当前位置:>>消费者保护
分享到:
    发布时间:2017-10-11 15:04:27     文章来源:原创     点击量:74
修补手机银行安全漏洞 防止客户资金被盗

修补手机银行安全漏洞 防止客户资金被盗

 

  银行及其他涉及移动支付业务的机构,应不断创新技术手段,提高用户的信息安全系数,及时修补各种信息安全漏洞

 

文/吴繁 厦门银监局消保处

 

  近年来,银行业金融机构均将手机作为重要的创新金融服务平台,积极丰富便民服务品种,提升客户服务体验。但与此同时,随着科技的不断升级,诈骗手段也越来越先进,诈骗者不断寻找手机与银行业务融合链条中的薄弱环节,研究实施犯罪的新途径。结合近期出现的不法分子利用部分银行的电子银行漏洞、通讯运营商管理漏洞,以手机为媒介窃取用户关键信息,致使消费者资金被盗的案例,笔者试探析问题成因并提出对策建议。

  手机信息泄露导致客户资金被盗案例

  案例一:不法分子通过银行网银系统,更改或增加消费者绑定手机号实施盗刷。2017年1月6日,一名消费者投诉其银行卡绑定的手机号多了一个不明号码,卡内定期存款被转为活期存款,随后被分次转走。据了解,不法分子通过银行网银系统增加客户绑定的预留手机号码,截留银行发给客户的提示短信及交易验证码,把客户账户内的资金从定期存款转为活期存款或购汇,随后将资金转至异地他行账户。这一新型盗刷案例可以直接获取随机密码进行转账,相比以前其它原因造成的客户资金被盗刷风险更大,反映出一些银行的网上银行系统存在较大的安全漏洞。

  案例二:不法分子借助通讯运营商管理漏洞,免认证冒名补办手机备用SIM卡实施盗刷。一名消费者反映,某日其手机突然失去基本功能,起初以为是信号不好,没有太在意,晚上回家手机连接Wifi后,提示有人一直尝试登录其微信账号,且关联的两张银行卡相继被盗刷。该名消费者即刻报警,并于次日到通讯营业厅了解情况,被告知有人为其手机办理了一张免认证的SIM卡,并已激活使用。据了解,不法分子还通过补办的手机卡查询其所有银行账户,盗刷盗用银行卡。过去,手机SIM卡被盗办多发生在持卡人的身份证被窃取或手机丢失的情况下,而此次反映出的通讯运营商“免认证办理备用卡”方式将给银行客户带来较大的风险隐患。不法分子在掌握银行客户的身份证号、银行卡号、手机号等重要信息后,补办手机卡,使事主的手机无法使用,然后重设网银交易密码,利用截取的动态验证码短信将客户银行卡里的资金盗刷或转走。

  原因分析

  两起案例,案例一实质仍为冒用他人真实身份实施非法资金转移。银行转账支付后台流程复杂、链条长,安全性把控水平参差不齐,不法分子通过寻找银行转账系统链条上的薄弱环节,直接入侵银行网银系统,更改客户的重要身份认证信息,实现资金转移。案例二主要在于通讯运营商存在漏洞,不法分子利用通讯运营商补卡管理漏洞,更改消费者的重要身份识别信息,攻破了手机银行身份认证环节,在操作支付转账过程中,可随时盗刷银行客户的资金。这两起案例均为近年来发现的新型作案手段,环环相扣,隐蔽性强,风险极大。因此,如何应对新出现的风险挑战,成为银行业机构面临的重要课题。

  从银行层面而言,一是提高手机银行的安全技术保障。银行及其他涉及移动支付业务的机构和组织,应不断研发和创新技术手段,提高用户的信息安全系数,及时修补各种信息安全漏洞。尤其是用户的身份信息,应通过传输数据加密以及更安全的验证技术,实现多重身份认证,防范用户重要信息泄漏。二是银行应明晰自身的责任界定,不宜为“息事宁人”而混淆责任划分。三是应积极向消费者宣传风险防范知识,让公众清晰了解不同机构应承担的责任,争取公众对银行业机构的理解和信任。

  从监管层面而言,一方面,面对不法分子不断翻新的违法手段和行为,监管部门应加强与公检法、通讯运营商的沟通与协作,加大监管和打击力度,为消费者个人信息保护和资金账户安全使用营造良好的社会环境;另一方面,对于异常少见的业务模式,应要求银行业机构加强身份验证环节。2016年7月人民银行发布的《非银行支付机构网络支付业务管理办法》,重申了发卡银行应始终切实履行对客户资金安全的管理责任,以及银行在每笔支付交易中自主完成客户身份识别和交易验证的支付结算基本规则,督促银行审慎从严设计相关业务操作流程,严把身份识别关,避免和抵御此类外部风险的冲击。

  从消费者角度看,应提高风险防范意识,妥善保管个人信息。消费者应注意妥善保管个人身份信息、银行卡信息、金融服务密码、验证码;谨慎连接不明网络热点,谨慎点击网站链接或回拨对方提供的电话号码,提高密码的复杂程度。注意防范“撞库”“扫号”“拖库”等黑客手段。黑客会用技术手段入侵一些安全防范级别低的网站,取得大量的用户注册名和密码数据,再把这些用户名及密码跟网络银行、通讯运营商、支付宝、微信等有价值的平台进行匹配登陆。此外,还有专门的“扫号”软件,其可批量验证账号密码是否有价值。因此,消费者在不同网站应尽量使用不同的用户名和密码,尽可能为常用的银行卡开通余额变动提醒,将银行卡账户信息提示与手机绑定,及时掌握账户余额变动情况。

文章来源:节选于《中国农村金融》杂志2017年12期

 

附件下载:




电话:010-68981196 通用网址:中国农村金融网 网络实名:中国农村金融网

中华人民共和国电信与信息服务经营许可证:京ICP备12018315号-1 中国农村金融网版权所有