N海都记者 郑靓

海都讯 将银行卡上的资金转入同银行的理财账户内，相当于自己给自己转钱，部分银行为方便储户，在该“转账”过程中取消了输入支付密码的步骤。然而，这一举措却被骗子利用作盗刷储户资金。

近日，福州市民林先生就遭遇如此骗术。骗子事先掌握林先生被泄露的身份、账户信息，利用银行的贵金属产品投资账户，制造网购“扣款”和“退款”假象；骗得手机短信验证码后，开通了林先生账户的快捷支付功能；新设小额支付密码后，疯狂盗刷多笔，共近万元。

明 “客服”厚道退单 仍致万元被盗刷

环节1：

10日晚，林先生收到一条银行扣款短信提示，称其一账户内支出14000元，被用于投资了一款贵金属理财产品。林先生颇感诧异，自己并未从事该交易。

环节2：

林先生接到了一名“网店电子产品客服”的电话，“系统显示，我们店里刚接到一个1.4万元的订单，是您下单的吗？”林先生连忙告知对方，该交易并非本人操作，“客服”随即表示，最近常有人遭恶意刷单，林先生的账户和密码应是被犯罪分子掌握后，进行盗刷交易。

“对方说，若非本人操作，可申请退单以挽回损失。”林先生说，“客服”让他把手机稍后收到的短信验证码发给她，以完成“退单确认”。对方虽然如此“厚道”，但林先生仍有怀疑，可“客服”催促说，交易将于几分钟后自动锁定，届时将无法退单。

林先生将验证码发给“客服”后，账户里真的退回了1.4万元。

环节3：

没多久，林先生又接到一条短信，称其储蓄卡被开通了快捷支付功能。他连忙拨打该行热线，要求冻结账户，但在这期间，他已连续收到了9笔、每笔扣款498.5元的通知短信。

环节4：

此时，“客服”再度来电，称此前操作有误，林先生需再报一次验证码，将钱退回。由于此前1.4万元的“失而复得”，林先生对该“客服”颇为信任，便依样照做。不料，账户内又被划走5000元，林先生前后共损失了9486.5元。

暗

退单为骗取信任 验证码是漏洞关键

实际上，林先生遭遇的骗术，根本就是那名“客服”演的双簧戏。

该行电子银行部负责人介绍，经初步调查，日前，某金融机构的网络平台遭黑客攻击，包括账户、网银登录密码、手机号等储户个人信息泄露，被骗子所掌握。但因骗子未掌握账户支付密码，故还需设下骗局，以将资金从储户账户中转入。

环节1：

林先生最初接到的扣款短信中，14000元其实并未流入所谓“网店”。骗子掌握了林先生的账户名和登录密码，将卡上资金转入理财投资账户，账面上虽然显示卡上资金支出，但部分储户不知，资金实际上仍在自己名下账户中。

环节2：

骗子伪装成“客服”等人员来电，称储户遭遇盗刷，但能帮助退款。储户此时或许对此说法将信将疑，但将验证码发给“客服”后，对方将储户资金从理财投资账户转回银行卡上，短信通知显示卡上“收入”资金，储户即对退款成功信以为真，对“客服”有了信任感。

环节3：

储户此前发给“客服”的第一条验证码，实际是对方开通储户银行卡快捷支付功能，并设置小额（500元以下）快捷支付静态密码时，系统所产生的验证码。骗子收到后，通过成功设置该密码，绕开了原支付密码以及每次交易都需验证码的保险机制，通过连续小额交易，盗刷资金。

环节4：

连续小额支付9笔耗时较长，交易完成后，骗子料定连接扣款通知的储户已发觉异样，遂利用已骗得信任的“客服”身份，谎称此前的盗刷系“操作失误”，再次向储户索要验证码，以用于“退款”。

但实际上，这第二条验证码，是骗子使用快捷支付欲将储户卡内余额转走所产生的。获得储户发来的验证码后，骗子成功实施了大笔金额的资金盗刷。

此外，骗子还考虑到，开通快捷支付功能和通过快捷支付进行大额交易都会产生验证码，行骗之初就实施大额盗刷，储户会连续收到2条验证码，并因此产生怀疑，故采取“先小额后大额”的盗刷策略。

□储户质疑

一条验证码就能证明“我”是我？

记者所进入的一个盗刷维权群内的网友反映，上述骗局近日在全国各地频频发生。涉事银行于本月10日在官网发布《关于防范通过电子渠道贵金属产品实施欺诈的安全提示》，也间接坐实了网友的说法。

“仅凭一个验证码，就能证明实施交易的‘我’是真的我吗？”一位福州受害储户王先生说，骗子之所以能得逞，除了打赢了和储户的“心理战”，更是因为银行的安全门槛设置太低。在盗刷群中，多位受害者表示，存款丢了，找银行维权非常困难，“银行总说，是储户没有妥善保管验证码才会被盗刷。”王先生认为，快捷支付功能本是方便储户，但其中却存在安全隐患，“作为交易凭证的验证码，木马病毒能拦截，不法分子也能骗取，这个‘锁’实在太脆弱了。”