順應(yīng)數(shù)字化潮流�����,銀行原柜臺(tái)業(yè)務(wù)數(shù)以千計(jì)搬到線上��,在卡主逐漸習(xí)慣手機(jī)銀行操作規(guī)則的同時(shí)�����,安全性問(wèn)題能否保障成為焦點(diǎn)���。呂先生日前向南都灣財(cái)社表示,其岳母存入光大銀行的85萬(wàn)元存款在8天內(nèi)陸續(xù)被盜刷轉(zhuǎn)走�����,同時(shí)手機(jī)銀行顯示有其他設(shè)備的登錄記錄���,而銀行卡綁定的手機(jī)號(hào)卻沒(méi)有收到任何的口令驗(yàn)證碼��、轉(zhuǎn)賬等提醒短信��。其質(zhì)疑光大銀行系統(tǒng)存在漏洞�。呂先生表示,在與光大銀行溝通中了解到��,幾筆轉(zhuǎn)賬均經(jīng)過(guò)了手機(jī)銀行登錄密碼���、支付密碼��、指紋等驗(yàn)證��,而其中指紋驗(yàn)證不是卡主本人指紋�����,而是登錄設(shè)備機(jī)主指紋。
資料圖
8天內(nèi)86萬(wàn)元被陸續(xù)轉(zhuǎn)走�����,客戶(hù)質(zhì)疑光大銀行手機(jī)銀行系統(tǒng)存漏洞
家在沈陽(yáng)的呂先生日前向南都灣財(cái)社記者表示���,其七十多歲高齡的岳母在去年8月存入光大銀行的85萬(wàn)元存款在8天內(nèi)被陸續(xù)盜刷轉(zhuǎn)走����。呂先生表示,此前其岳母曾接到一個(gè)陌生電話�����,讓她將其他銀行卡內(nèi)存款轉(zhuǎn)存光大銀行�������!皩(duì)方說(shuō)她可能涉嫌犯罪�,要求配合調(diào)查,讓她把現(xiàn)在的存款取出來(lái)存到光大銀行��,說(shuō)是更安全������!
呂先生表示,85萬(wàn)元原來(lái)存在包括中國(guó)銀行等多家銀行內(nèi)�,“她以前在我的指導(dǎo)下還去銀行做過(guò)理財(cái)���,中國(guó)銀行有手機(jī)盾,還有實(shí)體密鑰�����,發(fā)6位數(shù)動(dòng)態(tài)口令的�������!
根據(jù)呂先生提供信息��,其岳母名下光大銀行賬戶(hù)在2021年8月3日有一筆網(wǎng)銀跨行匯款�,存入金額10萬(wàn)元�,此后8月4日�����、8月6日及8月10日����,又分別收到匯款38萬(wàn)元���、16萬(wàn)元及22萬(wàn)元��。而到賬資金在當(dāng)日就被悉數(shù)轉(zhuǎn)出�����,共發(fā)生9筆資金�,單筆金額在1.8萬(wàn)元到19.2萬(wàn)元不等。到8月10日最后一筆資金轉(zhuǎn)出后�,呂先生岳母累計(jì)轉(zhuǎn)入的86萬(wàn)元,僅剩余額58元�。
呂先生表示,其岳母在光大銀行營(yíng)業(yè)網(wǎng)點(diǎn)是通過(guò)自動(dòng)柜員機(jī)辦理的開(kāi)卡��,這個(gè)是必須預(yù)留指紋的��,同時(shí)也開(kāi)通了手機(jī)銀行的功能����。呂先生強(qiáng)調(diào),銀行也承認(rèn)其岳母在營(yíng)業(yè)廳里登錄過(guò)手機(jī)銀行后沒(méi)再登錄過(guò)光大銀行的手機(jī)銀行����,而事后,其發(fā)現(xiàn)該賬號(hào)中出現(xiàn)其他設(shè)備的登錄記錄。
“我在銀行app里看到��,發(fā)現(xiàn)有一個(gè)oppo的設(shè)備登錄過(guò)�������!毙枰赋龅氖��,根據(jù)呂先生提供信息���,該設(shè)備為OPPO R9s�����,距離8月10日最后一筆資金轉(zhuǎn)出10天后的8月20日有過(guò)一次登錄記錄�����,而更早的登錄情況無(wú)顯示記錄�。
