新闻中心 &
网银被盗刷 受害者只能眼睁睁看钱被转走
艾肯家电网
　　近年银行卡盗刷事件频发，从制作伪卡在ATM机盗刷，蔓延到植入木马从网银或第三方支付方式盗刷，受害者眼睁睁地看着钱被转走，却维权艰难。
　　由于银行在规则制定、缔约谈判、信息控制和利益分配等方面具有天然优势，广东高院在去年下发文件，增加了银行对消费者经济损失的承担比例，对银行等金融机构提出了更为严格的举证责任，比如“伪卡盗刷”银行或要赔付8成以上。但如果犯罪分子是通过盗窃当事人的网银进行盗刷，银行是否需要担责?
　　去年，广东高院下发文件，增加了银行对消费者经济损失的承担比例，对银行等金融机构提出了更为严格的举证责任，比如“伪卡盗刷”银行或要赔付8成以上。但这一规定对网银盗刷一类的案件是否有效?对此，记者近日从法院了解到一些相关案例。
　　典型伪卡盗刷 银行要担主责
　　对于伪卡盗刷，银行需要承担较大责任。
　　日早上8点多，越秀区的曾女士看到银行提示短信，她的银行卡在前一晚11时49分在异地跨行ATM机上被转走了3万元。曾女士立即拨打110报案。
　　广州市公安局越秀分局调取了转账交易时的视频。视屏显示涉案为两个年轻男性，28日转账，29日取现，使用的银行卡与曾女士的外观不一致。“这肯定是伪卡。”曾女士要求银行赔偿未果后，把银行起诉到法院。
　　法官指出，银行作为专业金融机构，对核发给储户的银行卡账户资金负有安全保障义务，并应承担提高风险防范能力、不断完善技术设备和提升银行卡防伪能力的职责。未能保证银行卡的安全性能，导致储户资金损失，应承担相应的赔偿责任。
　　最终，法院判决银行承担7成责任，即赔偿曾女士21035元及利息。
　　案例1：网银被盗4万元 银行未必有责
　　去年4月21日，广州的张女士收到短信余额提醒，后查询银行流水发现，在4月18日，银行卡里的4.4万余元在短短2小时内通过10笔网上交易被消费掉了，操作网银的地点是上海和苏州，然而她没有收到这些消费扣款短信。张女士报案后，向法院起诉，认为银行存在系统漏洞，没有尽保管义务，要求银行担责。
　　银行方面辩称，被盗刷的金额全部是通过网银或支付宝、财付通等第三方支付方式支付，是张女士与第三方支付机构间的纠纷；且卡被盗刷的前几日，张女士有两次网上交易记录，她被盗刷且未收到短信的原因，有可能是因为手机使用不当被植入木马或进入诈骗的网站页面被盗取银行卡卡号、身份证信息。
　　法院审理查明，涉案的几笔交易无需使用实体银行卡，有别于传统的实体银行卡被克隆后盗刷的案件。不排除张女士在操作过程中泄露账户信息的可能性，且不能举证证明银行存在违约或有过错。
　　最终，经法院释明，张女士申请撤诉。法官解释，鉴于密码私密性和唯一性的特点，如果发卡行提交了持卡人在用卡过程中存在不规范使用银行卡和密码的证据，在持卡人没有充分证据予以反驳的情况下，人民法院可以认定持卡人没有尽到妥善保管密码的义务。
　　案例2：事主轻信致泄密 银行二审赔7成
　　另一起案件中，梁女士遇到了与张女士相似的情况，她的索赔要求获得二审法院的支持。判决改变了目前各地许多法院对此类网上盗刷案件的通常做法。
　　时年57岁的梁女士很少用网上银行，但会使用支付宝还款。去年她接到自称“支付宝客服”的电话，通知她的账户被盗用，需要按短信提示到链接网址输入个人信息。很快，梁女士的网上账户被第三方支付方式转走了7笔钱共计19200元，但至今未收到任何短信通知。因银行拒绝赔偿，梁女士起诉至法院。
　　被告银行辩称，梁某故意或过失泄露银行卡的相关信息，应对其本身的过错自行承担责任。梁不服其诉请未获支持，向越秀区法院提起了上诉。去年10月26日，案件获得改判。银行最终被判担责70%。
　　法官介绍，二审改判理由是银行向储户预留手机发出的验证码短信被拦截，导致储户款项损失，表明银行在履行合同过程中未正确尽到通知义务。法院认定银行对于储户的款项损失存在违约行为。考虑到银行作为以营利为目的的商事主体，在向金融消费者提供服务的过程中，更有能力预防和避免犯罪嫌疑人通过科技手段来侵害金融服务系统，以保障消费者资金安全，法院酌情认定银行应对储户的损失承担七成的赔偿责任。(来源：广州日报)
