警惕!23.98万元一分钟内被“强买” 千名储户网银密码被盗遭诈骗
一种新的电话诈骗正在蔓延,与以往骗术不同的是,骗子不仅掌握了你的个人信息,更侵入你的网银,“帮”你购买银行理财产品,然后凭此精准的信息,以退款为由,骗取用户的手机验证码,最后将账户中的钱转走。卷入此骗局者,轻则损失赎回理财产品的手续费,重则余额全部被盗。
■IT时报 吴雨欣
近两周来,《IT时报》多次接到利用如意金积存(一种具有投资性质的贵金属银行理财产品)进行诈骗的投诉。根据投诉用户提供的线索,全国至少因此事组成了12个维权群,而仅《IT时报》记者加入的两个维权群,受损用户便已超过千人,其中一位广州用户一分钟内被支出23.98万元,全部用于购买如意金积存。
用户怀疑,该行的网银有漏洞。
23.98万元 一分钟内被“强买”
8月3日晚,林强(化名)正在值班,突然收到由银行短信客服“955××”发出的4条短信提醒。短信显示,在不到一分钟的时间里,其手机银行支出(如意金积存)共23.98万元,卡上余额仅剩100多元。紧接着,林强接到了一通归属地为深圳的电话。对方称自己是某公司员工,接到林强的4笔订单,因数额较大询问是否本人操作。如果不是,系统会发给林强一个验证码,提供验证码后,即可取消订单。
挂掉电话,林强赶紧登录了自己的手机银行,交易记录显示确有23.98万元的支出,同时林强的手机上收到一条验证码。在此期间,对方不停地来电,要林强尽快提供验证码。所幸,林强马上致电了银行客服,客服说,这是一种新型的诈骗手法,骗子通过某种渠道获得了林强的网银密码,然后在账户内购买了如意金积存,导致账户发生变动,以此来“吓唬”用户。而对方索取的验证码,实际上是用于申请一种名为“e支付”的功能,根据官方介绍,“e支付”完成小额电子支付交易,无须开通网银或申领U盾,无需安装控件驱动程序。
然而,和普通电话诈骗不同,即便林强识破了骗子的手段,拒绝提供验证码,也会受到不小的损失。因为账户资金已经被购买了如意金,要想赎回,需要缴纳1克15元的手续费,还要承担金价波动带来的差价;不赎回,则要面临金价下跌的风险。
更糟糕的是,不是所有的人都像林强一样警觉,仅上海的一个维权群里,就有近60多位受害人在猝不及防下向骗子提供了验证码。一位被骗者告诉《IT时报》记者,骗子会先退回一部分钱取得受害人信任,骗取验证码后再将剩余资金转走。
8月19日,记者以被骗者身份联系该行客服,客服回应称,最近确实接到多起此类投诉,被盗刷是因为用户的上网习惯导致网银泄露,建议修改网银密码或挂失。至于赎回如意金积存面临的差价风险,客服称可等金市利好再赎回,还会赚钱,不一定都是赔。对于是否因该行网银和理财系统漏洞导致骗子有机可乘,客服一再强调是用户自己原因导致,与银行无关,不会赔付。
“骗子就像银行账户里的蛔虫”
与林强有类似遭遇的冯铿,也被盗买了98000元的如意金积存,但让他万万想不到的是,在8月3日注销旧卡办了新卡之后,8月11日,冯铿再次收到银行短信,手机银行支出(保证金入)40000元,只不过骗子这次没有购买如意金积存,而是把钱存入了贵金属保证金。从没有使用过新网银、并开通了手机银行购买贵金属需短信验证功能的冯先生,由此对该行网银产生了极大的不信任,“骗子为何会对我的网银变化如此了如指掌?密码究竟是被谁泄露的?”而客服对此的回答是,存入贵金属保证金不需要短信验证。
从7月开始,“如意金积存骗术”所引发的投诉渐渐在网上发酵,骗子也因此开始改变手法。除了“如意金积存”外,贵金属保证金、外汇保证金等同样不需要手机验证码二次确认的网银操作,也被骗子染指,账户变动后的诈骗手法则与“如意金积存骗术”如出一辙。
陈丽(化名)在8月14日收到了手机银行支出1000多元并转换美元的短信提示,于是她立刻修改了网银密码并设置了登录短信提醒、个性化定制账号信息。然而,8月17日,网银再次被盗。
“骗子就好像我网银里的蛔虫。”有被骗者如是说。在维权群中,一名受损用户抱怨,自己刚刚将账户中的余额现金取出,还未走出银行大厅,卡便被骗子挂失了。
“我的钱去了哪里?”
不少人的钱就此失踪。
王强将自己的验证码给了骗子后,骗子将资金从外汇保证金账户中退了出来,然后转走了他账户中的余额,从交易明细来看,部分资金分20笔打入上海瀚银信息技术有限公司账户(第三方移动支付公司),最后以手付通的方式,每笔498.5元充入山西晋中的11个手机号中,其中9个手机号是重复充值。但这只是骗子转移资金的一种渠道,有些人的钱则被转到了同为第三方支付公司的快钱。
手付通是瀚银科技推出的无卡支付产品,只需关联用户的银行卡,无需开通网银即可远程购物及支付。事后,记者一一拨打这11个手机号码,均已停机。而瀚银科技相关人员的回复则是:“银行没告诉我们付款人信息,我们也不知道充卡人的信息,具体钱从哪里来,账号是否异常,我们不能把控。”
骗子使用过的IP地址,经查询,分布全国各地,甚至还有国外的IP。
“为什么受伤的总是我?”
多名受骗者则对网银的安全表示出更多的疑惑:为何新网银也会被盗?为何多次修改密码,账户却依然被盗?网银登录时的安全控件为何没起作用?众人认为,是该行的系统设置有漏洞,使骗子有空可钻,甚至有人质疑,该行手机银行登录接口可能有漏洞。在著名白帽子网站乌云上,7月6日,该银行被曝“安全控件可被绕过”,属设计缺陷,可轻松绕过对键盘记录器的保护。
林强认为,由于该银行对于购买理财类产品电子密码器验证功能默认关闭,骗子只需盗取网银密码,不需要短信验证、U盾认证,即可利用账户开通如意积存贵金属交易业务,并以此骗取用户信任。此外,如意金积存在当天晚上10点前赎回是可以免收手续费的,而他当天投诉时,客服却从未提醒过他这点,银行应对此承担责任。
8月19日,该行相关负责人向《IT时报》记者表示:“事情发生后,已经对系统进行了完善。银行也一直在搜集相关信息并统计受害人数。由于受害人的情况各不相同,不会针对全部用户制定方案,只能逐步处理。”
为了止损,林强和冯铿赎回了如意金积存,为此,林强损失了17000元,冯铿损失了4000元。还有更多的人,依然被迫持有“如意金积存”,这几天黄金价格一直不稳定。
据记者了解,已有受害人得到了某行工作人员全额赔付的承诺。在受害者提供的录音中,某支行的领导回复:“只要你把网上有损我们银行形象的帖子删了,我们满足你全额赔付的要求,但这只是出于人道的补偿,不是赔偿。”
(文中 林强 王强 冯铿 陈丽均为化名)