2021年8月12日晚��,家人發(fā)現(xiàn)前述情況����,在后一日早間向公安報(bào)案�。
對(duì)于這一事件����,呂先生表示����,家人結(jié)合岳母講述進(jìn)行推測(cè),其光大銀行手機(jī)銀行登錄密碼等信息或者均已泄露��,因此被詐騙分子盯上��,并引導(dǎo)其岳母將資金轉(zhuǎn)存入光大銀行�������!拔覀?nèi)?bào)案�����,民警說(shuō)這種叫網(wǎng)絡(luò)盜刷����,犯罪份子通過(guò)網(wǎng)上購(gòu)買(mǎi)了她(其岳母)的個(gè)人信息�,然后犯罪份子登錄賬戶(hù)���,錢(qián)就被轉(zhuǎn)走了�。無(wú)論是最開(kāi)始還是到最后我們?nèi)ス簿謭?bào)案的時(shí)候�����,她(其岳母)都沒(méi)有說(shuō)過(guò)自己泄露過(guò)取款密碼��������!眳蜗壬硎�。
而經(jīng)過(guò)“研究”光大銀行系統(tǒng)��,呂先生對(duì)該系統(tǒng)的安全性產(chǎn)生懷疑�����。根據(jù)其提供信息����,呂先生曾在自己手機(jī)上登錄其弟弟名下的光大銀行賬戶(hù)���,在轉(zhuǎn)賬環(huán)節(jié),其發(fā)現(xiàn)自己作為機(jī)主���,雖然是操作弟弟名下的光大銀行賬戶(hù),并發(fā)起轉(zhuǎn)賬�����,但在安全驗(yàn)證環(huán)節(jié)中�����,輸入交易密碼后�����,刷的是自己的臉����,而非其弟弟即銀行卡卡主的人臉信息,也能順利將資金轉(zhuǎn)出��。其表示,不僅是人臉識(shí)別�,光大銀行APP在安卓系統(tǒng)中多使用的指紋識(shí)別信息也是驗(yàn)證的機(jī)主的信息,而非卡主�����。
呂先生認(rèn)為����,這是其岳母86萬(wàn)元被盜刷的重要原因,其表示�����,光大銀行APP在對(duì)外轉(zhuǎn)賬時(shí)����,僅需要驗(yàn)證支付密碼、指紋識(shí)別��,不像其他銀行還要輸入隨機(jī)6位數(shù)字的動(dòng)態(tài)口令�,如果光大銀行有這個(gè)步驟的話,那對(duì)于詐騙分子來(lái)說(shuō)��,要從其岳母手中次次拿到該口令是十分困難的���。
根據(jù)呂先生提供信息����,第一筆轉(zhuǎn)賬記錄與其岳母存入10萬(wàn)元同日發(fā)生,但產(chǎn)生了2次轉(zhuǎn)賬記錄�,第一次因視頻審核未完成而交易失敗,不過(guò)5分鐘后���,這筆9.9萬(wàn)元的資金又順利轉(zhuǎn)出��。呂先生表示,如果要驗(yàn)證其岳母名下賬戶(hù)發(fā)生的9筆資金轉(zhuǎn)出具體是不是卡主本人發(fā)起的�,只要銀行提供轉(zhuǎn)賬設(shè)備具體在哪兒登錄、當(dāng)時(shí)做的人臉識(shí)別就一清二楚�����,但銀行方面拒絕提供這些信息�����。
資料圖
光大銀行回復(fù):資金是客戶(hù)自己轉(zhuǎn)出�,銀行系統(tǒng)不存在問(wèn)題
對(duì)于呂先生所反饋一事,光大銀行方面向南都灣財(cái)社表示�����,經(jīng)過(guò)核實(shí),客戶(hù)是在騙子的指導(dǎo)下完成了整個(gè)流程����,的確就是說(shuō)被騙了,資金是客戶(hù)自己轉(zhuǎn)出�,手機(jī)銀行、銀行系統(tǒng)沒(méi)有問(wèn)題�,且不存在異地登錄的信息。不過(guò)該行有關(guān)負(fù)責(zé)人還表示���,“指紋是機(jī)主的指紋�,是承認(rèn)這個(gè)邏輯在的���������!
