從今年5月份開始,就有消費者向媒體反映自己的廣發銀行信用卡被盜刷。進入7月,陸續有人在網上投訴,廣發上線新網銀系統后,信用卡被盜刷。消費者紛紛質疑廣發網銀的手機動態密碼存在致命漏洞。
在廣發網銀系統進行一次升級后,北京、上海等地相繼有12名持卡人遭遇了類似的網銀失竊。資深黑客表示,這一系列案件說明,廣發網銀系統可能存在較大漏洞。記者調查發現,與其他銀行網銀設置相比,廣發網銀客戶信息更容易被冒名修改。
記者獲悉,部分被盜刷持卡人在被要求簽訂“對外保密”協議后,廣發銀行已經為他們“先行墊付”了被盜刷金額。廣發工作人員表示,此舉并不意味著銀行存在過錯。
5月:曝消費者廣發信用卡被盜刷2.1萬
權小姐說,今年1月份,廣發銀行信用卡中心一名姓高的客服經理前來公司推銷信用卡,在對方游說下,她心動了,覺得信用卡使用方便,亦可周轉資金。當天,全公司就她一個人填寫了申請資料,同時使用自己132開頭的手機號碼作為登記的手機號碼。
據權小姐回憶,廣發銀行在1月26日收到了自己的申請資料,2月中旬,權小姐就收到了廣發銀行送來的信用卡,一共有4張。
為了保險起見,2月21日權小姐使用自己的手機撥打客服電話95508開通信用卡,除卡號末位為5328廣發真情網購虛擬信用卡因每日信用額度僅為2000元而未開通外,另外3張信用卡均在當日開通,并通過電話設置了取現密碼、電話服務密碼和消費密碼。權小姐指著自己的信用卡告訴記者,這3張信用卡共用25000元的信用額度,其中尾號7874的廣發聯通聯名卡為尾號6835的廣發聯通卡的附屬卡。
權小姐在申請卡片時填寫的聯系電話為自己132開頭的手機,這個號碼也被視為是信用卡的關聯手機號(也稱約定手機號、登記手機號)。按照廣發銀行的信用卡開通指示,激活卡片后,也需要用這個關聯手機撥打廣發銀行信用卡客服電話按照步驟設置信用卡密碼。據權小姐表示,廣發銀行告知其每次消費金額達到300元就會有短信通知,而發送短信的手機號碼就是該卡的關聯手機號,因為三張信用卡是同時申請并同日激活,因此手機號碼也均為一個。不過,在權小姐掛失卡片后卻發現這張被盜刷的尾號7874的信用卡約定手機號碼已被更改為155開頭的手機號碼。正因如此,權小姐才無法及時收到該卡的消費信息,以至被盜刷多達33筆,而每筆金額都超過了300元限額。
但這卻引發了權小姐的疑問:關聯手機號碼如何才能被修改,陌生人怎能知道自己設定的電話銀行服務密碼?修改后是否有短信發送給原有手機號碼告知已修改?如果被修改了號碼,為什么在5月2日卻能收到該卡的兩條消費短信?除了關聯手機號碼被修改外,“被開通”的網銀也是其中一個重要環節。沒有密碼,網銀如何被開通?不知取現密碼可否開通網銀?
7月:再曝多名用戶陷手機動態密碼漏洞
近段時間,廣發信用卡盜刷事件頻發,作案者手段幾乎一致:在受害者網銀中修改手機號碼,利用新號碼接受動態密碼,從而完成盜刷支付。近10名被盜刷者向記者提出的相同問題是:網上支付環節中最重要的一環手機,為什么能如此輕易修改?
從今年7月初開始,便陸陸續續有人在網上投訴,廣發上線新網銀系統后,信用卡被盜刷。葉迷(化名)是另一名廣發信用卡被盜刷者。今年7月4日,他的一張廣發信用卡在凌晨兩點多的時候被盜刷2000元。經過一個多月的聯系,葉迷得到的最新回復是:廣發銀行風險控制部門已介入調查,在此期間,無需還款。
在記者拿到的一份廣發信用卡被盜刷者的名單中,有5個被盜者與葉迷一樣,數千元的款項均被轉移至那家名為騰馳策劃的公司。
經過對多名受害者采訪,記者基本復盤了整個被盜刷的經過。5月20日,廣發信用卡的新網銀上線,其中一項重要修改是,取消原有固定的支付密碼,而采用手機動態密碼的方式,也就是說,每次支付前,手機將收到一條動態密碼,以此作為支付憑據。然而,這種新操作模式有個致命的弱點,除非用戶設置了"私密問題",否則黑客只需知道網銀登錄名和密碼,便可在網銀上修改手機號碼,且修改后的密碼直接發送至新號碼處,從而完成支付。"
9月:網銀升級后12人被盜刷5萬元
廣發網銀系統在一次升級后,在北京、上海、廣東等地相繼有12名持卡人遭遇了類似的網銀失竊。都是犯罪分子在網上修改他們接收“動態驗證碼”的綁定手機號后冒名盜刷。資深黑客表示,這一系列案件說明,廣發網銀系統可能存在較大漏洞。
記者23日獲悉,部分被盜刷持卡人在被要求簽訂“對外保密”協議后,廣發銀行已為他們“先行墊付”了被盜刷金額。廣發工作人員表示,此舉并不意味著銀行存在過錯。
在與廣發銀行交涉過程中,葉先生發現一個廣發卡被盜刷者組成的QQ群。群里還有11人有著和他完全一樣的遭遇,大家都是在廣發網銀系統升級不久,重新填寫個人信息后被盜刷的。他們來自北京、上海、廣東、浙江等多個省市,初步統計被盜刷總金額有5萬余元。
廣發銀行稱責任在客戶
葉先生表示,他們在向廣發銀行反映情況時,廣發銀行的客服中心工作人員表示,信用卡在網上被盜刷,很可能是客戶自己泄露了個人的資料信息和密碼,“要么是被熟人竊取了信息,要么就是上了釣魚網站或木馬病毒的當。”持卡人對此說法紛紛表示不滿。“銀行總說被盜刷的責任在我們,是我們沒保管好密碼,難道廣發就一點責任沒有嗎?”一位王先生說。他告訴記者,他的電腦里安裝了360安全衛士、網購保鏢等各種殺毒軟件,他很注意定期更新,電腦從未報警說有木馬。
9月20日,數名受害者告訴記者,廣發銀行總行已經對他們反映的問題作出答復,要求他們簽署了一份“先行墊付”協議,然后將盜刷金額先退還給他們。但協議中附加了保密條款,要求獲得退款的客戶“對外保密”,不得外泄協議內容。
記者致電廣發銀行總行公共事務部詢問此事,一位女工作人員提到,雖然銀行已經對部分受害者“先行墊付”,但這并不意味著銀行存在過錯。“先行墊付”是對于特殊、緊急情況下出現問題的應急處理。“如果調查到最后,發現銀行不存在問題,這筆錢我們還會再要回來。”她說。