一周新闻排行
常州市艾肯网络广告有限公司　网络实名：艾肯&
&信息产业部备案/许可证编号：苏ICP备号 经营性ICP：号
扫一扫，关注艾肯官方微信更多法律知识
　　核心内容：以为银行卡和U盾都在手就可以万无一失。但是张某明明银行卡和U盾都在身，却莫名地被人从网上银行上把钱卷走。对此，只要张某不曾丢失密码等资料，只须向银行，要求银行举证即可。法律快车小编提醒您，在使用网银时，需要注意设置专用、高级别的密码，确保电脑系统的安全可靠和打开的网页的安全性，以下就由法律快车小编为你详细介绍。
　　家住济宁城区的张某称2011年在某银行开通了网上银行U盾业务。一直用都没出现问题，然而2月28号转账的时候才发现卡里剩的余额不对，赶紧到银行拉出消费明细，才发现她本人的银行储蓄卡于今年2月26日凌晨00点10分以后分50余次由一个名为&快捷&的第三方平台被转走7891元。但本人的银行卡和U盾却还从未离身。
　　银行卡在网上银行被盗刷谁负责？
　　银行和储户均对个人账户信息负有保密义务。若银行因资金保管不善，且在张某账户发生异常交易、被盗刷的情况下，未能及时发现或制止，银行违反了安全保障义务，应承担相应的，让客户埋单的做法不可取。而如果储户本人对账户信息和密码的泄漏存在明显过错，储户应就相应的过错或疏忽承担责任。
　　银行卡被盗刷由公安机关处理，先刑事后民事。同时，被盗刷的持卡人可以走司法程序起诉银行。该案例中如果张某本人没有丢失密码等资料，全部过错归咎于银行安全系统隐患，银行应该负全责。至于张某的相关信息是否泄露，银行负有，张某只需向银行追责。
　　法律快车提醒您：
　　一、上网购物时打开陌生人发来的文件
　　风险：电脑感染网银木马，使网银支付链接被木马劫持。
　　二、轻信并访问短信或邮件中的网银链接
　　风险：在钓鱼网站登录网银账户时，账户密码及动态口令会直接暴露给黑客。
　　支招：认准官网和客服电话。不要轻信任何来自非客服电话的信息，同时要记清官方网站的网址，登录网站时不要通过链接或者按照他人指示的网址登陆，如记不清官网网址，可在收藏夹中将常用网站收藏。
[来源：][来源：][来源：][来源：][来源：][来源：]
【2个回复】【1个回复】【1个回复】【1个回复】【3个回复】
网站声明：法律快车网刊载各类法律性内容是以学习交流为目的，包括但不限于知识、案例、范本和法规等内容，并不意味着认同其观点或真实性。如涉及版权等问题，请将问题与链接反馈给我们，核实后会尽快给予处理。
频道热门知识排行
频道热门法规推荐
微信法律咨询
扫一扫 随时随地为您提供免费法律咨询
法律快车 版权所有 2005- 增值电信业务经营许可证(ICP证)粤B2-
客服QQ：(注：此客服QQ不进行法律咨询！)银行卡被盗刷 谁来承担损失？
作者：张蕾
　　网银转走 持卡人担一半损失
　　日，魏女士一张银行卡内资金被人通过网上银行的方式分13笔转出61万余元，前12笔转账数额均为5万元，第13次转账14600元后，此时魏女士的账上仅有94.58元。当天，该卡收到魏女士之前做理财的回款100万元及8000余元利息。此时，魏女士并未发现钱被转走，还在网上购买了酒水，并通过支付宝从该银行卡账户中支出3120元。此后，该卡继续被人通过网上银行分21笔转账100.53万元，余额仅剩58.15元。
　　魏女士称，案发当天她正在河北参加亲戚婚礼，未收到账户余额变动的提醒短信，也没有收到动态验证码短信。直到10月30日，魏女士发现账户160余万被盗，才赶快报警。
　　但银行方面提供的发送短信记录显示，当天银行向魏女士发送了余额变动通知和动态密码短信。而涉案网银交易的IP地址经查询为安徽省阜阳市。银行方面认为，网银操作不同于柜台划转，安全保障取决于网银登录密码、支付密码以及动态交易密码三项的组合，这三项均由魏女士自行掌握、保管。
