银行卡被盗刷19万！他立即做了这事 银行不得不赔偿
　　2014年3月的一天，在西安出差的大连人李先生发现自己的一张银行借记卡被人在山东临沂市盗刷近20万元！李先生当即报警，并且他立即做了这几件事，最后银行全额赔偿了损失！赶紧学起来！　　根据短信提醒，这张卡在山东临沂市某商行划款两次，合计19万元，同日，又于ATM机取现四次，数额合计4000元。　　事情发生的非常突然，但是李先生冷静的做了以下几件事：　　第一步：李先生立即向西安市公安局经济犯罪侦查大队报案。　　第二步：并于当日用其随身携带的该借记卡在一家银行陕西分行向该卡中存款100元，在另一家银行陕西分行从该卡取款100元。　　第三步：之后，李先生又赶到临沂市向临沂市公安局兰山分局报案，该局受理此案后出具受案回执，该案正在侦查中。　　第四步：随后，李先生将某银行诉至法院请求银行向其赔偿194000元。　　法院：银行承担举证不能后果　　原审法院认为，李先生在某银行办理了借记卡，双方形成了储蓄存款合同关系，该储蓄存款合同合法有效。本案中，案外人持伪造的通过ATM 机、POS机交易系统多次交易，说明被告制作的银行卡存在其真伪不能被ATM机和POS机识别的缺陷，被告未能履行保护储户存款安全的义务。　　某银行提出其已尽到保障储户安全的义务，卡被盗刷责任在李先生，但其未提供证据予以证明，某银行应承担举证不能的法律后果，故对李先生的诉讼请求予以支持。　　某银行不服原审判决提起上诉，大连中院二审驳回上诉，维持原判。　　提醒：发现被盗刷要证明真卡在手　　如银行卡被盗刷，当事人首先就面临如何证明银行卡被盗刷的事实，本案中李先生的做法值得借鉴。首先，当事人应保存银行发送的短信提醒；其次，应 找最近的银行在最短的时间使用自己办理的银行卡进行存、取款操作，以此证明该银行卡在被盗刷时真卡在当事人手中；进行完上述操作后应立即向公安机关报案， 这样在向银行主张权利时才有据可查。　　此外，一般这类案件银行都会主张因案件涉及刑事犯罪，根据“先刑后民”的原则，案件应移送公安机关处理，银行的这种主张其实并不能成立，根据 《最高人民法院关于在审理经济纠纷中涉及经济犯罪嫌疑若干问题的规定》第一条、第十条的规定，此类民事案件可以独立于刑事案件受理和审理。　　需要说明的是，银行卡的操作离不开两样东西，第一就是需要有银行卡，第二是必须要有正确的密码，如果银行举证证明了当事人存在泄露密码的事实， 那么当事人就应对此承担相应责任，因此在使用银行卡时一定要保护好密码，在公共场合及与别人谈话、交流及上网聊天时也应尽量避免将密码泄露，以免留下隐 患。((,))　　收藏吧！最全银行卡盗刷骗局及应对策略　　最近银行卡异地盗刷的案件频频发生。盗刷手段多元，损失金额也不小。即便你手持银行卡不作为也能躺着中枪“死”得不明不白，今天小编为大家整合了银行卡盗刷的主流骗术和应对方法，大家仔细看，别忘了分享给家人和朋友，这比什么礼物都实在。　　一.挂失的银行卡仍被盗刷　　之前陈女士接到一条10086发来的积分兑换现金短信。陈女士点击进入短信提示的网址，按照要求输入银行卡号和密码。输入后，陈女士没有收到任 何提示，她开始怀疑，拨打10086进行确认。工作人员回答，10086没有这样的活动。意识到被骗，陈女士给银行客服拨打电话挂失，并要求给挂失的银行 卡进行消费登记。隔了十天后，陈女士发现银行卡依旧被盗刷6000余元。　　原因：自己将银行卡挂失后并未到银行柜台办理手续，5天后银行卡就自动解除冻结照常使用。　　提醒：电话银行挂失一般保持5-7天，如当事人未及时到银行柜台进行处理，电话银行挂失将自动解除冻结。临时挂失是有时间限制的，不要掉以轻心。　　二.手机短信盗刷　　杨某在饶城通过携带的伪基站发送群发短信。