順應(yīng)數(shù)字化潮流,銀行原柜臺業(yè)務(wù)數(shù)以千計搬到線上����,在卡主逐漸習慣手機銀行操作規(guī)則的同時���,安全性問題能否保障成為焦點��。呂先生日前向南都灣財社表示��,其岳母存入光大銀行的85萬元存款在8天內(nèi)陸續(xù)被盜刷轉(zhuǎn)走�,同時手機銀行顯示有其他設(shè)備的登錄記錄,而銀行卡綁定的手機號卻沒有收到任何的口令驗證碼�、轉(zhuǎn)賬等提醒短信。其質(zhì)疑光大銀行系統(tǒng)存在漏洞����。呂先生表示����,在與光大銀行溝通中了解到,幾筆轉(zhuǎn)賬均經(jīng)過了手機銀行登錄密碼�、支付密碼、指紋等驗證���,而其中指紋驗證不是卡主本人指紋����,而是登錄設(shè)備機主指紋����。
資料圖
8天內(nèi)86萬元被陸續(xù)轉(zhuǎn)走,客戶質(zhì)疑光大銀行手機銀行系統(tǒng)存漏洞
家在沈陽的呂先生日前向南都灣財社記者表示�,其七十多歲高齡的岳母在去年8月存入光大銀行的85萬元存款在8天內(nèi)被陸續(xù)盜刷轉(zhuǎn)走����。呂先生表示��,此前其岳母曾接到一個陌生電話���,讓她將其他銀行卡內(nèi)存款轉(zhuǎn)存光大銀行�������!皩Ψ秸f她可能涉嫌犯罪�,要求配合調(diào)查���,讓她把現(xiàn)在的存款取出來存到光大銀行���,說是更安全��!
呂先生表示�,85萬元原來存在包括中國銀行等多家銀行內(nèi),“她以前在我的指導(dǎo)下還去銀行做過理財,中國銀行有手機盾��,還有實體密鑰���,發(fā)6位數(shù)動態(tài)口令的���。”
根據(jù)呂先生提供信息,其岳母名下光大銀行賬戶在2021年8月3日有一筆網(wǎng)銀跨行匯款,存入金額10萬元����,此后8月4日、8月6日及8月10日���,又分別收到匯款38萬元��、16萬元及22萬元����。而到賬資金在當日就被悉數(shù)轉(zhuǎn)出���,共發(fā)生9筆資金���,單筆金額在1.8萬元到19.2萬元不等����。到8月10日最后一筆資金轉(zhuǎn)出后����,呂先生岳母累計轉(zhuǎn)入的86萬元,僅剩余額58元����。
呂先生表示,其岳母在光大銀行營業(yè)網(wǎng)點是通過自動柜員機辦理的開卡�,這個是必須預(yù)留指紋的,同時也開通了手機銀行的功能��。呂先生強調(diào)�,銀行也承認其岳母在營業(yè)廳里登錄過手機銀行后沒再登錄過光大銀行的手機銀行,而事后�,其發(fā)現(xiàn)該賬號中出現(xiàn)其他設(shè)備的登錄記錄。
“我在銀行app里看到����,發(fā)現(xiàn)有一個oppo的設(shè)備登錄過��!毙枰赋龅氖牵鶕(jù)呂先生提供信息��,該設(shè)備為OPPO R9s����,距離8月10日最后一筆資金轉(zhuǎn)出10天后的8月20日有過一次登錄記錄,而更早的登錄情況無顯示記錄�。
2021年8月12日晚,家人發(fā)現(xiàn)前述情況����,在后一日早間向公安報案。
對于這一事件���,呂先生表示,家人結(jié)合岳母講述進行推測����,其光大銀行手機銀行登錄密碼等信息或者均已泄露,因此被詐騙分子盯上����,并引導(dǎo)其岳母將資金轉(zhuǎn)存入光大銀行��!拔覀?nèi)蟀福窬f這種叫網(wǎng)絡(luò)盜刷��,犯罪份子通過網(wǎng)上購買了她(其岳母)的個人信息�,然后犯罪份子登錄賬戶,錢就被轉(zhuǎn)走了���。無論是最開始還是到最后我們?nèi)ス簿謭蟀傅臅r候�,她(其岳母)都沒有說過自己泄露過取款密碼����。”呂先生表示����。
而經(jīng)過“研究”光大銀行系統(tǒng),呂先生對該系統(tǒng)的安全性產(chǎn)生懷疑���。根據(jù)其提供信息��,呂先生曾在自己手機上登錄其弟弟名下的光大銀行賬戶����,在轉(zhuǎn)賬環(huán)節(jié)�,其發(fā)現(xiàn)自己作為機主����,雖然是操作弟弟名下的光大銀行賬戶����,并發(fā)起轉(zhuǎn)賬,但在安全驗證環(huán)節(jié)中��,輸入交易密碼后��,刷的是自己的臉���,而非其弟弟即銀行卡卡主的人臉信息��,也能順利將資金轉(zhuǎn)出�。其表示��,不僅是人臉識別��,光大銀行APP在安卓系統(tǒng)中多使用的指紋識別信息也是驗證的機主的信息���,而非卡主。