根據(jù)呂先生提供信息,其曾與光大銀行網(wǎng)點(diǎn)負(fù)責(zé)人進(jìn)行溝通�����,對(duì)方表示,后面幾筆超過(guò)5萬(wàn)元的資金轉(zhuǎn)出����,肯定有指紋認(rèn)證,還包括登錄密碼����、取款密碼的驗(yàn)證方式。對(duì)于沒(méi)有動(dòng)態(tài)口令這個(gè)問(wèn)題���,對(duì)方表示:“指紋驗(yàn)證等同于短信���,因?yàn)槲覀冊(cè)诮o客戶(hù)只開(kāi)動(dòng)態(tài)密碼版或者開(kāi)個(gè)令牌版的,動(dòng)態(tài)密碼版的只有5萬(wàn)��,令牌可能額度更高些��,生物識(shí)別就是滿(mǎn)足了客戶(hù)沒(méi)有令牌�,但還想超過(guò)5萬(wàn)的需求�。”
前述所謂令牌���,即光大銀行推出的電子銀行統(tǒng)一身份認(rèn)證工具——陽(yáng)光令牌�,光大個(gè)人客戶(hù),只需擁有一個(gè)陽(yáng)光令牌��,即可實(shí)現(xiàn)網(wǎng)上銀行��、手機(jī)銀行����、電話銀行和電子支付的身份認(rèn)證。
南都實(shí)測(cè):各銀行間安全驗(yàn)證有不同邏輯
對(duì)于呂先生指出手機(jī)銀行APP錄入指紋并非卡主指紋�����,而是以機(jī)主指紋為主的情況��,南都灣財(cái)社記者實(shí)測(cè)看到���,多家銀行均是以機(jī)主為準(zhǔn)�����,但安全驗(yàn)證方面存在不同���。
在新設(shè)備上登錄光大銀行APP賬戶(hù)時(shí),南都灣財(cái)社測(cè)試時(shí)需輸入手機(jī)號(hào)及動(dòng)態(tài)驗(yàn)證信息,具體為賬號(hào)綁定的手機(jī)號(hào)���,及一條動(dòng)態(tài)驗(yàn)證碼進(jìn)行安全驗(yàn)證���,即可登錄。首次登錄后����,可使用登錄密碼再次登錄。隨后���,南都灣財(cái)社記者在新設(shè)備上開(kāi)通該賬號(hào)的指紋登錄功能��,光大銀行APP錄入了機(jī)主的指紋后即開(kāi)通��,但實(shí)際上該機(jī)主指紋并非卡主指紋��。在開(kāi)通指紋支付功能環(huán)節(jié)���,光大銀行多設(shè)置了一道支付密碼的驗(yàn)證�,其余則無(wú)不同,也是錄入了機(jī)主的指紋�。
相對(duì)而言,另一股份制銀行APP在登錄新設(shè)備時(shí)所需完成的安全驗(yàn)證較光大多出三道。南都灣財(cái)社記者測(cè)試����,在新設(shè)備登錄時(shí),前述股份制銀行需輸入手機(jī)號(hào)及登錄密碼�����,在登錄密碼通過(guò)后�,還需完成三道安全認(rèn)證,包括人臉識(shí)別����、回答賬戶(hù)有關(guān)問(wèn)題及輸入動(dòng)態(tài)短信驗(yàn)證碼。而在認(rèn)證指紋的時(shí)候�,該銀行設(shè)定進(jìn)行的安全驗(yàn)證同樣多出光大銀行,包括驗(yàn)證動(dòng)態(tài)驗(yàn)證碼及交易密碼���。
另一國(guó)有大行登錄新設(shè)備時(shí)��,在第一個(gè)環(huán)節(jié)則設(shè)置了獲取短信授權(quán)碼的方式�,以驗(yàn)證賬號(hào)綁定的手機(jī)號(hào)為本機(jī)使用����,同時(shí)還要驗(yàn)證登錄密碼����。由于該行檢測(cè)出賬號(hào)此前已綁定其他設(shè)備��,在新設(shè)備上還需要輸入賬號(hào)取款密碼進(jìn)行驗(yàn)證�。
在驗(yàn)證完成后,由于登錄的是新設(shè)備���,該行設(shè)置了單日轉(zhuǎn)賬5000元的限額�����,若提升需要再行操作�����,包括原綁定設(shè)備變更���、網(wǎng)點(diǎn)辦理等。在指紋驗(yàn)證方面��,由于原設(shè)備未進(jìn)行解綁操作��,該行不支持使用指紋驗(yàn)證���。
資料圖
華南某商業(yè)銀行技術(shù)部人士向南都灣財(cái)社記者表示��,當(dāng)前�����,國(guó)內(nèi)銀行對(duì)安全驗(yàn)證并無(wú)統(tǒng)一標(biāo)準(zhǔn)�����,各家銀行做法均不相同��,都按照各自的安全驗(yàn)證邏輯進(jìn)行設(shè)定����。其還表示��,銀行在進(jìn)行生物識(shí)別安全驗(yàn)證時(shí)�,第一次是采樣,人臉識(shí)別可以與身份證等信息進(jìn)行比對(duì)����,如果是指紋的話,錄取機(jī)主指紋也符合邏輯��,只是安全驗(yàn)證環(huán)節(jié)各家有所不同。
采寫(xiě):南都灣財(cái)社記者葉霖芳
| 
