近日，工行北京地區(qū)多位儲戶資金通過快捷支付業(yè)務(wù)被盜。工行昨天回應(yīng)稱，“工行快捷支付曝重大漏洞”系誤解，事發(fā)原因是不法分子使用非法手段獲取了客戶的相關(guān)信息和密碼，再利用客戶信息開通了客戶手機(jī)的“短信保管箱”業(yè)務(wù)，從而獲取交易驗證短信并盜取資金。北京移動方面已經(jīng)緊急暫停了相關(guān)業(yè)務(wù)，并表示如查實儲戶被盜刷資金確是移動的業(yè)務(wù)問題，愿意承擔(dān)賠償責(zé)任。

　　■事件回放

　　多位儲戶資金被盜刷

　　7月9日，微博網(wǎng)友“公交姬”在微博上吐槽銀行卡被盜刷事件，該網(wǎng)友被強(qiáng)制開通了北京移動的短信保險箱業(yè)務(wù)，不法分子通過快捷支付的手機(jī)動態(tài)密碼完成盜刷。據(jù)記者了

　　解，北京地區(qū)多位儲戶遇到類似情況，有類似經(jīng)歷的受騙者在社交工具上成立交流群，規(guī)模近20人。一時之間，工行“工銀e支付”有重大漏洞的說法甚囂塵上。

　　■工行回應(yīng)

　　工銀e支付運(yùn)營正常

　　針對儲戶資金通過快捷支付被盜一事，工行方面昨天表示，工銀e支付業(yè)務(wù)運(yùn)營正常，也未發(fā)生泄露客戶信息的情況，儲戶資金被盜主要是由于其預(yù)留的手機(jī)被強(qiáng)行開通了中國移動的“短信保險箱”業(yè)務(wù)，不法分子盜取儲戶動態(tài)密碼，進(jìn)而通過快捷支付盜取資金。

　　工行在公告中表示，“近年來，多家支付機(jī)構(gòu)和商業(yè)銀行都推出了基于手機(jī)短信驗證的快捷支付業(yè)務(wù)，這種小額支付方式方便快捷，受到了客戶的廣泛歡迎。我行的工銀e支付業(yè)務(wù)也屬于這種快捷支付業(yè)務(wù)，該業(yè)務(wù)開通時需要驗證客戶預(yù)留在我行的密碼和手機(jī)號碼，支付時需要驗證我行向客戶預(yù)留手機(jī)發(fā)送的短信驗證碼。只要客戶保管好手機(jī)上的短信，安全性是有保障的?，F(xiàn)在社會上一些不法分子利用非法手段竊取客戶個人信息和認(rèn)證短信，以盜取客戶資金。為安全使用工銀e支付業(yè)務(wù)，我行提醒廣大客戶務(wù)必保管好個人信息、密碼，防止手機(jī)被植入病毒，防止認(rèn)證短信被盜取?！惫ゃye支付每日累計支付的最大限額是1萬元，每月5萬元。

　　中國人民大學(xué)重陽金融研究院客座研究員董希淼認(rèn)為，這個事件的主要責(zé)任在運(yùn)營商身上。

　　■移動回應(yīng)

　　移動已暫停相關(guān)業(yè)務(wù)

　　針對此事，北京移動回復(fù)稱，其已關(guān)注到客戶投訴以及媒體的相關(guān)報道，目前已與相關(guān)客戶就解決投訴問題達(dá)成初步意向，并表示將積極配合警方調(diào)查取證，同時已與銀行取得聯(lián)系，查找風(fēng)險漏洞。北京移動表示，正在仔細(xì)對比客戶被盜刷時段的數(shù)據(jù)記錄，如果查實確實是移動的業(yè)務(wù)問題，“我們愿意承擔(dān)賠償責(zé)任”。

　　對于短信內(nèi)容泄露的原因，包括用戶投訴的被強(qiáng)制辦理短信保管箱業(yè)務(wù)，甚至退訂之后再次被訂購這項業(yè)務(wù)的情況，北京移動表示，已逐一對十余起類似客戶投訴進(jìn)行了仔細(xì)核查，通過后臺網(wǎng)絡(luò)日志發(fā)現(xiàn)，此類不知情定制均系不法分子使用客戶的手機(jī)號和客服網(wǎng)站密碼，通過手機(jī)登錄客服網(wǎng)站開通的?！澳壳安]有任何跡象顯示是中國移動網(wǎng)站被攻擊造成了客戶信息泄露”。