呂先生認為��,這是其岳母86萬元被盜刷的重要原因,其表示���,光大銀行APP在對外轉(zhuǎn)賬時����,僅需要驗證支付密碼�、指紋識別,不像其他銀行還要輸入隨機6位數(shù)字的動態(tài)口令��,如果光大銀行有這個步驟的話���,那對于詐騙分子來說����,要從其岳母手中次次拿到該口令是十分困難的��。
根據(jù)呂先生提供信息���,第一筆轉(zhuǎn)賬記錄與其岳母存入10萬元同日發(fā)生�,但產(chǎn)生了2次轉(zhuǎn)賬記錄����,第一次因視頻審核未完成而交易失敗��,不過5分鐘后���,這筆9.9萬元的資金又順利轉(zhuǎn)出。呂先生表示�,如果要驗證其岳母名下賬戶發(fā)生的9筆資金轉(zhuǎn)出具體是不是卡主本人發(fā)起的,只要銀行提供轉(zhuǎn)賬設(shè)備具體在哪兒登錄���、當時做的人臉識別就一清二楚�,但銀行方面拒絕提供這些信息��。
資料圖
光大銀行回復(fù):資金是客戶自己轉(zhuǎn)出��,銀行系統(tǒng)不存在問題
對于呂先生所反饋一事����,光大銀行方面向南都灣財社表示,經(jīng)過核實��,客戶是在騙子的指導(dǎo)下完成了整個流程���,的確就是說被騙了��,資金是客戶自己轉(zhuǎn)出���,手機銀行、銀行系統(tǒng)沒有問題�,且不存在異地登錄的信息。不過該行有關(guān)負責人還表示���,“指紋是機主的指紋����,是承認這個邏輯在的�。”
根據(jù)呂先生提供信息���,其曾與光大銀行網(wǎng)點負責人進行溝通�,對方表示����,后面幾筆超過5萬元的資金轉(zhuǎn)出,肯定有指紋認證���,還包括登錄密碼����、取款密碼的驗證方式。對于沒有動態(tài)口令這個問題��,對方表示:“指紋驗證等同于短信��,因為我們在給客戶只開動態(tài)密碼版或者開個令牌版的�,動態(tài)密碼版的只有5萬,令牌可能額度更高些�,生物識別就是滿足了客戶沒有令牌,但還想超過5萬的需求�����!
前述所謂令牌��,即光大銀行推出的電子銀行統(tǒng)一身份認證工具——陽光令牌��,光大個人客戶����,只需擁有一個陽光令牌��,即可實現(xiàn)網(wǎng)上銀行��、手機銀行、電話銀行和電子支付的身份認證����。
南都實測:各銀行間安全驗證有不同邏輯
對于呂先生指出手機銀行APP錄入指紋并非卡主指紋��,而是以機主指紋為主的情況�,南都灣財社記者實測看到,多家銀行均是以機主為準�,但安全驗證方面存在不同。
在新設(shè)備上登錄光大銀行APP賬戶時����,南都灣財社測試時需輸入手機號及動態(tài)驗證信息,具體為賬號綁定的手機號����,及一條動態(tài)驗證碼進行安全驗證,即可登錄��。首次登錄后����,可使用登錄密碼再次登錄。隨后��,南都灣財社記者在新設(shè)備上開通該賬號的指紋登錄功能,光大銀行APP錄入了機主的指紋后即開通�,但實際上該機主指紋并非卡主指紋。在開通指紋支付功能環(huán)節(jié)��,光大銀行多設(shè)置了一道支付密碼的驗證����,其余則無不同,也是錄入了機主的指紋�。
相對而言,另一股份制銀行APP在登錄新設(shè)備時所需完成的安全驗證較光大多出三道���。南都灣財社記者測試��,在新設(shè)備登錄時���,前述股份制銀行需輸入手機號及登錄密碼,在登錄密碼通過后��,還需完成三道安全認證���,包括人臉識別�、回答賬戶有關(guān)問題及輸入動態(tài)短信驗證碼����。而在認證指紋的時候���,該銀行設(shè)定進行的安全驗證同樣多出光大銀行,包括驗證動態(tài)驗證碼及交易密碼���。
另一國有大行登錄新設(shè)備時,在第一個環(huán)節(jié)則設(shè)置了獲取短信授權(quán)碼的方式����,以驗證賬號綁定的手機號為本機使用,同時還要驗證登錄密碼���。由于該行檢測出賬號此前已綁定其他設(shè)備�,在新設(shè)備上還需要輸入賬號取款密碼進行驗證�。
在驗證完成后,由于登錄的是新設(shè)備����,該行設(shè)置了單日轉(zhuǎn)賬5000元的限額,若提升需要再行操作����,包括原綁定設(shè)備變更��、網(wǎng)點辦理等���。在指紋驗證方面,由于原設(shè)備未進行解綁操作����,該行不支持使用指紋驗證。
資料圖
華南某商業(yè)銀行技術(shù)部人士向南都灣財社記者表示�,當前,國內(nèi)銀行對安全驗證并無統(tǒng)一標準����,各家銀行做法均不相同,都按照各自的安全驗證邏輯進行設(shè)定����。其還表示,銀行在進行生物識別安全驗證時���,第一次是采樣�,人臉識別可以與身份證等信息進行比對�,如果是指紋的話,錄取機主指紋也符合邏輯��,只是安全驗證環(huán)節(jié)各家有所不同。
采寫:南都灣財社記者葉霖芳
| 
