第A31版:城事
3上一版  下一版4
 
验证码被骗“快捷支付”成盗刷通道
下半月,我省或再受台风影响
新闻搜索:

3上一期 版面导航
下一篇4 2015年8月13日 放大 缩小 默认        

验证码被骗“快捷支付”成盗刷通道
骗子扮“客服”,假“退单”换取储户信任后,无需支付密码,就能实施网上盗刷
柏成/漫画
 

N海都记者 郑靓

海都讯 将银行卡上的资金转入同银行的理财账户内,相当于自己给自己转钱,部分银行为方便储户,在该“转账”过程中取消了输入支付密码的步骤。然而,这一举措却被骗子利用作盗刷储户资金。

近日,福州市民林先生就遭遇如此骗术。骗子事先掌握林先生被泄露的身份、账户信息,利用银行的贵金属产品投资账户,制造网购“扣款”和“退款”假象;骗得手机短信验证码后,开通了林先生账户的快捷支付功能;新设小额支付密码后,疯狂盗刷多笔,共近万元。

明 “客服”厚道退单 仍致万元被盗刷

环节1:

10日晚,林先生收到一条银行扣款短信提示,称其一账户内支出14000元,被用于投资了一款贵金属理财产品。林先生颇感诧异,自己并未从事该交易。

环节2:

林先生接到了一名“网店电子产品客服”的电话,“系统显示,我们店里刚接到一个1.4万元的订单,是您下单的吗?”林先生连忙告知对方,该交易并非本人操作,“客服”随即表示,最近常有人遭恶意刷单,林先生的账户和密码应是被犯罪分子掌握后,进行盗刷交易。

“对方说,若非本人操作,可申请退单以挽回损失。”林先生说,“客服”让他把手机稍后收到的短信验证码发给她,以完成“退单确认”。对方虽然如此“厚道”,但林先生仍有怀疑,可“客服”催促说,交易将于几分钟后自动锁定,届时将无法退单。

林先生将验证码发给“客服”后,账户里真的退回了1.4万元。

环节3:

没多久,林先生又接到一条短信,称其储蓄卡被开通了快捷支付功能。他连忙拨打该行热线,要求冻结账户,但在这期间,他已连续收到了9笔、每笔扣款498.5元的通知短信。

环节4:

此时,“客服”再度来电,称此前操作有误,林先生需再报一次验证码,将钱退回。由于此前1.4万元的“失而复得”,林先生对该“客服”颇为信任,便依样照做。不料,账户内又被划走5000元,林先生前后共损失了9486.5元。

退单为骗取信任 验证码是漏洞关键

实际上,林先生遭遇的骗术,根本就是那名“客服”演的双簧戏。

该行电子银行部负责人介绍,经初步调查,日前,某金融机构的网络平台遭黑客攻击,包括账户、网银登录密码、手机号等储户个人信息泄露,被骗子所掌握。但因骗子未掌握账户支付密码,故还需设下骗局,以将资金从储户账户中转入。

环节1:

林先生最初接到的扣款短信中,14000元其实并未流入所谓“网店”。骗子掌握了林先生的账户名和登录密码,将卡上资金转入理财投资账户,账面上虽然显示卡上资金支出,但部分储户不知,资金实际上仍在自己名下账户中。

环节2:

骗子伪装成“客服”等人员来电,称储户遭遇盗刷,但能帮助退款。储户此时或许对此说法将信将疑,但将验证码发给“客服”后,对方将储户资金从理财投资账户转回银行卡上,短信通知显示卡上“收入”资金,储户即对退款成功信以为真,对“客服”有了信任感。

环节3:

储户此前发给“客服”的第一条验证码,实际是对方开通储户银行卡快捷支付功能,并设置小额(500元以下)快捷支付静态密码时,系统所产生的验证码。骗子收到后,通过成功设置该密码,绕开了原支付密码以及每次交易都需验证码的保险机制,通过连续小额交易,盗刷资金。

环节4:

连续小额支付9笔耗时较长,交易完成后,骗子料定连接扣款通知的储户已发觉异样,遂利用已骗得信任的“客服”身份,谎称此前的盗刷系“操作失误”,再次向储户索要验证码,以用于“退款”。

但实际上,这第二条验证码,是骗子使用快捷支付欲将储户卡内余额转走所产生的。获得储户发来的验证码后,骗子成功实施了大笔金额的资金盗刷。

此外,骗子还考虑到,开通快捷支付功能和通过快捷支付进行大额交易都会产生验证码,行骗之初就实施大额盗刷,储户会连续收到2条验证码,并因此产生怀疑,故采取“先小额后大额”的盗刷策略。

□储户质疑

一条验证码就能证明“我”是我?

记者所进入的一个盗刷维权群内的网友反映,上述骗局近日在全国各地频频发生。涉事银行于本月10日在官网发布《关于防范通过电子渠道贵金属产品实施欺诈的安全提示》,也间接坐实了网友的说法。

“仅凭一个验证码,就能证明实施交易的‘我’是真的我吗?”一位福州受害储户王先生说,骗子之所以能得逞,除了打赢了和储户的“心理战”,更是因为银行的安全门槛设置太低。在盗刷群中,多位受害者表示,存款丢了,找银行维权非常困难,“银行总说,是储户没有妥善保管验证码才会被盗刷。”王先生认为,快捷支付功能本是方便储户,但其中却存在安全隐患,“作为交易凭证的验证码,木马病毒能拦截,不法分子也能骗取,这个‘锁’实在太脆弱了。”

 
下一篇4  
 
   
   
   
关闭