廣發(fā)網(wǎng)銀系統(tǒng)在一次升級(jí)后，在北京、上海等地相繼有12名持卡人遭遇了類似的網(wǎng)銀失竊。都是犯罪分子在網(wǎng)上修改他們接收“動(dòng)態(tài)驗(yàn)證碼”的綁定手機(jī)號(hào)后冒名盜刷。資深黑客表示，這一系列案件說明，廣發(fā)網(wǎng)銀系統(tǒng)可能存在較大漏洞。記者調(diào)查發(fā)現(xiàn)，與其他銀行網(wǎng)銀設(shè)置相比，廣發(fā)網(wǎng)銀客戶信息更容易被冒名修改。

　　記者上午獲悉，部分被盜刷持卡人在被要求簽訂“對(duì)外保密”協(xié)議后，廣發(fā)銀行已經(jīng)為他們“先行墊付”了被盜刷金額。廣發(fā)工作人員表示，此舉并不意味著銀行存在過錯(cuò)。

　　盜刷案發(fā)

　　一覺醒來信用卡被盜刷了

　　葉先生告訴記者，他習(xí)慣睡覺前把手機(jī)關(guān)了。

　　7月4日早上，葉先生一覺醒來打開手機(jī)，5條來自廣發(fā)銀行客服95508的短信就讓他驚訝不已。

　　第一條短信顯示他的信用卡消費(fèi)了2000元。第二條是“尾號(hào)4497的信用卡余額不足，交易失敗”。后面的三條短信內(nèi)容相同，“尾號(hào)是1194的信用卡卡片有效期輸入錯(cuò)誤，交易失敗”。

　　“短信都是夜里一兩點(diǎn)鐘發(fā)的，我睡得正香，信用卡肯定是被盜刷了。”葉先生說。

　　葉先生介紹，5月20日廣發(fā)銀行系統(tǒng)升級(jí)后，網(wǎng)銀支付不再使用密碼，取而代之的是手機(jī)動(dòng)態(tài)驗(yàn)證碼�？蛻裘看蜗�費(fèi)100元以上，綁定的手機(jī)號(hào)碼就會(huì)收到動(dòng)態(tài)驗(yàn)證碼，用以在網(wǎng)上確認(rèn)。

　　葉先生說：“讓人奇怪的是，盜刷是通過網(wǎng)銀進(jìn)行的，但我的手機(jī)并沒收到動(dòng)態(tài)驗(yàn)證碼。我向銀行客服咨詢后，對(duì)方答復(fù)，驗(yàn)證短信發(fā)到一個(gè)138開頭的手機(jī)號(hào)碼上了。”這是北京號(hào)碼，葉先生當(dāng)著記者的面撥打，但是無法接通。

　　QQ維權(quán)12人遭類似盜刷

　　在與廣發(fā)銀行交涉過程中，葉先生發(fā)現(xiàn)一個(gè)廣發(fā)卡被盜刷者組成的QQ群。群里還有11人有著和他完全一樣的遭遇，大家都是在廣發(fā)網(wǎng)銀系統(tǒng)升級(jí)不久，重新填寫個(gè)人信息后被盜刷的。他們來自北京、上海、廣東、浙江等多個(gè)省市，初步統(tǒng)計(jì)被盜刷總金額有5萬余元。

　　經(jīng)過溝通，大家發(fā)現(xiàn)，他們的卡都是在上海環(huán)迅電子商務(wù)有限公司這個(gè)第三方支付平臺(tái)上被盜刷的，被盜資金都被轉(zhuǎn)入滕馳策劃公司。

　　12人中，除葉先生的手機(jī)動(dòng)態(tài)驗(yàn)證碼被修改為138開頭的手機(jī)號(hào)外，其余人的號(hào)碼全部被修改為159開頭的特定號(hào)碼，且都為北京號(hào)碼。

　　通過上海環(huán)迅公司，記者拿到一份騰馳策劃公司的聲明，稱其也是受害者，盜刷者是他們的一名會(huì)員，目前已無法與其聯(lián)系，其賬戶也被凍結(jié)。

　　錯(cuò)在卡主銀行說法引不滿

　　葉先生表示，他們?cè)谙驈V發(fā)銀行反映情況時(shí)，他們的客服中心工作人員表示，信用卡在網(wǎng)上被盜刷，很可能是客戶自己泄露了個(gè)人的資料信息和密碼，“要么是被熟人竊取了信息，要么就是上了釣魚網(wǎng)站或木馬病毒的當(dāng)。”持卡人對(duì)此說法紛紛表示不滿。

