|
这类事件中,不法分子首先要获取客户账号、开户信息、密码、手机号码等个人信息,这些信息通过多种渠道泄露,有的是保管客户信息的单位工作人员泄露,有的是客户个人保管不善,被不法分子诱导,登录钓鱼网站或被植入木马程序等,导致账户密码泄露。 专家指出,银行应加大自查、内查,谨防客户信息被泄露。但如果由于客户自身原因导致信息被盗,会给银行在交易的辨识上产生一定困难。 ——理财交易设定的认证级别较低。 记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用U盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要U盾验证。业内人士指出,大部分客户对“如意金积存”等贵金属交易不太了解,骗子利用这样的“名字噱头”好行骗。 记者了解到,“如意金积存”是工行一款贵金属理财产品,客户既可以选择赎回,获得现金,也可以提取实物黄金。不过,如意金积存买卖不仅根据每天市场行情价格实时浮动,而且每克赎回还有实时价格和赎回价格的价差,相当于银行总能赚一笔手续费。 “工行目前购买‘如意金积存’的U盾认证是默认‘关闭’的,需要客户开通。”王先生告诉记者,“平时使用网银转账几百元钱都要使用U盾,但购买上万元理财产品却不需要,安全隐患一目了然。” 工行从事外部风险欺诈的工作人员回应说,要求客户自主定制主要是方便客户体验。“比如网银理财,很难因为安全考虑而要求客户都使用U盾。对于外汇、贵金属等日交易频繁的产品,使用U盾会影响客户体验。” 一位上海的受害人表示,骗子曾偷偷登录他的网银购买了11万元的如意金积存,尽管钱没被骗子骗去。但他第二天按照当天金价赎回时,损失7000多元。 ——网银登录验证缺失,快捷支付验证安全风控不到位。 “此类诈骗频繁发生,银行有着不可推卸的责任。”王先生认为,“客户的网银在异地登录,银行应该明显能发现登录IP地址异常,但为什么没有触发风险预警机制?我从未接触过贵金属理财,这种不正常的交易行为为何没有引起银行风险监控系统的注意?” 此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。专家建议,用户要妥善保管短信验证码,不要向包括网络客服、银行工作人员在内的任何人提供密码内容。 银行防风险主动性不足 大数据和生物验证待开发 记者从工行多个网点了解到,工行目前正在调查和梳理电子渠道贵金属产品欺诈事件情况,并向受害人返还由于骗子“代购”而产生的交易手续费。 同时工行做出安全提示,建议客户制定网银及手机银行登录短信提醒,及时了解电子银行登录情况;通过网银或手机银行“安全中心”栏目自助开通“理财类交易开通U盾认证功能”。 然而,王先生认为这样做还远远不够。 “银行没从自身防堵漏洞入手解决,却要求客户自己制定。为什么不是银行主动提醒账户异常登录、理财交易异常?”王先生认为,在资金安全方面银行更专业,应该更主动提供服务。 |