　　依据双方违约程度和过错程度，法院判决，前13笔的61万余元损失，魏女士承担40%，银行承担60%；后21笔100余万元损失，魏女士承担60%，银行承担40%。据此，银行总计赔偿魏女士存款损失77万余元，及相应的利息损失。
　　法官解析
　　王丽英表示，手机动态口令虽有一定的安全性，但是也存在口令密码被盗取的可能。在魏女士一案中，涉案网银转账交易明显与日常正常的转账交易操作模式不符，银行未能对高风险操作进行识别或采取有效的控制措施防止储户存款损失进一步扩大。由此可以看出，银行提供的网银服务所具备的风险防范水平与其应负有的保护储户存款安全的义务并不一致，应当认为银行未能履行保障储户存款安全的合同义务，存在一定违约行为。
　　作为持卡人，亦应对自己的存款安全负有谨慎的注意义务。在涉案网银转账交易过程中，魏女士曾使用过银行卡进行网上购物，同日又有理财回款到账，其应当注意到短信通知存在异常情况，并应当对账户中的资金变动情况进行查证。但魏女士却疏于履行审慎的注意义务和查证义务，亦存在违约行为。
　　无卡类盗刷增多需警惕
　　近几年，银行卡盗刷案件不断增多。根据朝阳法院的统计，2016年该院共受理涉银行卡盗刷案件108件，而2015年是60件，2014年仅16件，呈现较大的增幅比例。
　　银行卡盗刷类案件也表现出新的特点：利用新型支付方式盗刷案件逐渐增多。2016年，朝阳法院共受理无卡类盗刷案件23件，占全部盗刷案件的21.3%。
　　在金融创新背景下，一些银行开通了“超级网银”、“无卡取现”等新业务。此类业务虽在一定程度上增加了交易便捷性，但同时也增大了持卡人的资金风险，造成盗刷并引发诉讼。
　　此外，法院在审判中还发现，银行卡盗刷案件普遍存在盗刷笔数多，90%的案件均存在以连续多笔方式盗刷的特点；异地盗刷多，能够判断交易发生地的其中90%以上的案件均为异地盗刷，包括香港以及东南亚、欧洲、美国、加拿大等境外消费；部分持卡人表示曾登录过不明网站或者发现中过木马病毒。
　　王丽英庭长告诉记者，与传统伪卡盗刷相一致，无卡盗刷的裁判也包括两个主要方面：一是“盗刷”事实的认定，这是讨论银行应否担责的前提；二是双方责任的承担。但不同于传统的伪卡盗刷类案件，在无卡盗刷类案件中，对“盗刷”事实的确认及银行责任的承担均存在难点，司法实践中也存在一定争议。
　　“所谓无卡盗刷就是不需要制作伪卡，完全凭借个人身份信息、银行卡相关信息及手机号、动态密码等信息进行网络或手机操作。如双方均无特别明显过错，责任承担存在探讨空间。当然，如果是否为盗刷――这个事实本身都无法查明，是有可能驳回持卡人的诉求的。”王丽英说。
　　法官支招
　　如何防范盗刷？
　　1、更换银行卡，将磁条卡换成芯片卡。目前各大银行均在推广使用芯片卡，芯片卡从信息保存、克隆难度等方面都更具有安全性。
　　2、减少使用储蓄卡消费，养成储蓄、消费分离的习惯，从而减少大额存款被盗风险；同时因信用卡支付有限额，刷卡与银行实际扣款之间有时间间隔，故建议尽量使用信用卡消费。
　　3、妥善保管银行卡和密码。不要交给他人使用或告知他人密码。提高对钓鱼网站、不安全链接、诈骗电话的警惕度，不在不安全环境下输入密码，避免信息泄露。
　　4、开通短信提醒功能并随时关注，随时掌握资金变动情况，提高反应速度，防止损失扩大。
　　遭盗刷后如何处理？
　　1、第一时间在最近处进行取款、消费或吞卡操作，证明人卡未分离及发生时的人卡地点；
　　2、立即通过电话或至柜台办理挂失止付；
　　3、持卡前往公安机关报警；
　　4、如涉及第三方支付平台，立即电话联系控制款项划出。
关键词阅读：
责任编辑：申雪娇&RF13056
已有&0&条评论
最近访问股
以下为您的最近访问股
24小时新闻榜
理财产品推荐女子6张卡全部被盗刷 没开网银怎么能在网上消费 - 网易河北