　　北京移動表示，為了客戶信息安全，目前已暫停了短信保管箱業(yè)務(wù)的短信查詢等功能，并正在對此業(yè)務(wù)進(jìn)行優(yōu)化，優(yōu)化內(nèi)容包括“不保存銀行下發(fā)的短信”、“只能查詢24小時前企業(yè)短信”、“需要動態(tài)密碼驗證”等，所有業(yè)務(wù)優(yōu)化會在8月底前完成。中國移動還提醒客戶盡快升級弱密碼，不要安裝來歷不明的軟件，避免密碼被盜。

　　記者昨天致電中國移動客服熱線，對方表示，移動短信保管箱業(yè)務(wù)是為了解決許多人手機(jī)短信容量不充足的問題，開通這項業(yè)務(wù)可以自動將用戶發(fā)送、接收的短信同步備份存儲到云端，用戶登錄移動官網(wǎng)就可以查詢備份的短信。移動客服人員稱，這項業(yè)務(wù)的云端數(shù)據(jù)受到多項安全保護(hù)，用戶只有通過手機(jī)號和密碼才能登錄，且登錄記錄會以短信形式反饋到手機(jī)上，用戶可通過向客服電話發(fā)送相應(yīng)短信代碼開通和取消該項業(yè)務(wù)，業(yè)務(wù)收費(fèi)為3元/月。

　　電信行業(yè)分析師馬繼華認(rèn)為，造成用戶驗證碼泄露的原因，可能是木馬病毒入侵導(dǎo)致的用戶信息被盜取。

　　■相關(guān)背景

　　快捷支付井噴帶來風(fēng)險

　　快捷支付是指用戶購買商品時，不需開通網(wǎng)銀，只需提供銀行卡卡號、戶名、手機(jī)號碼等信息，銀行驗證手機(jī)號碼正確性后，第三方支付發(fā)送手機(jī)動態(tài)口令到用戶的手機(jī)號上，用戶輸入正確的手機(jī)動態(tài)口令，即可完成支付。

　　快捷支付可以提高用戶體驗，但作為一個新生領(lǐng)域，也讓不法分子有機(jī)可趁。去年底中國銀聯(lián)一份調(diào)查數(shù)據(jù)顯示，移動支付井噴式發(fā)展的同時，風(fēng)險形勢變得更為嚴(yán)峻，有一成的受訪者遭遇過網(wǎng)上交易的詐騙，其中釣魚網(wǎng)站、木馬病毒以及虛假退款是主要的欺詐手段。

　　一股份制銀行反詐騙部門相關(guān)人士指出，快捷支付安全性較高，其驗證密碼只發(fā)送到客戶預(yù)留的手機(jī)號碼上，是唯一的識別密鑰。動態(tài)短信驗證密碼相較于U盾而言安全系數(shù)略低，但是在客戶體驗和安全方面的最大平衡。

　　不法分子通常通過兩種方式獲取個人信息，一是拼湊法，通過已經(jīng)被泄露的個人信息，進(jìn)行整合加工；另一方面直接攻擊平臺獲取個人交易信息。“所以短信動態(tài)驗證碼等必須妥善保管，不要輕信所謂低價網(wǎng)站、郵件、短信、聊天工具等發(fā)來的鏈接?！?/p>

　　■專家說法

　　打擊網(wǎng)絡(luò)詐騙需多部門聯(lián)動

　　一位警方人士表示，類似工行儲戶資金被盜的案件頻發(fā)，都是異地網(wǎng)絡(luò)詐騙，很難抓到不法分子，損失也很難找回。董希淼也指出，“關(guān)于維權(quán)問題，個人力量是很有限的，可以由工信部或者消費(fèi)者協(xié)會提起公益訴訟，同時通信公司與公安部加強(qiáng)合作，共同打擊犯罪?！痹谒磥恚┠陙碇袊W(wǎng)絡(luò)詐騙頻發(fā)，其中移動端風(fēng)險系數(shù)更是倍增，這需要用戶、公安系統(tǒng)、電信運(yùn)營商、銀行等部門聯(lián)動，否則事態(tài)改善空間非常有限。

　　多位受訪人士認(rèn)為，支付方式都存在風(fēng)險，但這種風(fēng)險不應(yīng)該轉(zhuǎn)嫁到客戶身上，建議通過保險的形式來保障儲戶的權(quán)益。

　　京華時報記者余雪菲古曉宇實習(xí)記者羅夢嬌趙雯琪