■新華社

　　“騙子登錄我的網(wǎng)銀就能買理財，U盾認證居然默認關閉，實在令人不放心?！比涨?，家住北京市西城區(qū)的王先生經(jīng)歷了卡在身邊“被理財”的遭遇，所幸王先生警惕性高，沒讓騙子得逞。

　　記者調(diào)查發(fā)現(xiàn)，近期這樣莫名其妙“被理財”的客戶不在少數(shù)，相當一部分人被騙走錢財。為什么會莫名其妙“被理財”？理的財去了哪？騙局是怎樣展開的？這背后暴露出部分銀行網(wǎng)銀服務多少漏洞？

　　騙子幫忙“代購”理財產(chǎn)品變味

　　日前，北京市民王先生忽然收到某銀行客服發(fā)來的短信：“您尾號××××卡7日15：46手機銀行支出1000元”。

　　隨后王先生接到自稱一家淘寶店客服的電話，詢問其是否購買了該店“如意金積存”？王先生表示沒有。緊接著“客服”稱，“如果不是您本人購買可以幫忙攔截，但是需要您手機短信上的驗證碼。”

　　接著王先生接到“客服”發(fā)來的短信：“您正在付款，驗證碼為31023，金額1000元……”

　　“不是攔截么，怎么成付款了？”心有疑慮的王先生表示要先和銀行核實一下，掛了電話。他與銀行客服聯(lián)系后證實，他的銀行卡確實支出1000元購買了“如意金積存”產(chǎn)品，但并非從淘寶購買，而是認購的一款貴金屬理財產(chǎn)品。

　　“恐怕是詐騙電話?！庇行┟靼浊闆r的王先生未將驗證碼發(fā)給“淘寶店客服”，果斷報警。

　　警方告訴王先生，近期遇到很多類似報案，手法類似。不法分子通過登錄受害人網(wǎng)銀，購買貴金屬理財產(chǎn)品，這時候存款還在受害人賬戶上，只是變成理財產(chǎn)品。騙子謊稱可以幫助阻截購買或贖回，騙取受害人短信驗證碼，從而盜取受害人賬戶資金。

　　“騙子的狡猾在于，受害人看到賬戶余額瞬間被‘蒸發(fā)’，一慌忙就容易落入陷阱，把驗證碼告訴騙子。”一位銀行從業(yè)人員告訴記者，值得注意的是，騙子索要的短信驗證碼并不能“贖回”理財產(chǎn)品，而是可以進行網(wǎng)絡購物支付、轉(zhuǎn)賬的短信驗證碼，從而把其他的存款悄悄轉(zhuǎn)走。

　　記者調(diào)查發(fā)現(xiàn)，近期像王先生這樣遭遇的人不在少數(shù)。廣州的李先生按照自稱“拍拍網(wǎng)”客服人員的要求提供了短信驗證碼，對方轉(zhuǎn)走1萬元后無法聯(lián)系……隨著北京、廣州、上海、青島、長沙等地類似案件陸續(xù)曝光，不少受害者還自發(fā)成立了QQ群，互助維權。

　　賬戶余額“蒸發(fā)”網(wǎng)銀安全有漏洞

　　一個騙局的完成，涉及多個流程和環(huán)節(jié)。記者梳理發(fā)現(xiàn)，這其中既有客戶保管個人信息不善被不法分子鉆了空子等原因，也和當前部分銀行推出的一些金融產(chǎn)品服務片面強調(diào)交易便捷、忽視安全管理，安全漏洞被不法分子利用有關。

　　——信息泄露是資金被騙的“禍首”。

　　這類事件中，不法分子首先要獲取客戶賬號、開戶信息、密碼、手機號碼等個人信息，這些信息通過多種渠道泄露，有的是保管客戶信息的單位工作人員泄露，有的是客戶個人保管不善，被不法分子誘導，登錄釣魚網(wǎng)站或被植入木馬程序等，導致賬戶密碼泄露。