十天内免登录
女子6张卡全部被盗刷 没开网银怎么能在网上消费
“您的储蓄卡是否在凌晨多次消费?”3月25日，石女士接到银行工作人员来电，才得知20日—25日，她在该行的3张储蓄卡被人通过快钱支付、财付通、易宝支付、贝付在线支付、顺丰恒通支付等12家网络第三方支付公司，分别消费58笔、13笔和18笔，金额近5.8万元。
原标题：女子6张卡全部被盗刷 密码不同一起被盗
网易河北讯& 4家银行的6张储蓄卡，都在手里，且密码各不相同，却在一周内全被盗刷，共盜刷129笔、8.7万余元。这样的怪事，让福州石女士十分苦恼，更离奇的是，U盾和卡均未离身，有的银行卡的密码还被改了。
石女士被盗刷的卡中，有的没开网银，怎能被人网络消费?各卡密码不同，为何全被盗刷?发现被盗刷，银行让她报警，而警方又劝她先找银行，让她无所适从。到底该怎么维权?近来，福州频频发生盗刷事件，市民呼吁推行厦门做法，成立“反诈骗中心”。
接到银行电话 才知6张卡被盗刷
“您的储蓄卡是否在凌晨多次消费?”3月25日，石女士接到银行工作人员来电，才得知20日—25日，她在该行的3张储蓄卡被人通过快钱支付、财付通、易宝支付、贝付在线支付、顺丰恒通支付等12家网络第三方支付公司，分别消费58笔、13笔和18笔，金额近5.8万元。
“我从来没开通过这些第三方支付账号，怎么存款能被刷走?”石女士说，其中两张卡没开手机银行，只在家里专用的电脑上登过网银，另一张是工资卡，连网银都没开。
随后，石女士开始盘查名下其他3张银行卡，却惊讶地发现，无一幸免。一张卡被盗刷30笔，损失2.7万余元，更离奇的是，这张卡的密码还被改了;另一张被刷 6笔，3000元;还有一张卡虽然只被刷了4毛钱，但这张卡主要被用于“中转”，即不法分子把其它卡的钱转到这张卡上，再转到一个陌生人的卡上。
6天内，石女士名下4家银行的6张卡，被盗刷129笔，共计8.7万多元。
疑问一：没开网银，怎能在网上消费
让石女士不解的是，她没开第三方支付，卡里的钱却经过这些平台被盗刷。
事实上，在第三方支付平台上消费，并不需要开通网银或手机银行。据了解，第三方支付软件为满足客户小额支付的便捷性需求，在购物时不需要开通网银，只需输入银行卡号、户名、手机号等信息，银行验证客户信息正确性后，第三方支付平台向用户手机发送短信验证码，客户输入验证码后，就可成功开通快捷支付并完成支付。也就是说，不法分子若拦截验证码短信，便可冒充客户本人进行开通，并盗刷。
但对于不法分子是如何更改密码的，银行方称，他们也很奇怪。
律师：凭码就划钱太草率，程序需改进
“不法分子‘开锁’技术提高，银行的‘防盗门’急需升级。”福建建达律师事务所律师阚小冬说，石女士毫不知情，就被人冒开第三方支付账户，银行卡内资金从之流走，在这一点上，银行未尽到保护储户资金安全义务。
“验证码有可能被拦截，只凭验证码就通过认证，就同意开户或支付的程序，太过草率。”阚律师说，这给不法分子留有“空子”，程序需改进。
疑问二：连刷58笔，银行为何不阻止
凌晨时分，密集地刷了58笔小额支付，在石女士看来，这是非常不正常的。“银行也怀疑，可在次日上午才打电话。”石女士认为，发现异常，银行应及时阻止交易，或简单地临时冻结账户，保住剩余存款。
银行方说，银行并非没有监测和阻止异常交易的机制。“事实上，后台已阻止了部分交易。”银行有关负责人说，当不法分子在一个第三方平台频繁交易被系统监测并终止交易时，他们又立即更换到其它平台继续交易。
该负责人坦承：目前，监测系统不能跟上这“节奏”。
律师：应对盗刷伎俩，银行需更智能向海都报反映盗刷的市民中，不少人告诉记者：骗子都半夜作案，等储户一觉醒来，钱就没了。对此，阚律师说，盗刷团伙是
一个庞大而又专业的群体，针对他们不断翻新的伎俩，银行系统若不及时更新升级，难以保护储户的资金安全。
疑问三：密码不同，为何全被盗刷
石女士纳闷：各银行的登录密码和支付密码皆不相同，她也从没告诉任何人，为何全被盗刷?
