置: 首页>> 天天315

数百用户陷“如意金积存”骗局 工行系统究竟有无漏洞?

2015年08月25日 16:01 信息来源:http://finance.cnr.cn/315/gz/20150825/t20150825_519652929.shtml#

【导读】全国多地数百位工商银行用户遭遇新型电信诈骗。骗子能轻松入侵网银,入侵后,先“帮”用户购买“如意金积存”等理财产品以混淆视听,用户收到支出短信后,骗子立刻致电让其误认为卡被人盗刷购买游戏卡而不是理财产品,并称告知验证码则能“帮忙”退回钱款,用户说出验证码的同时卡内存款被盗走。工行提醒:工行员工不会向客户索要短信验证码。《天天315》本期聚焦:“如意金积存”骗局。

据报道,骗子费劲心机研究银行安防漏洞,无孔不入,用户防不胜防,目前全国多地有几百位工商银行储户中招新型骗局—“如意金积存”骗局。被骗人群中不乏有白领、教师等高学历人群。骗子的诈骗手段有多“高明”?现在我们就来详细了解一下骗子的骗钱流程。

深圳工行储户宋先生在2015年8月22号下午17点多,突然连续收到两条条工行发来的扣款短信,他赶紧找到钱包,发现银行卡在身边没丢。难道卡被盗刷了?宋先生不太相信自己也会遇上这样的“倒霉事”,他又赶紧上网查看账户余额,还没打开电脑,手机突然又响了,惊慌失措的他马上接听了电话,电话那头的人则不慌不忙的询问了宋先生几个问题,然后对方很确信的告诉宋先生,他的卡被人盗刷了,并说可以帮忙“退回”钱款。

宋先生:我是在22号下午收到的短信,9588发过来的。短信内容是这样的,它说,您的手机尾号22号17点25分手机银行(如意积存)支出1000元,第二条短信是如意积存支出5千元,紧接着在1分钟之内,我这边接到一个电话,真正的联通132开头的一个号码,自称是网络客服,他就问我是否在网络上下单消费了6000元,我明确告诉他,没有。他就问我说,我这边可能遇到了诈骗,他说跟我核实身份,说可以把这个钱退还给我。但是他说这个时间有限,需要在5分钟之内完成,他就问了我的身分证号码,就问了我前面几位数,后面几位他就自己告诉我了,我的手机号他都主动报给我了,以及我的姓名这些。

核对过个人信息后,宋先生马上就收到一条工行发来的账户资金变动的短信,也就是说对方果真“帮忙”退回了1000元钱。

宋先生:接着他说我马上退还给你,你过几分钟查一下,过了几分钟以后,我是在17点32分收到短信,短信内容是您的卡22日17点32分手机银行收入(取消积存)1千元,电话是没有挂断的,他说你现在看短信有说到的,退回来1千。

从这时起,宋先生对对方的话深信不疑。紧接着,这位网络客服提出,还有5000元需要退回到账户,但是这次需要输入验证码才能继续进行退款操作,就在客服提出要求的同时,宋先生又收到一条工行发来的包含有验证码的短信,这次他没仔细查看短信内容,就将验证码提供给了对方。

宋先生:他接着就说,还有5千元,因为金额比较大,需要跟你核实身份,你需要告诉我一个验证码。很奇怪的就是因为我的短信,紧接着他就发了一个验证码,当时因为时间比较急,我觉得他可以马上在我的账户里直接操作退回,我就对他相对产生了信任。收到一条短信,当时我也没有仔细去看,然后告诉他验证码,紧接着我收到一条短信,在17点38分收到的,手机银行收入(取消积存)5000元。这个时候马上又有一条短信,您手机银行在17点37分网上银行支出B2C的5千元,我告诉验证码以后先收入了5千,又支出了5千。

这时,宋先生卡内的钱才是真的被骗子盗走了,但是他还没有反应过来,双方也都还没有挂断电话。在这之后,骗子竟得寸进尺,又发了一条包含有验证码的短信给他,这条短信提醒也是从工行的系统发出的,骗子又让他继续告知验证码信息。

宋先生:第二笔我告诉验证码收入5千,紧接着又支出5千,这个时候我就警惕了,因为他接着让我再告诉他第二条验证码,这个时候我仔细看了一下验证码,它实际上是更改我手机号的,这个时候我没有告诉它。我就说,稍等一下,晚一点给它确认,这个时候我就打9588,就没有打通。

骗子真的能入侵银行系统吗?工行的短信提醒为什么总是和骗子的步调一致?宋先生提供了短信截图。记者注意到,宋先生最先收到的两条短信,一笔支出1000元,一笔支出5000元,支出后的括号内都写有“如意积存”几个字,宋先生告诉记者,他当时没有注意括号中的内容,也不清楚“如意积存”为何物?接到骗子电话后,他以为“如意积存”是一种网购商品的名称。“如意积存”为何物?受骗者黄先生说他也不清楚。他说,自己看到支出短信,就马上意识到卡被人盗刷,当时立即用电话报了警,但是后来还是被骗子骗走了钱款。