被害人张某手机接收到发送的虚假中国移动客服10086短信，短信内容要求张某兑换移动积分换取现金 奖励，张某通过对链接的访问，在兑换界面填写了姓名、银行卡号、身份证号、预留手机号和取款密码等后信息被木马病毒程序窃取，导致张某的银行卡被杨某联系 的网络洗钱黑客所控制，并通过网银进行消费，张某2张银行卡被盗刷3850元。　　原因：犯罪分子通过群发网银升级的虚假信息，注明需登录的网站地址，实为钓鱼网站；以“已扣年费、服务费”等名义发送短信，吸引用户回拨400开头的号码查询，犯罪分子以所谓银行工作人员的名义，骗取储户的个人信息，进一步诱骗储户在ATM机或网上银行进行转账交易。　　提醒：银行卡信息不能随便在网站上输入，也不应轻易口头告诉任何客服人员。　　三.补办手机卡　　黄女士报警称：其手机、银行卡、身份证都在身边，卡内现金被盗刷近10万元。此前，黄女士发现其手机卡出现问题，有一段时间没有接到任 何电话和短信，经向通讯运营商询问，得知手机卡已被他人补办。而嫌疑人通过非法渠道获得受害人黄女士的信息后，伪造了黄女士的身份证并补办了她的手机卡。 此后，谢某等人通过截取黄女士的网上银行手机验证码，疯狂盗刷绑定的银行卡内资金近10万元。　　原因：犯罪分子甚至都互不相识就可以充分合作，通过网络盗取他人巨额钱财，这是当前时代新的犯罪形式。不过互联网时代一个更重要的特征就是无论在网上做什么，都会留下蛛丝马迹。　　提醒：一定要办银行卡短信提醒服务，实时监测自己的余额变化情况，及早做出反应。　　四.假POS机盗刷　　近期先后发生多名受害人所持银行卡被他人盗刷案件。犯罪嫌疑人在各大小区内，促销食用油，以不收现金只接受银行卡POS机刷卡消费方式骗取受害人刷卡购油、购米。受害人所持十余张银行卡陆续在异地被盗刷20余万元。　　原因：犯罪嫌疑人可以通过POS机加装测录器盗取受害人银行卡信息。　　提醒：在POS机刷卡要警惕，最好只在大型正规的商户刷卡，不要随便在小店刷卡。　　五.网购三种盗刷　　1、谎称代为处理骗取验证码　　上月,消费者王先生在唯品会网站下单购买了一双鞋。当天下午,他接到了自称是唯品会客服的来电,称因物流出现问题货物无法送达,要给王先生退款。因为对方能准确报出其订单,商品名称、邮寄地址等一系列信息,王先生并没有对“客服”的身份产生怀疑。　　随后,王先生打开了对方发过来的“唯品会的退款专用网址”链接地址,并按提示输入银行卡号、验证码和身份证等个人信息。由于一直无法输入银行提 供的验证码,对方要求王先生直接把验证码告诉他,说帮其处理。“客服”也表示网络有故障无法输入,王先生连续几次把最新接收到的验证码告知了“客服”。直 到接到银行客服的电话,王先生才发现银行卡被盗刷13900元。　　2、报信息发链接步步设陷阱　　与王先生不同,刘小姐每每接到骚扰电话,她会立即挂断让“骗子”无计可施。但是,上月她也中了“客服”的圈套。　　在下单购买鞋子的第二天,刘小姐想取消交易,但因找不到退款按钮,她咨询在线客服。她回忆,客服在后台办理了退款流程,当时状态为未发货。当 天,她接到自称唯品会客服的电话,告诉她因系统升级,退款需线下办理。当时刘小姐并未相信对方所言,但对方报出她购物的下单时间、商品、收货人及地址等, 这让刘小姐打消了疑虑。　　随后“客服”发来QQ号要求加为好友,并发来了退款链接。刘小姐按提示填入银行卡号、身份证号和手机号码后,收到银行的扣款短信。发现被转走14500元,她马上挂断电话,挂失银行卡,并向当地派出所报案。　　3、黑客“撞库”盗取交易信息　　不法分子使用“撞库”的方法登录网站,获取用户交易信息后实施诈骗。由于很多消费者在不同网站使用的是相同的账号密码,黑客利用在其他网站获取的信息尝试登录该网址,在获取用户交易信息后再冒充客服人员实施诈骗。　　提醒：　　1.涉及到QQ交谈就要注意，一般的大型正规网站是不会通过QQ进行沟通操作的。发给你的退款链接什么的更不要填，一旦给你什么链接涉及到账号密码你就应该警觉了。　　