据了解，石女士曾收到银行客服短信称，手机银行将失效需重新认证，她点击了其中的链接，并填写办卡预留的手机号、姓名等信息。一业内人士说，或许，这就是被盗刷的导火索。
“这条短信应该是不法分子通过伪基站，冒充银行发的，短信链接还有木马病毒。”该业内人士说，虽然石女士填写信息时只涉及一家银行的内容，但不法分子有可能通过“大数据”搜索，牵扯出她的其它银行卡信息。
昨日，监管部门、银行人士也表示，近来榕城盗刷事件频发，很多案件都是因市民无意间泄露信息所致。
律师：诈骗短信满天飞，应加强打击
“我也常收到真假难辨的银行短信。”阚律师说，诈骗短信防不胜防，被盗刷不能把主要责任归结为储户泄露信息，她认为，银行应多尽提醒义务，加强对消费者的风险教育，并与警方联动打击伪基站。
疑问四：被盗刷，先报警还是找银行
和很多人一样，石女士发现被盗刷后，首先想到的是：让银行追讨。“毕竟钱是存在银行的，银行有义务保管好。”她说。
而银行方通常会让储户第一时间报警处理。“不是我们叫第三方还钱，他们就会还钱，有的钱被转走，冻结不了，得报警才有用。”一银行人士说。
“但民警说，立案后，就得等破了案，才能追回存款。”石女士说，民警建议她，还是先找银行处理为好。另一位受害储户王女士也曾碰到类似情况，她说，如此一来，她真不知道到底该不该报警。
一知情人士说，网络盗刷，跨地区、证据不固定，往往要很长时间才能破案，加上金融诈骗案件频频发生，警力有限的情况下，民警也需根据轻重缓急来破案，也就是说，很多小额盗刷维权遥遥无期。
律师：银行有义务为储户追讨被盗款
阚律师说，如果银行的程序留有“空子”，为盗刷提供了可能，那么银行有义务帮助储户追回损失，即便不立案，石女士也可先向民警反映，拿着出警单给银行，以便向第三方追讨被盗刷的钱款。
女子6张卡全部被盗刷 密码各不相同如何被盗？
200万被骗2.5小时全部追回
银行卡被盗刷，该如何处理?厦门在全国首创的“反诈骗中心”机制，值得借鉴。去年，厦门市委市政府统筹指挥，打破部门局限，由分管政法综治和公安工作的市领导牵头，综治、宣传、公安、银监、通管、民政、财政、效能等相关部门组成领导小组，于去年7月1日组建厦门市反诈骗中心，实行“警、银、通”三方合署办公、“一体化”运作。
截至上月底，该反诈骗中心已追回3122万余元，去年全国电信诈骗案立案数同比上升32.5%，而去年下半年，厦门成立反诈骗中心后，电信诈骗警情同比下降13.84%。
其中，去年8月31日，有骗子通过微信冒充老板，骗走厦门一公司财务小李200万。接警后，反诈骗中心立即启动止付程序。在案发后2.5小时内，先后冻结5个层级、36个涉案账户，最终，全额追回被骗钱款。
如今，盗刷事件在福州也频繁发生，市民呼吁福州也该有本地的反盗刷“快处中心”。有关人士透露，福州反诈骗中心将在近期落地。日前，省公安厅、银监局组织兴业银行、五家大型银行、邮储银行等7家机构，学习厦门反诈骗中心经验，正在研究在福州建立反诈骗工作机制的具体方案。
本文来源：中国网
责任编辑：HEB037
相关新闻阅读
48小时评论排行
用微信扫描二维码分享至好友和朋友圈
网易河北访谈间
&select name="site" class="left"&
&option value="网易" selected="selected"&新闻&/option&
&option value=""&网页&/option&安全专家神级推理 分分钟让你弄懂银行卡网银被盗刷隐患
安全专家神级推理 分分钟让你弄懂银行卡网银被盗刷隐患
