8天内86万元被陆续转走,客户质疑光大银行手机银行系统存漏洞
家在沈阳的吕先生日前向南都湾财社记者表示,其七十多岁高龄的岳母在去年8月存入光大银行的85万元存款在8天内被陆续盗刷转走。吕先生表示,此前其岳母曾接到一个陌生电话,让她将其他银行卡内存款转存光大银行。“对方说她可能涉嫌犯罪,要求配合调查,让她把现在的存款取出来存到光大银行,说是更安全。”
吕先生表示,85万元原来存在包括中国银行等多家银行内,“她以前在我的指导下还去银行做过理财,中国银行有手机盾,还有实体密钥,发6位数动态口令的。”
根据吕先生提供信息,其岳母名下光大银行账户在2021年8月3日有一笔网银跨行汇款,存入金额10万元,此后8月4日、8月6日及8月10日,又分别收到汇款38万元、16万元及22万元。而到账资金在当日就被悉数转出,共发生9笔资金,单笔金额在1.8万元到19.2万元不等。到8月10日最后一笔资金转出后,吕先生岳母累计转入的86万元,仅剩余额58元。
吕先生表示,其岳母在光大银行营业网点是通过自动柜员机办理的开卡,这个是必须预留指纹的,同时也开通了手机银行的功能。吕先生强调,银行也承认其岳母在营业厅里登录过手机银行后没再登录过光大银行的手机银行,而事后,其发现该账号中出现其他设备的登录记录。
“我在银行app里看到,发现有一个oppo的设备登录过。”需要指出的是,根据吕先生提供信息,该设备为OPPO R9s,距离8月10日最后一笔资金转出10天后的8月20日有过一次登录记录,而更早的登录情况无显示记录。
2021年8月12日晚,家人发现前述情况,在后一日早间向公安报案。
对于这一事件,吕先生表示,家人结合岳母讲述进行推测,其光大银行手机银行登录密码等信息或者均已泄露,因此被诈骗分子盯上,并引导其岳母将资金转存入光大银行。“我们去报案,民警说这种叫网络盗刷,犯罪份子通过网上购买了她(其岳母)的个人信息,然后犯罪份子登录账户,钱就被转走了。无论是最开始还是到最后我们去公安局报案的时候,她(其岳母)都没有说过自己泄露过取款密码。”吕先生表示。
而经过“研究”光大银行系统,吕先生对该系统的安全性产生怀疑。根据其提供信息,吕先生曾在自己手机上登录其弟弟名下的光大银行账户,在转账环节,其发现自己作为机主,虽然是操作弟弟名下的光大银行账户,并发起转账,但在安全验证环节中,输入交易密码后,刷的是自己的脸,而非其弟弟即银行卡卡主的人脸信息,也能顺利将资金转出。其表示,不仅是人脸识别,光大银行APP在安卓系统中多使用的指纹识别信息也是验证的机主的信息,而非卡主。
吕先生认为,这是其岳母86万元被盗刷的重要原因,其表示,光大银行APP在对外转账时,仅需要验证支付密码、指纹识别,不像其他银行还要输入随机6位数字的动态口令,如果光大银行有这个步骤的话,那对于诈骗分子来说,要从其岳母手中次次拿到该口令是十分困难的。
根据吕先生提供信息,第一笔转账记录与其岳母存入10万元同日发生,但产生了2次转账记录,第一次因视频审核未完成而交易失败,不过5分钟后,这笔9.9万元的资金又顺利转出。吕先生表示,如果要验证其岳母名下账户发生的9笔资金转出具体是不是卡主本人发起的,只要银行提供转账设备具体在哪儿登录、当时做的人脸识别就一清二楚,但银行方面拒绝提供这些信息。
光大银行回复:资金是客户自己转出,银行系统不存在问题
对于吕先生所反馈一事,光大银行方面向南都湾财社表示,经过核实,客户是在骗子的指导下完成了整个流程,的确就是说被骗了,资金是客户自己转出,手机银行、银行系统没有问题,且不存在异地登录的信息。不过该行有关负责人还表示,“指纹是机主的指纹,是承认这个逻辑在的。”
根据吕先生提供信息,其曾与光大银行网点负责人进行沟通,对方表示,后面几笔超过5万元的资金转出,肯定有指纹认证,还包括登录密码、取款密码的验证方式。对于没有动态口令这个问题,对方表示:“指纹验证等同于短信,因为我们在给客户只开动态密码版或者开个令牌版的,动态密码版的只有5万,令牌可能额度更高些,生物识别就是满足了客户没有令牌,但还想超过5万的需求。”
前述所谓令牌,即光大银行推出的电子银行统一身份认证工具——阳光令牌,光大个人客户,只需拥有一个阳光令牌,即可实现网上银行、手机银行、电话银行和电子支付的身份认证。
南都实测:各银行间安全验证有不同逻辑
对于吕先生指出手机银行APP录入指纹并非卡主指纹,而是以机主指纹为主的情况,南都湾财社记者实测看到,多家银行均是以机主为准,但安全验证方面存在不同。
在新设备上登录光大银行APP账户时,南都湾财社测试时需输入手机号及动态验证信息,具体为账号绑定的手机号,及一条动态验证码进行安全验证,即可登录。首次登录后,可使用登录密码再次登录。随后,南都湾财社记者在新设备上开通该账号的指纹登录功能,光大银行APP录入了机主的指纹后即开通,但实际上该机主指纹并非卡主指纹。在开通指纹支付功能环节,光大银行多设置了一道支付密码的验证,其余则无不同,也是录入了机主的指纹。
相对而言,另一股份制银行APP在登录新设备时所需完成的安全验证较光大多出三道。南都湾财社记者测试,在新设备登录时,前述股份制银行需输入手机号及登录密码,在登录密码通过后,还需完成三道安全认证,包括人脸识别、回答账户有关问题及输入动态短信验证码。而在认证指纹的时候,该银行设定进行的安全验证同样多出光大银行,包括验证动态验证码及交易密码。
另一国有大行登录新设备时,在第一个环节则设置了获取短信授权码的方式,以验证账号绑定的手机号为本机使用,同时还要验证登录密码。由于该行检测出账号此前已绑定其他设备,在新设备上还需要输入账号取款密码进行验证。
在验证完成后,由于登录的是新设备,该行设置了单日转账5000元的限额,若提升需要再行操作,包括原绑定设备变更、网点办理等。在指纹验证方面,由于原设备未进行解绑操作,该行不支持使用指纹验证。
华南某商业银行技术部人士向南都湾财社记者表示,当前,国内银行对安全验证并无统一标准,各家银行做法均不相同,都按照各自的安全验证逻辑进行设定。其还表示,银行在进行生物识别安全验证时,第一次是采样,人脸识别可以与身份证等信息进行比对,如果是指纹的话,录取机主指纹也符合逻辑,只是安全验证环节各家有所不同。
采写:南都湾财社记者叶霖芳