2.退款链接格外小心，不要随意点开填写信息。　　3.手机验证码是你财务安全非常重要的一个环节，而很多骗子迂回战术就是为了得到它。　　4.银行卡和购物网站账号密码尽量不要都使用一种，以免一边被盗全部中招。　　5.芯片卡，芯片卡，芯片卡，是磁条卡的赶紧去换芯片卡，那些被复制盗刷的多半是磁条卡，为了财产安全，这点小奔波千万别犹豫。 (小融读财)　　震惊！废弃银行卡不销户 或被卷入法律风险　　作为个人信用标志的银行卡竟被当作商品在网上倒卖。根据央行公告，去年12月起至2015年7月，央行会同相关部门，联合整治银行卡网上非法买卖专项行动。记者昨日查询淘宝网及等分类网站，发现收购和贩卖银行卡的店铺信息已集体消失。　　不过，在一些社交网站，涉及银行卡买卖的聊天群依然活跃，全套卡信息甚至明码标价卖到800元。对此，专业人士提醒，居民手中的废旧银行卡不要图省事儿顺手扔掉，以避免个人账户信息泄露甚至可能卷入非法交易的法律风险。　　交易银行卡最高获刑10年　　记者在采访中发现，将废旧银行卡“直接扔掉”的市民不在少数，他们的理由大多是：“卡没钱了不就等于废了？”但对于废旧银行卡如被不法分子恶意利用的危害，大多数人并不知情。　　在一个上百人的QQ聊天群中，记者以“买卡刷淘宝信誉”的理由申请加入并联系到两个卖家，他们都声称“只卖卡不收卡”。谈到银行卡来源，卖家坦 言“一部分是回收废卡，还有一部分是花钱买个人信息去银行冒名开户”。价格方面，目前的行情是工行一套800元，建设、民生、农行的卡一套700元，其它 600元。而这“一套”，是指非常“齐全”的个人信息，除银行卡之外还有带网银的U盾、身份证信息、开户资料和开户手机卡，“不要U盾再便宜200元”。　　对于收卡行为，北京岳成律师事务所律师岳嫔浇邮芗钦卟煞檬北硎荆骸靶谭ㄖ杏忻魅饭娑ǎ欠ǔ钟兴数量在五张以上的，就有可能构成犯 罪，这个罪名是妨害信用卡管理罪。虽然说是信用卡，但是根据全国人大常委会相关法律解释来看，具有电子支付功能的银行卡，都可以纳入信用卡的范畴之内。”　　另据了解，一些银行卡的价值让它摇身一变成了“藏品”。在“7788商城”，一些年代较早或纪念版的银行卡标价均在几百元，有些甚至高达万 元。岳嫔浇馐停赜谝锌ㄊ詹兀壳吧形薹煞ü娑源俗鞒雒魅饭娑ā！靶庞每蛘咭锌ㄖ荒苁潜救耸褂茫荒芙韪嘶蛘叱鍪鄹耸褂谩Ｊ詹毓讨幸 问清银行卡来源，否则可能构成犯罪。”　　根据现行法律规定，银行卡内个人信息如因售卖或废弃而泄露，持卡人最终虽然不会承担法律责任，但因不法分子利用卡内信息进行违法犯罪活动，最终会追溯到核心账户，导致个人信用受损，甚至承担连带责任。　　中国人民银行有关负责人提醒，非法买卖的银行卡、身份证等可能被用于洗钱、逃税、诈骗、送礼和开店刷信用等行为，扰乱了正常的社会秩序。而交易 银行卡达到一定数量，就会面临着最高可处3年以上10年以下有期徒刑，并处2万元以上20万元以下罚金。《居民身份证法》也规定，冒用他人居民身份证或者 使用骗领的居民身份证的，购买、出售、使用伪造、变造的居民身份证的，将依法追究刑事责任。　　银行卡销户普遍不收费　　记者从多家银行获悉，储蓄卡和信用卡销户普遍不会收取手续费，但信用卡需要还清欠款，部分储蓄卡可能需要补交欠下的小额账户管理费。　　储蓄卡可通过两种方式销户：一是本人注销，市民本人带身份证和银行卡去开户当地城市的网点柜台办理销户；二是银行自动注销。多数银行都规定，信 用卡销户最好通过电话办理。注销信用卡之前，要确认卡内无欠款、也无多余存款。待客服核实信息后会告之注销成功，45天之内没有任何存取款情况就自动销户 了。(,)工作人员告诉记者，信用卡如因个人原因不再使用，自行损毁磁条后账户依然存在，对于不再使用的信用卡一定要办理销户，否则很可能会影响个人信 用。　　