银行与运营商，客户与银行，运营商与客户，只要留下数据痕迹，每一个环节都有可能出现纰漏让攻击者有机可乘。银行希望提供更加便捷的小额支付服务，吸引更多的用户使用 ；运营商希望提供更多的增值服务，从而形成长尾效应，创造更高的附加值。本文并非针对工行、移动，任何银行与运营商都有可能发生。雷锋网作者shotgun是安全领域的专家，他希望借此来探讨当下方便快捷的网络支付所潜藏的安全隐患，给三方警示，从而能更好地保护我们的财物安全。
那么，在支付交易的过程中，运营商、银行、用户，三者之间如何协作？哪个环节会出现纰漏？用户银行卡里的钱是怎么丢的？
事件回顾（主人公视为小王）：
为了方便理解，提取这个过程的几个节点：
２015年7月1日，小王发现自己被强制开通了10086的短信保管箱业务。第二天，小王就修改了自己的10086密码。
7月6日，小王收到近10条自己在各种网站注册账号的验证码信息； 小王再次发现自己被强制开通了短信保管箱业务；&几分钟后，工商银行向受害者发来短信验证码，显示工商银行卡B中一笔9990元的存款正在转账。
这个事件中，我进行了以下这些推论分析：
第一，用户的手机应该是干净的。也就是说，没有被植入木马后台。
一般来说，网银攻击者喜欢使用手机木马来直接盗取他人的钱。
手机木马的工作原理: 一般工作在安卓或者越狱后的苹果手机上（近期也出现了不需要越狱就可以植入的苹果木马），利用APP或者手机操作系统的漏洞，不仅仅可以截获短信、窃听通话，甚至还可以直接拿到手机银行的帐号和交易密码。
手机木马不仅可以偷取网银的账号密码，还可以直接读取验证短信。换句话说，如果有手机木马，那么是不需要通过短信保险箱来获取验证短信，也不需要多次尝试取款密码。但是从小王被强制开通了10086的短信保管箱业务可以看出，攻击者并没有直接在手机上读取认证短信，所以排除了手机被植入木马后台的可能。
第二，攻击者不是通过入侵银行的服务器来窃取。
如果攻击者拿下了银行的服务器，那么就可以直接转帐到自己的帐号，根本不需要短信验证，即使有短信验证的环节，服务器上也可以直接读取，压根不需要短信保管箱。就算银行的监管系统和支付安全一直都饱受质疑，但是不可否认的是，绝大多数银行服务器的保护措施都比个人电脑高很多，不只是一个级别的差距。所以，出现网上银行服务器被攻破的概率相对较小。
在这个事件中，小王同样是被强制使用短信保管箱，那么也就说明，攻击者并非通过入侵银行服务器来窃取的。
第三，小王的电脑、网关中应该有一个出了问题。
电脑、网关的运行过程如下：
在这个过程中，攻击者只需要利用安全漏洞获得受害人电脑或者网关中任意一个的权限，就可以读取到受害人的银行卡号、 手机号码等等信息。但是因为银行的网银系统受到安全控件的保护，所以取款密码是很难直接读取，这就是攻击者多次尝试导致银行卡被锁的原因。
而当小王修改移动运营商的网站登录密码时，由于移动运营商的网站安全级别远低于网银，所以该密码很容易被攻击者直接窃听到。
小王B卡的卡号在第二天就泄露，他在修改了手机的网站登录密码后，攻击者还是可以强行打开短信保管箱。虽然我们目前还没能检查过小王的电脑和网关，但是攻击者通过电脑木马或者网关劫持获取受害人的帐号的可能性很大，而小王的手机号码，也很可能是通过类似的方式被获得的。
所以说，这个环节中，小王的电脑、网关中应该有一个出了问题。根据工行做出的回应，事发原因是不法分子使用非法手段获取了客户相关信息和密码，再利用客户信息开通了客户手机的&短信保管箱&业务，从而获取交易验证短信并盗取资金。当然，银行方面的责任不可推脱，这里就不具体展开，后面&e支付&会再说明下。
第四：移动运营商业务的安全风险控制存在漏洞。
１、短信保管箱业务本身存在的较大风险未能事先评估出来。
短信作为包含用户隐私，甚至经常会携带支付认证信息的服务，提供云保管服务应该更加慎重。例如应该由用户亲自前往营业厅才能够启用，或者至少允许用户可以禁用该服务，直到亲自前往营业厅解禁。