黄先生:我自认为钱已经不在的情况下,我们已经报警了,已经打了9588,工商的客服了,但是打9588,当时可能业务比较繁忙一直没有接通。这个时候我就开始挂了电话,往公安局跑,跑过来的时候,犯罪分子分子又打电话过来,就跟我说,我的网银查询清楚了吗?我告诉它查询清楚了,然后他说,现在他们已经将交易的信息冻结了,说可以返回我的资金,因为这个时候,我的账户上余额已经没有了,你就觉得那个余额本身就没有了。他说给你还回来,我们就相信他了。对方提出说,他们会有一个转账的验证,说会时时发过来,然后我们把那个转账的验证码告诉他,我在打电话的过程中这个短信就过来了,验证码就告诉他了,验证码告诉他之后才发现这是一条商业银行发过来的验证码,这个之前是没有注意到的。

深圳的工行储户李先生则比其他受骗者幸运,他收到短信后,也马上收到了骗子打来的电话,他没有接听而是挂断后马上拨通了工行的官方客服电话,在客服的提示下,找回了钱款。

李先生:手机只提示扣两笔款,一笔是2800,一笔是5千,一共是7800。接着有一个陌生的电话打过来,问我是不是买了一个游戏联卡,我说没有,很纳闷。因为手机银行卡都在我手里,我说没有。他说你看一下你的钱是不是少了,我看了一下确实是少了。过了一会他给我打电话了,他说你告诉我一个验证码,如果不是你买的话,我把这个钱退给你。当时我就很警觉,因为验证码这个东西不能给别人嘛,我就没给他。之后他就一遍两遍的电话一直在打,后来我打9588核实一下,教我怎么把这个钱退回去就可以了,当时撤销撤回来了,应该是8月22号。

据统计,今年7月以来就有近千人遭遇了这一骗局,被骗金额达数百万。骗子是如何获得用户个人信息的?骗子能悄无声息入侵网银账户,并在用户不知情的情况下“帮助”用户购买了理财产品,银行系统是否存在漏洞?骗子入侵后又是如何操控工行系统适时发出短信提醒的?受骗者们找到工行后,得到的答复是,骗子是利用工行的“如意金积存”产品实施的电话诈骗。

受骗者:我们有组织找工行深圳分行的,我们询问了一下这边一起去的朋友,他们基本上都是由于这个原因,但是可能不一样,他们可能是买贵金属。按照银行的说法,是因为我们的银行密码被泄漏了,他们就用手机登录,登录进去以后,自己更改我们的支付限额,一般像我们开通易支付的限额只有3000块,他们可以自己修改我们的那个限额,修改完限额之后他们就自己购买黄金。工行的说法是购买黄金不需要验证,是直接可以购买的,购买之后,我们作为消费者而言,只会收到一条短信,这个钱被转走了。但是按照工行的说法,这个钱还是在我的名下,只不过是在我的那个资金账户里面,是在我本人的如意积存的黄金的账户里面。银行的说法是在我的另外一个账户里面,但是这一点大家都不知道。

“如意金积存”到底为何物?骗子如何能利用它实施诈骗?从网上发布的一些广告来看,如意金积存是工行推出的一款理财产品。有媒体报道,“如意金积存”是工行在2009年推出的一项业务,分如意积存和积金积存两种。工行储户可在既有账户内建立如意金积存账户后,可以主动积存或定期积存工行的如意金条,通俗来说就是购买黄金。对于积存的如意金,客户既可赎回获得现金,也可到工行提取实物。记者拨通了工行的客服电话,想要核实清楚,如意金积存是如何建立的?为何没有骗子入侵网银后,能在用户不知情的情况下帮忙购买?等问题。

记者:积存金是工行这边推出的投资理财产品对吗?

工行客服:是的。

记者:我问一下就是怎么开立这个积存金的这个账户啊?