工商银行的工作人员告诉记者，目前市民使用较多的是磁条卡，而磁条卡比较容易被复制。因此，废弃银行卡最安全的处置方式是及时办理销户，并将卡片磁条毁损。同时，居民应将手中的磁条卡尽快升级为芯片卡。　　睡眠卡或被收取管理费　　多数居民抽屉中，可能都会扔着几张不常用的银行卡，里面还有多少余额都说不清。　　在银行系统中，通常6个月以上从未使用过的卡，或者新申领但没有激活的卡，都被称为睡眠卡，约占目前银行发卡量的10%。这些睡眠卡会不会因为年费、小额账户管理费等收费反而倒欠银行的钱，会不会影响个人信用？　　内人士称，与信用卡不同，储蓄卡不注销也不影响个人征信记录。这意味着，普通储蓄卡如果不去主动注销的话，对市民而言最大的损失是里面的 余额或被扣至零。但多个账户并存导致的资金分散管理，对消费者并不划算，因为多数银行会征收小额账户管理的费用，以鼓励消费者主动清理睡眠卡，只有少数银 行对小额账户免收管理费。　　记者在询问了工商银行、、农业银行、、(,)等多家银行后发现，大部分银行对多年不用的借记卡都会采取在一定期限后转为“睡眠卡”的方式。“睡眠卡”期内，如要恢复卡片使用需要补齐欠款。在转为“睡眠卡”后，三年至五年时间内银行会自动注销卡片。　　主要银行对睡眠卡收费标准　　工行：账户当季日均余额不足300元，就会被银行自动扣收每季度3元的管理费、10元年费。欠费一年半，银行自动销掉账户。　　农行：账户当季日均余额不足500元，会被银行自动扣收每季度3元管理费、10元年费。欠费一年半，自动转为“睡眠户”。转为“睡眠户”开始，五年内无交易则会被销户。　　中行：借记卡每年会被收取10元年费，如果余额不足，会形成欠费，如果想注销或者重新使用该账户，需补齐欠费。账上余额为零满一年，且3年没用的账户，会被银行销卡。　　建行：账户当季日均余额不足300元，银行自动扣收每季度3元的管理费、10元的年费。账户余额为零，连续3年(含3年)无交易的借记卡，银行自动销卡。　　交行：借记卡每年会被收取10元年费，如果连续2年没有扣到年费，那么银行会为客户自动销卡，期间客户如果自己去销卡需要将欠费补上。(北京日报)　　银行卡、手机和身份证同时丢了第一时间该怎么办?　　[手机、身份证、银行卡，被称为当今社会百姓出门必备的随身“三件宝”。这几样东西虽说生活属性不同，但却又彼此相互依附，有着千丝万缕的 关系。4月9日，针对近期不少市民所反映的“三件宝”同时丢失该怎么办的问题。太原警方通过官方为网友支招，一时间，众多网友转发，直呼“实用应急帖”。　　问题1　　银行卡丢了，没身份证怎么挂失？　　“我的钱包丢了，现在银行卡和身份证都没了，没法挂失银行卡怎么办？”几天前，市民陈先生从大同探亲后返回太原，从客运站打车到家准备付费时， 陈先生发现自己的钱包不见了。因为自己的银行卡密码就是身份证的后六位，发现钱包丢失后，陈先生立即打车来到银行打算办理挂失业务。可对此，银行客服人员 的答复却是，必须要用本人身份证才能挂失。“不挂失，担心窃贼猜对密码取走卡内数万元现金。想挂失，身份证却又不在身边。”在众多遭遇丢钱包的市民中，相 信如陈先生一样面对此无解难题的人，不在少数。对此，太原警方支招，类似情况中，持卡人只有持本人身份证和银行卡才能将钱取走，但不排除不法分子冒充户主 取钱的情况。如果持卡人的银行卡和身份证一同丢失，又无法在银行网点办理正式挂失。那么，为降低银行卡被盗取的风险，应在第一时间致电银行进行口头挂失。　　采访中，记者拨打多家银行客服热线进行咨询。客服人员告诉记者，持卡人通过电话进行口头挂失时，需要提供身份证号码、银行卡号、开户时间和地 点、账户大致余额等信息，一旦确认你是卡主后就会立即冻结账户，保护你的卡内资金安全。其中，提供正确的身份证号码是关键 (大多持卡人记不住银行卡号)。此外，大家还需要注意的是，口头挂失属于临时挂失。