工行多位储户资金被盗刷 疑快捷支付存漏洞

对于短信内容泄露的原因，包括用户投诉的被强制办理短信保管箱业务，甚至退订之后再次被订购这项业务的情况，北京移动表示，已逐一对十余起类似客户投诉进行了仔细核查，通过后台网络日志发现，此类不知情定制均系不法分子使用客户的手机号和客服网站密码，通过手机登录客服网站开通的。“目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄露”。

北京移动表示，为了客户信息安全，目前已暂停了短信保管箱业务的短信查询等功能，并正在对此业务进行优化，优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等，所有业务优化会在8月底前完成。中国移动还提醒客户尽快升级弱密码，不要安装来历不明的软件，避免密码被盗。

记者昨天致电中国移动客服热线，对方表示，移动短信保管箱业务是为了解决许多人手机短信容量不充足的问题，开通这项业务可以自动将用户发送、接收的短信同步备份存储到云端，用户登录移动官网就可以查询备份的短信。移动客服人员称，这项业务的云端数据受到多项安全保护，用户只有通过手机号和密码才能登录，且登录记录会以短信形式反馈到手机上，用户可通过向客服电话发送相应短信代码开通和取消该项业务，业务收费为3元/月。

电信行业分析师马继华认为，造成用户验证码泄露的原因，可能是木马病毒入侵导致的用户信息被盗取。

相关背景

快捷支付井喷带来风险

快捷支付是指用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户的手机号上，用户输入正确的手机动态口令，即可完成支付。

快捷支付可以提高用户体验，但作为一个新生领域，也让不法分子有机可趁。去年底中国银联一份调查数据显示，移动支付井喷式发展的同时，风险形势变得更为严峻，有一成的受访者遭遇过网上交易的诈骗，其中钓鱼网站、木马病毒以及虚假退款是主要的欺诈手段。

一股份制银行反诈骗部门相关人士指出，快捷支付安全性较高，其验证密码只发送到客户预留的手机号码上，是唯一的识别密钥。动态短信验证密码相较于U盾而言安全系数略低，但是在客户体验和安全方面的最大平衡。

不法分子通常通过两种方式获取个人信息，一是拼凑法，通过已经被泄露的个人信息，进行整合加工;另一方面直接攻击平台获取个人交易信息。“所以短信动态验证码等必须妥善保管，不要轻信所谓低价网站、邮件、短信、聊天工具等发来的链接。”

佰佰提醒：类似工行储户资金被盗刷案件频频发生，对于这类网络诈骗，很难找到诈骗分子，损失也很难找回。因此打击网络诈骗需多部门联动，共同打击犯罪。

相关常识：支付宝遭遇莫名盗刷?揭秘支付宝遭盗刷的四种常见手段!

更多移动安全常识、信息安全资讯请关注本安全网站!

( 责任编辑: 吴梦莉 )