工行客服:你可以持本人有效的身份证件,和本地介质到柜面签订相关协议书,然后确立积存金账户和基金账户的绑定关系。如果您可以在融e行办理开户的话,您可以在融e行开通以后,在系统上签订相关的协议书,建立积存金和融e行基金账户的绑定关系。咱们这融e行是我行只在银行对外服务的品牌,是不依托我行固定网点和柜员的,这个您可以直接通过互联网方式完成在线支付购买产品和获取服务。但是您首先要安装融e行这个软件,如果有我们银行的借记卡和活期存折是不需要注册的,您直接登录就可以了。融e行它是咱们工行推出的一个直销银行,就是可以通过融e行,比如像进行一些理财性的交易就是用您网银的这个账号和登录密码来登录。

不少受骗者都怀疑工商银行的有关系统本身存在漏洞,他们表示,诈骗分子能够轻易得手,正是因为帐户内购买如意金积存,不需要二次认证,外加上工行的短信提醒不明确,申购没有提示申购而是支出,赎回没有提示赎回而是收入,这才让他们真的以为,自己的资金已经被转移到了帐户外。还有受骗者提到,中国银监会2011年公布的《商业银行理财产品销售管理办法》里有相关规定,商业银行应当在客户首次购买理财产品前对客户进行风险承受能力评估,评估结果告知客户,由客户签名确认后留存。受骗储户认为,如果工行严格执行此规定,骗子即使登录了网银也无法开通“如意金积存”业务;他们收不到资金变动的短信,也就不会上当受骗。

受骗者:我从未购买工行的任何投资理财产品,我是从未和中国工商银行签订过任何的投资理财的风险评估以及任何的风险评估,从未与工商银行签订过任何的投资理财的协议或者是合同。并且我在开通网上的银行的时候,是购买了U盾和电子密码器。但是中犯罪分子在把资金从我的账户划扣到账户外汇的时候,这两个保护验证措施并没有起到审核的效果,所以犯罪分子它就没有任何限制,也没有任何验证就直接把我的钱从那个账户划到相应的投资理财业务里边去了。

针对媒体报道称工行网银账号资金莫名“被理财”一事,工行昨天公开回应说,最近,有客户向我行反映,账户内的资金被不法分子购买了贵金属产品,随后就接到诈骗电话要求提供快捷支付的短信验证码,企图窃取客户资金。我行对此高度重视,立即向客户详细了解情况。经核查分析,在此类事件中,不法分子通过钓鱼网站、木马程序等非法手段获取客户账户信息、电子银行登录名和密码,登录客户电子银行进行购买(申购)和撤销(赎回)贵金属产品的交易,造成发生“扣款”和“退款”的假象迷惑客户,以骗取客户信任,然后进一步编造各种理由,骗取客户支付交易验证码,达到窃取资金的目的。对于此类新型的诈骗犯罪,我行已向公安部门报案,并将全力配合公安部门侦破案件。购买贵金属产品没有发生资金对外支付,资产仍在本人帐户内。如确认客户帐户被不法分子盗用,非本人操作申购和赎回贵金属产品,产生的手续费我行全额返还,维护客户权益。

我行网银提供免费登录提醒和贵金属交易U盾认证功能,客户可通过网上银行或手机银行“安全中心”栏目自助开通。我们也发现有客户将短信验证码告诉不法分子导致帐户资金被盗,尽管短信中明确警告验证码勿告知他人。

目前,针对银行客户的各类诈骗手法层出不穷,对此我行提醒客户为电子银行设置专门的、不同于其他用途密码(如会员密码、电子邮箱密码等)的密码,避免直接使用与本人明显相关的信息(如姓名、生日、常用电话号码、身份证件号码等)作为密码。为避免资金被骗,千万不要向任何人提供短信验证码,我行员工不会向客户索要短信验证码。

经济之声特约评论员李斌和北京潮阳律师事务所律师胡钢就今天的案例做出了分析解读。在上述的案例中,一些工行储户觉得工行的系统还是有一些漏洞。怎么看这个问题?

李斌:首先我觉得如果工行向大家发布的消息是属实的,也就是说客户登录网银的相关个人身份信息都是不法分子通过钓鱼网站或者是木马程序获得的,他利用了这个信息通过了认证,进入到工行的网银系统中,这样一种登录行为,我个人不能认定为它的系统存在漏洞。当然,如果是另外一种方式,即实际上没有通过其他而程序得知客户的个人信息,包括登录名和密码,但是我登录工行的系统之后,就可以通过其他的技术手段,进入到工行客户的网银账号中进行相关的操作,这应当视为工行的网络系统存在安全漏洞和隐患。

这个裁判员由谁来担当,谁来判定工行的系统到底有没有漏洞?

胡钢:从工行昨天发布的公告来看,这家商业银行,并没有做到商业银行法所明定的商业银行对于储户存款的安全保障义务。这项保障义务包括对储户银行卡内的信息的保密以及安全交易技术和环境等,而且这项商业银行的安全保障义务是严格的注意义务。而一般的储户,只要负责一般的注意义务,比如正常妥善保管好自己的个人信息,银行卡密码信息等就够了。在这种背景下,这个事件的发生,而且范围比较大,体现出这家商业银行在安全保障义务方面存在明显的缺陷。

现在来看,受骗的人比较多,从记者了解来看,这个QQ群成员人数达到1千多人,全国各地都有,大家最关心的损失的手续费,工行已经回应了,赔给大家,被骗的钱能不能要回来,这是被骗的储户最关心的,现在这个可能性大吗?