大多银行的有效期为5天，在时效性范围内，银行会对持卡人的账户进行冻 结，超过时效后，冻结会自动解除。　　为此，失主应在挂失银行卡的有效期内，尽快办理好临时身份证。然后，凭借临时身份证及时到银行网点补充一个正式挂失，并补办一的银行卡。如果持卡人在口头挂失的有效期内无法及时补充正式挂失，也可以通过续挂的方式延长口头挂失的时效。　　问题2　　丢失的手机开通了网银怎么办？　　现如今，很多人的手机不是开通了手机支付功能，就是安装有手机银行APP。那么，如果丢失的“三件宝”中，手机开通了上述功能，你的银行卡账户会遭遇哪些威胁呢？　　以所丢的手机开通微信支付功能为例。记者点击手机上的微信图标，无需登录便可直接进入支付页面。此后，点击找回密码功能。而这个时候，微信找回 密码的条件信息包括：卡号、有效期、姓名、身份证号、手机号。而这些内容信息，外人若持有你的身份证及相关银行卡，便可轻易完成提交。在正确完成上述信息 的填写后，手机将会收到一个验证码，根据此验证码，便可轻易重置微信支付密码。通过测试记者发现，若仅丢失开通了支付功能的手机。你银行账号的安全，直接 与手机密码和账户密码的安全系数挂钩。但若“三件宝”皆丢，此类安全关卡将变得不堪一击。“安全起见，第一时间还是办理手机银行解绑业务。”采访中，警方 建议，如果丢失的手机上有使用手机银行、微信银行，必须第一时间办理手机银行解绑。目前有三种途径：第一种，若你的银行卡配有网银U盾，可直接登录网上银 行，解除手机与银行卡的绑定。第二种，没有U盾的，可持身份证去银行办理解除。第三种，拨打银行客服电话进行解除手续。　　此外，警方还建议广大市民，除了第一时间解绑手机银行业务，还需要前往银行营业厅更换“预留手机号码”的资料。对此，多家银行客服人员表示，预留给银行的手机号码是非常重要的客户信息，进行网上银行、手机银行业务时，经常需要通过手机短信发送验证码。　　“三件宝”丢失勿惊慌警方支招标准操作步骤　　针对手机、银行卡、身份证同时丢失，可能面对的不同情况，警方为大家专门提供了“标准操作”步骤。　　首先，出现手机、银行卡等物品遗失后，失主应第一时间致电手机运营商客服挂失手机号；并致电银行卡客服，提供身份证号、银行卡号等信息口头挂失 银行卡，其中常见银行客服为：中国银行9，农业银行95599，工商银行95588，(,)95568，交通银行 95559，(,)95577，招商银行95555，浦东发展银行95528，(,)95561，光大银行95595。　　如手机绑定支付宝的失主，可拨打95188挂失；微信用户可登录http://冻结微信账号；如要办理身份证，前往常住户 口所在地派出所申报即可，但需提前到图像采集点拍摄制证照片，办证时带上户口簿和相片；失主在拿到相应证件证明后，就可补办手机卡或银行卡了。　　此外，针对挂失、补办新银行卡通常需要花费一周左右的时间。若持卡人此时又急着用卡内的钱，记者从多家银行获悉，如果持卡人开通过网上银行(或 手机银行)，可以第一时间通过网上银行，将账户内资金转移到自己另外一张卡内来规避盗刷风险。此举，不但可以节省一笔挂失费用，还可以避免耽误正常的用卡 计划。不过，一定要保证在银行卡丢失时立即完成转账，否则转移资金没完成就被盗刷了，持卡人自己要承担损失的风险。　　在此，警方提醒广大市民，平时不要将银行卡和身份证放在一起。设置密码的时候不要让密码有迹可循。比如生日号码，电话号码等，最好是随机组合的六位数字，并且牢记，不要随便透露。(山西晚报)
（责任编辑：HN666）
07/24 05:0407/23 03:4707/22 11:1407/21 10:2307/20 11:4807/12 12:0407/10 03:2007/06 11:37
银行精品推荐
特色数据库：
精品栏目：
每日要闻推荐
社区精华推荐