２、允许通过wap方式启用短信保管箱服务，使得第三方可以强行打开该服务，从而劫持敏感的短信。
根据移动公司的回应：&目前经过后台网络日志显示，不知情定制均系有人使用客户的手机号和客服网站密码，通过手机登录客服WAP页面开通，目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。&
原本&短信保管箱服务&必须本机回复短信才能够激活，但是因为系统上线时未能仔细检查老旧的wap服务接口，使得攻击者通过wap服务绕过了本机短信验证环节，最终导致了小王的网银失窃。
正常情况下运营商一个新业务上线应该做风险评估的。而wap是老业务，短信保管箱是新业务，运营商疏忽了这个环节，或者说，攻击者的脑洞开得很大，运营商并没有想到会有人用老古董业务去开新业务。如果运营商有行动，这个环节的纰漏会有很大的概率被发现，完全可以关掉通过wap开保管箱这条路。不过，经过这次事件之后，运营商应该会把wap申请关掉。
尽管就像移动说的那样，并非&中国移动网站被攻击造成了客户信息泄漏&，但是由于运营商对wap服务的忽视也会对用户造成财务损失。毕竟，这方面的风险本就该由运营商来管控的。
第五：银行使用短信这种不可靠的方式来进行用户身份认证是不妥的。
短信不仅可以通过本次案件中的短信托管服务劫持，还可能被&伪基站&、&手机木马&劫持，因此应该使用强度更高的U盾或者随机密码器。这个方法很多银行已经都有了，主要的问题可能还是出现在&e支付&，因为&e支付&是小额支付，一般还是用短信验证。
即使必须使用短信来进行二次身份认证，也应该将支付\转帐金额控制在较小的额度。但是，每家银行定义的&小额&不同。显然工行的额度比较大：工行默认1万，然后可以提升到2万。
之前有用户说&e支付&的安全隐患曝光，工行回应&系误解&。其实说到底还是攻击者借助非法途径截获短信验证码，轻而易举地盗窃存款。
通过工商银行查明，小王总计13990元被转入了一个叫&杨少华&的账户里。几笔金额其实并不小，有一笔交易是９９９０元。
第六：用户应该提高安全警惕性。
１、用户启用银行的网上支付、网上交易功能时应该仔细阅读风险提示，并做好帐户的隔离，例如用一张金额较低的卡来专门进行网上交易，而存放金额较高的卡则关闭所有网络支付、交易功能。或者把大额的活期放在货币基金或者定期存款里，但是这样要多一次定期/货基转活期的操作。当然，这个就涉及到了银行的业务，人行和银监会的监管要求也不同，我就不展开来讲。
２、不要使用弱密码，注意定期更换密码，也不要把密码存放在电脑或者手机里面，不同的卡尽可能采用不同的密码。
这个事件中，小王在第一张银行卡频繁被冻结之后，办了第二张工行卡，而他还是使用原来的密码，这种情况下，很容易导致密码泄露。
３、在遇到银行卡被盗刷时，我们要第一时间联系银行冻结相关帐户，而不是花时间和运营商讨论。&
在银行和运营商角度，本质上这还是一个新业务创新和风险控制之间平衡的老问题。
银行希望提供更加便捷的小额支付服务，吸引更多的用户使用 ；运营商希望提供更多的增值服务，从而形成长尾效应，创造更高的附加值。但是业务创新中，信息风险控制措施未能及时跟上，银行方面忽视了短信的不可靠性，而运营商则忽视了短信服务承载的密码认证责任。
再加上平时对用户的教育培训不足，使得用户缺少安全警惕，内部风险控制的敏感度不足，两家企业的电话服务中心员工也都忽视了之前的各种异常情况，最终导致了本次事件的发生。
您可能也感兴趣:
扎克伯格面对听证会回避了诸多问题，声称他的团队会关注这些问题。以下就是这两场听证会之后...
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号}