从今年5月份开始,就有消费者向媒体反映自己的广发银行信用卡被盗刷。进入7月,陆续有人在网上投诉,广发上线新网银系统后,信用卡被盗刷。消费者纷纷质疑广发网银的手机动态密码存在致命漏洞。
在广发网银系统进行一次升级后,北京、上海等地相继有12名持卡人遭遇了类似的网银失窃。资深黑客表示,这一系列案件说明,广发网银系统可能存在较大漏洞。记者调查发现,与其他银行网银设置相比,广发网银客户信息更容易被冒名修改。
记者获悉,部分被盗刷持卡人在被要求签订“对外保密”协议后,广发银行已经为他们“先行垫付”了被盗刷金额。广发工作人员表示,此举并不意味着银行存在过错。
5月:曝消费者广发信用卡被盗刷2.1万
权小姐说,今年1月份,广发银行信用卡中心一名姓高的客服经理前来公司推销信用卡,在对方游说下,她心动了,觉得信用卡使用方便,亦可周转资金。当天,全公司就她一个人填写了申请资料,同时使用自己132开头的手机号码作为登记的手机号码。
据权小姐回忆,广发银行在1月26日收到了自己的申请资料,2月中旬,权小姐就收到了广发银行送来的信用卡,一共有4张。
为了保险起见,2月21日权小姐使用自己的手机拨打客服电话95508开通信用卡,除卡号末位为5328广发真情网购虚拟信用卡因每日信用额度仅为2000元而未开通外,另外3张信用卡均在当日开通,并通过电话设置了取现密码、电话服务密码和消费密码。权小姐指着自己的信用卡告诉记者,这3张信用卡共用25000元的信用额度,其中尾号7874的广发联通联名卡为尾号6835的广发联通卡的附属卡。
权小姐在申请卡片时填写的联系电话为自己132开头的手机,这个号码也被视为是信用卡的关联手机号(也称约定手机号、登记手机号)。按照广发银行的信用卡开通指示,激活卡片后,也需要用这个关联手机拨打广发银行信用卡客服电话按照步骤设置信用卡密码。据权小姐表示,广发银行告知其每次消费金额达到300元就会有短信通知,而发送短信的手机号码就是该卡的关联手机号,因为三张信用卡是同时申请并同日激活,因此手机号码也均为一个。不过,在权小姐挂失卡片后却发现这张被盗刷的尾号7874的信用卡约定手机号码已被更改为155开头的手机号码。正因如此,权小姐才无法及时收到该卡的消费信息,以至被盗刷多达33笔,而每笔金额都超过了300元限额。
但这却引发了权小姐的疑问:关联手机号码如何才能被修改,陌生人怎能知道自己设定的电话银行服务密码?修改后是否有短信发送给原有手机号码告知已修改?如果被修改了号码,为什么在5月2日却能收到该卡的两条消费短信?除了关联手机号码被修改外,“被开通”的网银也是其中一个重要环节。没有密码,网银如何被开通?不知取现密码可否开通网银?
7月:再曝多名用户陷手机动态密码漏洞
近段时间,广发信用卡盗刷事件频发,作案者手段几乎一致:在受害者网银中修改手机号码,利用新号码接受动态密码,从而完成盗刷支付。近10名被盗刷者向记者提出的相同问题是:网上支付环节中最重要的一环手机,为什么能如此轻易修改?
从今年7月初开始,便陆陆续续有人在网上投诉,广发上线新网银系统后,信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日,他的一张广发信用卡在凌晨两点多的时候被盗刷2000元。经过一个多月的联系,叶迷得到的最新回复是:广发银行风险控制部门已介入调查,在此期间,无需还款。
在记者拿到的一份广发信用卡被盗刷者的名单中,有5个被盗者与叶迷一样,数千元的款项均被转移至那家名为腾驰策划的公司。
经过对多名受害者采访,记者基本复盘了整个被盗刷的经过。5月20日,广发信用卡的新网银上线,其中一项重要修改是,取消原有固定的支付密码,而采用手机动态密码的方式,也就是说,每次支付前,手机将收到一条动态密码,以此作为支付凭据。然而,这种新操作模式有个致命的弱点,除非用户设置了"私密问题",否则黑客只需知道网银登录名和密码,便可在网银上修改手机号码,且修改后的密码直接发送至新号码处,从而完成支付。"
9月:网银升级后12人被盗刷5万元
广发网银系统在一次升级后,在北京、上海、广东等地相继有12名持卡人遭遇了类似的网银失窃。都是犯罪分子在网上修改他们接收“动态验证码”的绑定手机号后冒名盗刷。资深黑客表示,这一系列案件说明,广发网银系统可能存在较大漏洞。
记者23日获悉,部分被盗刷持卡人在被要求签订“对外保密”协议后,广发银行已为他们“先行垫付”了被盗刷金额。广发工作人员表示,此举并不意味着银行存在过错。
在与广发银行交涉过程中,叶先生发现一个广发卡被盗刷者组成的QQ群。群里还有11人有着和他完全一样的遭遇,大家都是在广发网银系统升级不久,重新填写个人信息后被盗刷的。他们来自北京、上海、广东、浙江等多个省市,初步统计被盗刷总金额有5万余元。
广发银行称责任在客户
叶先生表示,他们在向广发银行反映情况时,广发银行的客服中心工作人员表示,信用卡在网上被盗刷,很可能是客户自己泄露了个人的资料信息和密码,“要么是被熟人窃取了信息,要么就是上了钓鱼网站或木马病毒的当。”持卡人对此说法纷纷表示不满。“银行总说被盗刷的责任在我们,是我们没保管好密码,难道广发就一点责任没有吗?”一位王先生说。他告诉记者,他的电脑里安装了360安全卫士、网购保镖等各种杀毒软件,他很注意定期更新,电脑从未报警说有木马。
9月20日,数名受害者告诉记者,广发银行总行已经对他们反映的问题作出答复,要求他们签署了一份“先行垫付”协议,然后将盗刷金额先退还给他们。但协议中附加了保密条款,要求获得退款的客户“对外保密”,不得外泄协议内容。
记者致电广发银行总行公共事务部询问此事,一位女工作人员提到,虽然银行已经对部分受害者“先行垫付”,但这并不意味着银行存在过错。“先行垫付”是对于特殊、紧急情况下出现问题的应急处理。“如果调查到最后,发现银行不存在问题,这笔钱我们还会再要回来。”她说。