精彩专题图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。工行卡被盗刷分析：银行卡里的钱是怎么丢的？
【编者按】银行与运营商，客户与银行，运营商与客户，只要留下数据痕迹，每一个环节都有可能出现纰漏让攻击者有机可乘。银行希望提供更加便捷的小额支付服务，吸引更多的用户使用 ；运营商希望提供更多的增值服务，从而形成长尾效应，创造更高的附加值。本文并非针对工行、移动，任何银行与运营商都有可能发生。雷锋网作者shotgun是安全领域的专家，他希望借此来探讨当下方便快捷的网络支付所潜藏的安全隐患，给三方警示，从而能更好地保护我们的财物安全。
那么，在支付交易的过程中，运营商、银行、用户，三者之间如何协作？哪个环节会出现纰漏？用户银行卡里的钱是怎么丢的？
事件回顾（主人公视为小王）：
为了方便理解，提取这个过程的几个节点：
２015年7月1日，小王发现自己被强制开通了10086的短信保管箱业务。第二天，小王就修改了自己的10086密码。
7月6日，小王收到近10条自己在各种网站注册账号的验证码信息； 小王再次发现自己被强制开通了短信保管箱业务；&几分钟后，工商银行向受害者发来短信验证码，显示工商银行卡B中一笔9990元的存款正在转账。
这个事件中，我进行了以下这些推论分析：
第一，用户的手机应该是干净的。也就是说，没有被植入木马后台。
一般来说，网银攻击者喜欢使用手机木马来直接盗取他人的钱。
手机木马的工作原理: 一般工作在安卓或者越狱后的苹果手机上（近期也出现了不需要越狱就可以植入的苹果木马），利用APP或者手机操作系统的漏洞，不仅仅可以截获短信、窃听通话，甚至还可以直接拿到手机银行的帐号和交易密码。
手机木马不仅可以偷取网银的账号密码，还可以直接读取验证短信。换句话说，如果有手机木马，那么是不需要通过短信保险箱来获取验证短信，也不需要多次尝试取款密码。但是从小王被强制开通了10086的短信保管箱业务可以看出，攻击者并没有直接在手机上读取认证短信，所以排除了手机被植入木马后台的可能。
第二，攻击者不是通过入侵银行的服务器来窃取。
如果攻击者拿下了银行的服务器，那么就可以直接转帐到自己的帐号，根本不需要短信验证，即使有短信验证的环节，服务器上也可以直接读取，压根不需要短信保管箱。就算银行的监管系统和支付安全一直都饱受质疑，但是不可否认的是，绝大多数银行服务器的保护措施都比个人电脑高很多，不只是一个级别的差距。所以，出现网上银行服务器被攻破的概率相对较小。
在这个事件中，小王同样是被强制使用短信保管箱，那么也就说明，攻击者并非通过入侵银行服务器来窃取的。
第三，小王的电脑、网关中应该有一个出了问题。
电脑、网关的运行过程如下：
在这个过程中，攻击者只需要利用安全漏洞获得受害人电脑或者网关中任意一个的权限，就可以读取到受害人的银行卡号、 手机号码等等信息。但是因为银行的网银系统受到安全控件的保护，所以取款密码是很难直接读取，这就是攻击者多次尝试导致银行卡被锁的原因。
而当小王修改移动运营商的网站登录密码时，由于移动运营商的网站安全级别远低于网银，所以该密码很容易被攻击者直接窃听到。
小王B卡的卡号在第二天就泄露，他在修改了手机的网站登录密码后，攻击者还是可以强行打开短信保管箱。虽然我们目前还没能检查过小王的电脑和网关，但是攻击者通过电脑木马或者网关劫持获取受害人的帐号的可能性很大，而小王的手机号码，也很可能是通过类似的方式被获得的。
所以说，这个环节中，小王的电脑、网关中应该有一个出了问题。根据工行做出的回应，事发原因是不法分子使用非法手段获取了客户相关信息和密码，再利用客户信息开通了客户手机的&短信保管箱&业务，从而获取交易验证短信并盗取资金。当然，银行方面的责任不可推脱，这里就不具体展开，后面&e支付&会再说明下。
第四：移动运营商业务的安全风险控制存在漏洞。