李斌:首先这里面存在不同的法律关系,违法犯罪分子通过电信诈骗的方式,他实施转移客户资金的这样一种犯罪行为,这在明确的法律上叫侵权行为。在这个时候,我们如果能够把案件侦破,如果能够追回这些赃款赃物,是可以返还受害人。实际上实施电信诈骗犯罪分子所在的地点可能在异地也可能在国外,所以这种案件的侦破难度比较大,可能还需要很长时间。在案件侦破之中,或者案件已经侦破了,但是这些款物被挥霍了,这时客户的资金安全这种义务由谁来承担是大家最关心的问题。从另外一个法律观上讲,储户在工行开设了银行卡,就形成了储蓄合同的法律关系,这个时候银行作为提供金融服务的一方,是否有违约行为,是否存在过错,是认定银行是否应当对客户资金损失承担赔偿责任的关键。在这个里面,银行的过错首先就是网银交易系统是否存在安全隐患,究竟由谁来判定工行的系统到底有没有漏洞?起码是中立的第三方,具有权威认证技术资质的来评估到底银行的网银系统有没有漏洞,被犯罪分子所利用而实施这样一个诈骗。

这个专业度很高。但是作为储户,其本身有一个资金安全的义务,在收到莫名其妙的短信之后就应该在第一时间通知银行的官方服务电话,来核实这种支出的真实性和支出的去向。同时作为储户也应该提升识别和防范变性诈骗的能力,在面对这样的信息是否有足够的警惕心。所以,客户本身在这方面存在过错,责任到底要不要银行来承担,这里面的举证责任要由客户来承担,你要证明银行的系统存在漏洞。希望这个案件尽快侦破,能够通过退还当事人资金的方式来结案,但是如果达不到这样的目标,将来在银行和储户之间形成一个纠纷,到底如何解决还是看双方的过错程度。

李斌律师认为客户也是有过错的,而且客户还有举证责任。在这两个面,客户能不能做到,特别是举证责任,是不是有困难?

胡钢:工行的网银在一般的转账、汇款、缴费中是需要U盾的,U盾本质就是一个电子签名,在网络时代,电子签名技术在安全性是普遍被认可,而我们的熟悉的所谓的6位的数字,实际上安全性极低。一个关键的信息是,很多用户提到没有和商业银行签订所谓的基金、理财贵金属交易等这种东西。而银行说,他们的账户内购买基金理、财贵金属,这些投资交易的认证级别很低,默认不需要U盾验证。如果存在这样一个问题,我个人认为,商业银行就存在明显的安全上的疏忽。目前而言,我国对于金融消费者权益保护还是非常弱,国外一般都会建立相关消费者保护的专门法律,我国一行三会设立的消保局更多的是宣传教育和调节,刚性的措施不足。在这种背景下,我们应该呼吁尽快设立这种相关的法律,或者专门的金融消费者保护法等,让消费者都能依据法律及时获得保障。

银行的回复说,我行网银提供的免费登录的提醒和贵金属交易U盾认证归能,客户可以通过网上银行或者是手机银行安全中心栏目自助开通。即如果你没开通,它是不提供网银登录的提醒,也不会给你提供贵金属交易U盾的认证功能。也就是说这两方面的保障是缺失的,这两方面的保障缺失在案件责任认定当中是不是很关键的因素?

李斌:当然了,这在交易的环节实际存在一些简化的程序,使得犯罪分子更容易得手。另外,在网银的账户内,即便登录了网银了,要进行贵重金属的理财的申购和赎回,是不是应当设立一个支付密码验证的程序,这是银行应该做到的。所以作为金融机构而言,它应当提供的是尽可能安全的消费环境和金融服务环境。同时我们对某一家银行的过错认定,也是看它是不是符合银行业通常的安全保障义务的标准和水平,如果它达到这种通常的水平,不太好认定它有多大的过错。当然,我们的金融服务业确实存在服务质量方面非常大的提升空间。这里面硬件需要提升,如何最大可能地提升其安全系数,比如多设一道密码支付程序等,使得资金安全得到最大限度的保证,所以银行有很多方面的工作需要去做。

电信诈骗的手段逐渐翻新,层出不穷,有时候也是防不胜防,大家应该如何防骗?

胡钢:第一,涉及到这种网银交易,建议全程使用U盾,如果不能使用U盾,手机的这种短信验证码千万不要告诉任何人。第二,如果碰到什么事,有人打电话来就听着,不要答复。既不要承认什么,也不要否认什么,要记一下对方所说的话,第一时间拨打相关金融机构95开头这样的电话,如果有问题要及时报警,及时锁定账户。第三,一定要在安全的地方登录网银,不要随便蹭wifi。

返回

Baidu
map