工行作為四大行中信用卡業(yè)務最好的銀行,自然有不少犯罪分子盯著,因為工行有不少優(yōu)質客戶,金額損失很大。那么最常見的詐騙、盜刷案例都是由于用戶未保管好手機驗證碼、密碼等資料引起的,卡寶寶網(wǎng)分析師做了一番調查:
作案方法的總結
1.獲取客戶手機銀行、網(wǎng)上銀行登陸密碼
2.通過如意金等渠道實現(xiàn)客戶賬戶資金的扣除,客戶隨后收到95588的扣款短信,高度緊張
3.犯罪分子打來電話,索要驗證碼,實際也就是開通工銀e支付
4.將客戶資金轉出
每一步的風險分析
1.很多人認為登陸密碼被犯罪分子獲取就是工行的過錯——因為自己不怎么登陸網(wǎng)銀然后用的腎6。
如果你用的未越獄的腎6,那么你的密碼基本上可以肯定是通過網(wǎng)銀泄露,今年工行電子銀行進行過一次升級,將手機銀行與網(wǎng)銀密碼統(tǒng)一。
如果你用的越獄或者非蘋果,那么可能泄露的渠道就多了去了,基本不登錄并不代表沒有登錄過,哪怕就是那一次登錄正好有木馬。
當然也有人提到會不會是撞庫泄露密碼,當然有這個可能,不過卡寶寶網(wǎng)分析師以為極小極小,并不太相信一個銀行的密鑰保存會如此不堪一擊,至少在烏云曝出漏洞前不太可能。
2.工行存在一定違規(guī)的過錯——沒有貫徹銀監(jiān)會對于初次開通投資交易需授權的規(guī)定
3.這一步是整個犯罪流程的核心環(huán)節(jié),第二步可以通過多種渠道扣款,但是謹記——不管怎么扣,資金還是屬于客戶賬戶,雖然買貴金屬多少有點損失。但是第三步可以實現(xiàn)將客戶資金轉出,從而達到非法牟利。所以關于工銀e支付的風險分析便是關鍵——
在初次開通工銀e支付時,只需要手機驗證碼,于是受害人大多在這個環(huán)節(jié)將驗證碼告知了犯罪分子,從而被騙。
很難說這是一個漏洞,95588給客戶預留手機號下發(fā)驗證碼客戶親口自愿告知了犯罪分子從而導致資金的損失,是犯罪分子太聰明還是客戶些許無知?
在這個問題上,工行的問題在于安全驗證不足,過于強調便利性。其他銀行沒出問題只是因為沒有工銀e支付這個業(yè)務。工銀e支付這個業(yè)務是工行近兩年面對第三方支付的巨大壓力下推出的,主打便利性,比起原來支付需要U盾密碼器著實方便不少,畢竟沒誰天天都揣著那倆玩意兒。