１、短信保管箱业务本身存在的较大风险未能事先评估出来。
短信作为包含用户隐私，甚至经常会携带支付认证信息的服务，提供云保管服务应该更加慎重。例如应该由用户亲自前往营业厅才能够启用，或者至少允许用户可以禁用该服务，直到亲自前往营业厅解禁。
２、允许通过wap方式启用短信保管箱服务，使得第三方可以强行打开该服务，从而劫持敏感的短信。
根据移动公司的回应：&目前经过后台网络日志显示，不知情定制均系有人使用客户的手机号和客服网站密码，通过手机登录客服WAP页面开通，目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。&
原本&短信保管箱服务&必须本机回复短信才能够激活，但是因为系统上线时未能仔细检查老旧的wap服务接口，使得攻击者通过wap服务绕过了本机短信验证环节，最终导致了小王的网银失窃。
正常情况下运营商一个新业务上线应该做风险评估的。而wap是老业务，短信保管箱是新业务，运营商疏忽了这个环节，或者说，攻击者的脑洞开得很大，运营商并没有想到会有人用老古董业务去开新业务。如果运营商有行动，这个环节的纰漏会有很大的概率被发现，完全可以关掉通过wap开保管箱这条路。不过，经过这次事件之后，运营商应该会把wap申请关掉。
尽管就像移动说的那样，并非&中国移动网站被攻击造成了客户信息泄漏&，但是由于运营商对wap服务的忽视也会对用户造成财务损失。毕竟，这方面的风险本就该由运营商来管控的。
第五：银行使用短信这种不可靠的方式来进行用户身份认证是不妥的。
短信不仅可以通过本次案件中的短信托管服务劫持，还可能被&伪基站&、&手机木马&劫持，因此应该使用强度更高的U盾或者随机密码器。这个方法很多银行已经都有了，主要的问题可能还是出现在&e支付&，因为&e支付&是小额支付，一般还是用短信验证。
即使必须使用短信来进行二次身份认证，也应该将支付\转帐金额控制在较小的额度。但是，每家银行定义的&小额&不同。显然工行的额度比较大：工行默认1万，然后可以提升到2万。
之前有用户说&e支付&的安全隐患曝光，工行回应&系误解&。其实说到底还是攻击者借助非法途径截获短信验证码，轻而易举地盗窃存款。
通过工商银行查明，小王总计13990元被转入了一个叫&杨少华&的账户里。几笔金额其实并不小，有一笔交易是９９９０元。
第六：用户应该提高安全警惕性。
１、用户启用银行的网上支付、网上交易功能时应该仔细阅读风险提示，并做好帐户的隔离，例如用一张金额较低的卡来专门进行网上交易，而存放金额较高的卡则关闭所有网络支付、交易功能。或者把大额的活期放在货币基金或者定期存款里，但是这样要多一次定期/货基转活期的操作。当然，这个就涉及到了银行的业务，人行和银监会的监管要求也不同，我就不展开来讲。
２、不要使用弱密码，注意定期更换密码，也不要把密码存放在电脑或者手机里面，不同的卡尽可能采用不同的密码。
这个事件中，小王在第一张银行卡频繁被冻结之后，办了第二张工行卡，而他还是使用原来的密码，这种情况下，很容易导致密码泄露。
３、在遇到银行卡被盗刷时，我们要第一时间联系银行冻结相关帐户，而不是花时间和运营商讨论。&
在银行和运营商角度，本质上这还是一个新业务创新和风险控制之间平衡的老问题。
银行希望提供更加便捷的小额支付服务，吸引更多的用户使用 ；运营商希望提供更多的增值服务，从而形成长尾效应，创造更高的附加值。但是业务创新中，信息风险控制措施未能及时跟上，银行方面忽视了短信的不可靠性，而运营商则忽视了短信服务承载的密码认证责任。
再加上平时对用户的教育培训不足，使得用户缺少安全警惕，内部风险控制的敏感度不足，两家企业的电话服务中心员工也都忽视了之前的各种异常情况，最终导致了本次事件的发生。
延伸阅读：
看过本文的人还看过
最新图文推荐
大家感兴趣的内容
网友热评的文章