　　專家指出，銀行應加大自查、內(nèi)查，謹防客戶信息被泄露。但如果由于客戶自身原因?qū)е滦畔⒈槐I，會給銀行在交易的辨識上產(chǎn)生一定困難。

　　——理財交易設定的認證級別較低。

　　記者了解到，目前網(wǎng)銀在轉(zhuǎn)賬、匯款、繳費的交易都得使用U盾，但基金、理財、貴金屬交易等投資交易的認證級別較低，默認不需要U盾驗證。業(yè)內(nèi)人士指出，大部分客戶對“如意金積存”等貴金屬交易不太了解，騙子利用這樣的“名字噱頭”好行騙。

　　記者了解到，“如意金積存”是一款貴金屬理財產(chǎn)品，客戶既可以選擇贖回，獲得現(xiàn)金，也可以提取實物黃金。不過，如意金積存買賣不僅根據(jù)每天市場行情價格實時浮動，而且每克贖回還有實時價格和贖回價格的價差，相當于銀行總能賺一筆手續(xù)費。

　　“目前購買‘如意金積存’的U盾認證是默認‘關閉’的，需要客戶開通?！蓖跸壬嬖V記者，“平時使用網(wǎng)銀轉(zhuǎn)賬幾百元錢都要使用U盾，但購買上萬元理財產(chǎn)品卻不需要，安全隱患一目了然。”

　　一位上海的受害人表示，騙子曾偷偷登錄他的網(wǎng)銀購買了11萬元的如意金積存，盡管錢沒被騙子騙去。但他第二天按照當天金價贖回時，損失7000多元。

　　——網(wǎng)銀登錄驗證缺失，快捷支付驗證安全風控不到位。

　　“此類詐騙頻繁發(fā)生，銀行有著不可推卸的責任?！蓖跸壬J為，“客戶的網(wǎng)銀在異地登錄，銀行應該明顯能發(fā)現(xiàn)登錄IP地址異常，但為什么沒有觸發(fā)風險預警機制？我從未接觸過貴金屬理財，這種不正常的交易行為為何沒有引起銀行風險監(jiān)控系統(tǒng)的注意？”

　　此類事件中，不法分子大都通過冒充商戶客服或銀行工作人員，獲取客戶快捷支付或e支付短信驗證碼盜竊客戶資金，這顯示出目前快捷支付存在驗證不足的問題。專家建議，用戶要妥善保管短信驗證碼，不要向包括網(wǎng)絡客服、銀行工作人員在內(nèi)的任何人提供密碼內(nèi)容。

　　防風險缺主動性大數(shù)據(jù)驗證待開發(fā)

　　記者從某銀行多個網(wǎng)點了解到，該行目前正在調(diào)查和梳理電子渠道貴金屬產(chǎn)品欺詐事件情況，并向受害人返還由于騙子“代購”而產(chǎn)生的交易手續(xù)費。

　　同時銀行做出安全提示，建議客戶制定網(wǎng)銀及手機銀行登錄短信提醒，及時了解電子銀行登錄情況；通過網(wǎng)銀或手機銀行“安全中心”欄目自助開通“理財類交易開通U盾認證功能”。

　　然而，王先生認為這樣做還遠遠不夠。

　　“銀行沒從自身防堵漏洞入手解決，卻要求客戶自己制定。為什么不是銀行主動提醒賬戶異常登錄、理財交易異常？”王先生認為，在資金安全方面銀行更專業(yè)，應該更主動提供服務。

　　中央財經(jīng)大學金融法學院教授黃震表示，不能因為使用的便捷性而忽視安全風險，在強大的技術支撐下，銀行完全可以考慮依據(jù)理財風險類型和交易額度設置認證方式?！跋褓F金屬交易這樣投資風險較高的理財交易應該默認開通安全級別較高的認證方式，以免給客戶帶來損失。”