　　“銀行總說被盜刷的責(zé)任在我們，是我們沒保管好密碼，難道廣發(fā)就一點(diǎn)責(zé)任沒有嗎？”一位王先生說。他告訴記者，他的電腦里安裝了360安全衛(wèi)士、網(wǎng)購(gòu)保鏢等各種殺毒軟件，他很注意定期更新，電腦從未報(bào)警說有木馬。“我網(wǎng)購(gòu)6年，工行、招行、交行等銀行的網(wǎng)銀都有，且最近兩個(gè)月都用過，就算電腦被種了木馬，為什么別的網(wǎng)銀沒事，只有廣發(fā)卡被盜刷呢？”

　　質(zhì)疑漏洞

　　響應(yīng)升級(jí)完善資料后失竊

　　葉先生告訴記者，今年5月上旬，廣發(fā)銀行通過短信、公告等形式告知持卡人，該行網(wǎng)銀將于5月20日23時(shí)至次日12時(shí)暫停服務(wù)，全面升級(jí)，要求之前填寫資料不全的持卡人完善“個(gè)人資料”，包括卡片有效期和卡片背后的三位驗(yàn)證碼等內(nèi)容。

　　7月2日，葉先生登錄網(wǎng)銀，將尾號(hào)4497的信用卡的個(gè)人資料進(jìn)行了“完善”，對(duì)尾號(hào)為1194的卡片沒做處理。“就這么寸，‘完善’后的卡片兩天后就被盜刷了。”葉先生說。而其他受害者也都有和葉先生類似的經(jīng)歷。

　　存在漏洞個(gè)人信息易泄露

　　精通網(wǎng)站系統(tǒng)的資深黑客小魚(化名)表示，從被盜刷持卡人反映的情況來看，他們的個(gè)人資料被黑客用木馬程序或釣魚網(wǎng)站竊取的可能性很大。但他同時(shí)指出，這也說明廣發(fā)網(wǎng)銀的系統(tǒng)存在漏洞。

　　小魚說，“其實(shí)任何網(wǎng)銀系統(tǒng)都有漏洞，因?yàn)橄到y(tǒng)是人設(shè)計(jì)的，就必然有各種缺陷。所以銀行也會(huì)不斷地進(jìn)行系統(tǒng)升級(jí)，提高系統(tǒng)的安全性能。但是多人在同一時(shí)段因?yàn)橥瑯拥脑�因遭遇盜刷，說明這家銀行網(wǎng)銀的漏洞可能比較明顯、嚴(yán)重。而這一點(diǎn)也被黑客發(fā)現(xiàn)并鉆了空子。”

　　小魚進(jìn)一步分析，這起系列案其實(shí)也暴露出廣發(fā)銀行網(wǎng)銀系統(tǒng)在修改綁定手機(jī)號(hào)碼的問題上，存在安全隱患，因?yàn)樗�確實(shí)不如其他銀行的設(shè)置合理、安全。

　　記者調(diào)查銀行用U盾最多

　　剛接到讀者爆料時(shí)，記者隨即致電廣發(fā)客服，詢問如何修改接收動(dòng)態(tài)驗(yàn)證碼的手機(jī)號(hào)碼。對(duì)方答復(fù)，除到柜臺(tái)辦理外，還可直接登錄廣發(fā)網(wǎng)銀修改。

　　具體分兩種情況：之前設(shè)置過“私密問題”(指卡片的有效期和卡片背后的三位驗(yàn)證碼。)的，答對(duì)即可修改；未設(shè)置的可直接修改。重填資料后會(huì)有驗(yàn)證短信發(fā)送到新手機(jī)號(hào)上，輸入驗(yàn)證短信，手機(jī)號(hào)碼修改成功，原手機(jī)號(hào)不會(huì)再收到驗(yàn)證信息。

　　小魚認(rèn)為，這種設(shè)置貌似安全，但一旦系統(tǒng)存在漏洞被黑客攻破，客戶信息被竊取，所謂的“私密問題”也就不再“私密”，難以起到安全保障作用。

　　葉先生懷疑，犯罪分子就是“山寨”了能接收動(dòng)態(tài)驗(yàn)證碼的手機(jī)號(hào)碼后盜刷，他的正牌手機(jī)反而接不到短信，“手機(jī)驗(yàn)證關(guān)”失靈了。

　　記者此后調(diào)查多家銀行發(fā)現(xiàn)，大多數(shù)銀行的網(wǎng)銀使用ukey (一種通過USB直接與電腦相連、具有密碼驗(yàn)證功能的存儲(chǔ)設(shè)備，如工商銀行的U盾)作為安全保障。

　　招商銀行雖然也使用動(dòng)態(tài)驗(yàn)證碼，但其客服人員表示，更改驗(yàn)證手機(jī)號(hào)碼不能通過網(wǎng)銀進(jìn)行，只能在柜臺(tái)修改。

