工行多位储户资金被盗刷 疑快捷支付存漏洞

毋庸置疑，快捷支付给人们网购带来极大便利，但由此引发的信息安全问题日益突出。近期，多名用户储蓄资金因此被盗刷，这究竟是怎么回事呢?

近日，工行北京地区多位储户资金通过快捷支付业务被盗。工行昨天回应称，“工行快捷支付曝重大漏洞”系误解，事发原因是不法分子使用非法手段获取了客户的相关信息和密码，再利用客户信息开通了客户手机的“短信保管箱”业务，从而获取交易验证短信并盗取资金。北京移动方面已经紧急暂停了相关业务，并表示如查实储户被盗刷资金确是移动的业务问题，愿意承担赔偿责任。

事件回放

多位储户资金被盗刷

7月9日，微博网友“公交姬”在微博上吐槽银行卡被盗刷事件，该网友被强制开通了北京移动的短信保险箱业务，不法分子通过快捷支付的手机动态密码完成盗刷。据记者了解，北京地区多位储户遇到类似情况，有类似经历的受骗者在社交工具上成立交流群，规模近20人。一时之间，工行“工银e支付”有重大漏洞的说法甚嚣尘上。

工行回应

工银e支付运营正常

针对储户资金通过快捷支付被盗一事，工行方面昨天表示，工银e支付业务运营正常，也未发生泄露客户信息的情况，储户资金被盗主要是由于其预留的手机被强行开通了中国移动的“短信保险箱”业务，不法分子盗取储户动态密码，进而通过快捷支付盗取资金。

工行在公告中表示，“近年来，多家支付机构和商业银行都推出了基于手机短信验证的快捷支付业务，这种小额支付方式方便快捷，受到了客户的广泛欢迎。我行的工银e支付业务也属于这种快捷支付业务，该业务开通时需要验证客户预留在我行的密码和手机号码，支付时需要验证我行向客户预留手机发送的短信验证码。只要客户保管好手机上的短信，安全性是有保障的。现在社会上一些不法分子利用非法手段窃取客户个人信息和认证短信，以盗取客户资金。为安全使用工银e支付业务，我行提醒广大客户务必保管好个人信息、密码，防止手机被植入病毒，防止认证短信被盗取。”工银e支付每日累计支付的最大限额是1万元，每月5万元。

中国人民大学重阳金融研究院客座研究员董希淼认为，这个事件的主要责任在运营商身上。

移动回应

移动已暂停相关业务

针对此事，北京移动回复称，其已关注到客户投诉以及媒体的，目前已与相关客户就解决投诉问题达成初步意向，并表示将积极配合警方调查取证，同时已与银行取得联系，查找风险漏洞。北京移动表示，正在仔细对比客户被盗刷时段的数据记录，如果查实确实是移动的业务问题，“我们愿意承担赔偿责任”。

对于短信内容泄露的原因，包括用户投诉的被强制办理短信保管箱业务，甚至退订之后再次被订购这项业务的情况，北京移动表示，已逐一对十余起类似客户投诉进行了仔细核查，通过后台网络日志发现，此类不知情定制均系不法分子使用客户的手机号和客服网站密码，通过手机登录客服网站开通的。“目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄露”。

北京移动表示，为了客户信息安全，目前已暂停了短信保管箱业务的短信查询等功能，并正在对此业务进行优化，优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等，所有业务优化会在8月底前完成。中国移动还提醒客户尽快升级弱密码，不要安装来历不明的软件，避免密码被盗。

记者昨天致电中国移动客服热线，对方表示，移动短信保管箱业务是为了解决许多人手机短信容量不充足的问题，开通这项业务可以自动将用户发送、接收的短信同步备份存储到云端，用户登录移动官网就可以查询备份的短信。移动客服人员称，这项业务的云端数据受到多项安全保护，用户只有通过手机号和密码才能登录，且登录记录会以短信形式反馈到手机上，用户可通过向客服电话发送相应短信代码开通和取消该项业务，业务收费为3元/月。

电信行业分析师马继华认为，造成用户验证码泄露的原因，可能是木马病毒入侵导致的用户信息被盗取。

相关背景

快捷支付井喷带来风险

快捷支付是指用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户的手机号上，用户输入正确的手机动态口令，即可完成支付。

快捷支付可以提高用户体验，但作为一个新生领域，也让不法分子有机可趁。去年底中国银联一份调查数据显示，移动支付井喷式发展的同时，风险形势变得更为严峻，有一成的受访者遭遇过网上交易的诈骗，其中钓鱼网站、木马病毒以及虚假退款是主要的欺诈手段。

一股份制银行反诈骗部门相关人士指出，快捷支付安全性较高，其验证密码只发送到客户预留的手机号码上，是唯一的识别密钥。动态短信验证密码相较于U盾而言安全系数略低，但是在客户体验和安全方面的最大平衡。

不法分子通常通过两种方式获取个人信息，一是拼凑法，通过已经被泄露的个人信息，进行整合加工;另一方面直接攻击平台获取个人交易信息。“所以短信动态验证码等必须妥善保管，不要轻信所谓低价网站、邮件、短信、聊天工具等发来的链接。”

佰佰提醒：类似工行储户资金被盗刷案件频频发生，对于这类网络诈骗，很难找到诈骗分子，损失也很难找回。因此打击网络诈骗需多部门联动，共同打击犯罪。

相关常识：支付宝遭遇莫名盗刷?揭秘支付宝遭盗刷的四种常见手段!

更多移动安全常识、信息安全资讯请关注本安全网站!