　　最新進(jìn)展

　　更新設(shè)置備案手機(jī)接提醒

　　記者近日登錄廣發(fā)網(wǎng)銀的官方網(wǎng)站發(fā)現(xiàn)，網(wǎng)銀已經(jīng)推出一套新的安全模式。網(wǎng)銀客服告訴記者，由于原先系統(tǒng)的安全級(jí)別不夠，已修改了部分安全內(nèi)容。

　　在新系統(tǒng)下，想修改接收動(dòng)態(tài)驗(yàn)證碼的手機(jī)號(hào)碼，需先在網(wǎng)上填寫原來的手機(jī)號(hào)碼，網(wǎng)銀會(huì)向該號(hào)碼發(fā)送驗(yàn)證短信，成功接收并將驗(yàn)證內(nèi)容在網(wǎng)上填寫正確后，才可將號(hào)碼更改為新號(hào)碼。同時(shí)，新網(wǎng)銀系統(tǒng)具備登錄短信提醒功能，登錄網(wǎng)銀時(shí)系統(tǒng)會(huì)自動(dòng)給備案手機(jī)發(fā)送一條通知短信。

　　先行墊付賠錢先簽保密協(xié)議

　　9月20日，數(shù)名受害者告訴記者，廣發(fā)銀行總行已經(jīng)對(duì)他們反映的問題作出答復(fù)，要求他們簽署了一份“先行墊付”協(xié)議，然后將盜刷金額先退還給他們。

　　但協(xié)議中附加了保密條款，要求獲得退款的客戶“對(duì)外保密”，不得外泄協(xié)議內(nèi)容。

　　記者上午獲悉，已經(jīng)有部分人拿到了退款。

　　據(jù)悉，廣發(fā)銀行總行已成立專案組，對(duì)這起群體性失竊案進(jìn)行調(diào)查。

　　持卡人姜先生告訴記者，他發(fā)現(xiàn)網(wǎng)銀失竊后報(bào)案，東城警方目前已經(jīng)刑事立案，警方正在偵查中。

　　廣發(fā)回復(fù)墊付不意味有錯(cuò)

　　昨天下午，記者致電廣發(fā)銀行總行公共事務(wù)部詢問此事，接線人員表示稍后給予答復(fù)。隨后，一位女工作人員回電表示，將于傍晚做出書面答復(fù)。但截至記者上午發(fā)稿時(shí)，書面答復(fù)仍未收到。記者再次致電相關(guān)部門，得到“昨天處理這事的人不在，得問一下”的答復(fù)。

　　在昨天的采訪交涉中，女工作人員提到，雖然銀行已經(jīng)對(duì)部分受害者“先行墊付”，但這并不意味著銀行存在過錯(cuò)。“先行墊付”是對(duì)于特殊、緊急情況下出現(xiàn)問題的應(yīng)急處理。“如果調(diào)查到最后，發(fā)現(xiàn)銀行不存在問題，這筆錢我們還會(huì)再要回來。”她說。

　　律師說法

　　網(wǎng)銀失竊持卡人難得賠償

　　據(jù)悉，在北京，尚無網(wǎng)銀失竊后法院判決銀行承擔(dān)賠償責(zé)任的先例。

　　法院普遍認(rèn)為，黑客通過種木馬竊取儲(chǔ)戶個(gè)人資料，屬于“因個(gè)人原因?qū)е滦畔⑿孤?rdquo;，儲(chǔ)戶應(yīng)承擔(dān)不利后果。儲(chǔ)戶如不能提供證據(jù)證明銀行存在過錯(cuò)，銀行不承擔(dān)責(zé)任。

　　北京市雙利律師事務(wù)所律師劉琳認(rèn)為，由于專業(yè)能力所限，讓儲(chǔ)戶和律師去證明網(wǎng)銀系統(tǒng)存在漏洞，根本做不到。不少律師也表達(dá)了類似觀點(diǎn)。

　　異地被盜可在申領(lǐng)地報(bào)案

　　劉琳認(rèn)為，遇到網(wǎng)銀失竊，持卡人應(yīng)在第一時(shí)間報(bào)案，然后再與銀行協(xié)商。“越早破案，贓款追回的可能性越大，直接從犯罪分子手里要回錢，比從銀行手里要錢容易得多。”他說。

　　劉琳告訴記者，根據(jù)公檢法聯(lián)合發(fā)布的《關(guān)于信用卡詐騙犯罪管轄有關(guān)問題的通知》，對(duì)以竊取、收買等手段非法獲取他人信用卡信息資料后在異地使用的信用卡詐騙案，持卡人可在信用卡申領(lǐng)地的公安機(jī)關(guān)報(bào)案。即持卡人在北京辦卡，被外地犯罪分子在網(wǎng)上盜刷，可以直接在北京報(bào)案。