一种新型电话诈骗正在蔓延。与以往的骗局不同,骗子不仅掌握了你的个人信息,还会黑进你的网银“帮助”你购买银行理财产品,然后凭借这些准确的信息,以手机验证码为由骗取用户的手机验证码。退款,最后把账户里的钱转过去。参与此骗局的人可能会损失赎回理财产品的手续费,甚至被盗取余额。最近两周,《IT时报》接到多起关于如意金聚(一款具有投资属性的贵金属银行理财产品)被冒用的投诉。根据投诉用户提供的线索,全国至少成立了12个维权群,只有《IT时报》记者加入的两个维权群,受损用户超过1000人。支出23.98万元,全部用于购置如意金积。用户怀疑该行网上银行存在漏洞。一分钟内,23.98万元被“强行买入”。8月3日晚,林强(化名)值班时突然收到该行短信客服“955××”的4条短信提醒。短信显示,不到一分钟,他的手机银行消费(如意金累计)总计23.98万元,卡内余额只有100多元。紧接着,林强就接到了深圳打来的电话。对方自称是某公司的员工,接到了林强的4个订单,问他量大会不会自己操作。如果没有,系统会给林强发一个验证码。提供验证码后,可以取消订单。挂断电话后,林强迅速登录了手机银行。交易记录显示,确实有一笔23.98万元的款项,同时林强的手机上收到了验证码。期间,对方不断打电话,要求林强尽快提供验证码。还好,林强第一时间给银行客服打了电话。客服表示,这是一种新型的诈骗方式。来“吓唬”用户。对方要求的验证码,其实是用来申请一个叫做“电子支付”的功能的。据官方介绍,“e支付”无需开通网银,无需申请U盾,无需安装Control驱动,即可完成小额电子支付交易。不过,与普通电话诈骗不同的是,林强即使识破骗子的诡计,拒绝提供验证码,也会遭受不小的损失。因账户资金已购买如意金,如欲赎回,需支付每克15元的手续费,同时需承担因金价波动产生的差价;如果不赎回,将面临金价下跌的风险。更要命的是,并不是所有人都像林强那样警惕。仅上海一个维权群,就有近60名受害者措手不及,向骗子提供验证码。一位受骗者告诉《IT时报》记者,骗子会先退还部分款项,取得受害人的信任,然后在骗取验证码后,再将剩余资金转走。8月19日,记者以骗子身份联系该银行客服。客服回应称,他们最近确实接到了很多这样的投诉。刷子被盗是由于用户上网习惯导致网银泄露。建议修改网银密码或挂失。至于如意金积聚赎回差价风险,客服表示,可以等黄金行情利好后再赎回,还是会赚钱的,不一定全亏。对于骗子能否利用银行网银和理财系统漏洞,客服一再强调,是用户自己的错,与银行无关,不会支付。“骗子就像银行账户里的蛔虫。”与林强有过相似经历的冯铿也被盗,购买了9.8万元的如意金储蓄,但万万没想到的是,8月3日,旧卡被注销。新卡后,8月11日,冯铿铿再次收到银行短信,手机银行支付(保证金)为4万元,但这次骗子并没有购买如意金积累,而是将钱存入了贵金属存款。从未使用过新版网银,并在手机银行开通了购买贵金属短信验证功能的冯先生,对银行网银产生了极大的不信任,“为什么骗子对我网银的变化这么了解?“银行?银行?谁泄露了它?”客服的回答是,存入贵金属存款不需要短信验证,7月以来,“如意积金骗局”引发的投诉在网络上逐渐发酵,骗子也因此开始改变手法。除了“如意金聚”,贵金属入金、外汇保证金等不需要手机验证码二次确认的网银业务也被骗子涉足。8月14日在手机银行消费1000余元兑换成美元后,她立即更改了网银密码,并设置了登录短信提醒和自定义账户信息,但8月17日,网银再次被盗。“骗子就像我网银里的蛔虫。”被骗者如是说。在维权群里,有受损用户投诉说他刚刚取出账户中的余额现金,还没走出银行大堂,卡就被骗子挂失了。“我的钱去哪了?”很多人的钱都没了。王强将自己的验证码给了骗子后,骗子就从外汇保证金账户中提取了资金,然后将账户中的余额转走。从交易明细来看,20笔交易中部分资金划转至上海汉银信息科技。Ltd.账户(第三方移动支付公司),最终向山西晋中的11个手机号充值498.5元,其中9个手机号重复充值。但这只是骗子转移资金的渠道,有些人的钱被转移到了快钱,这也是第三方支付公司。HandPay是汉银科技推出的一款无卡支付产品。只需关联用户银行卡,无需开通网上银行即可远程购物支付。随后,记者一一拨通了这11个手机号码,但均已关机。汉银科技相关人员的回复是:“银行没有告诉我们付款人的信息,我们也不知道刷卡人的信息。钱是从哪里来的,是否是账号异常,我们无法控制。”IP地址,经过查询,分布在全国各地,甚至是国外的IP。“为什么受伤的总是我?”不少受害人对网银的安全性表示了更多的疑惑:为什么新网银也被盗了?为什么多次修改密码后账号还是被盗?登录网上银行时的安全性为什么控件不起作用?大家都认为银行的系统设置存在漏洞,让骗子有机可乘。甚至有人质疑该行的手机银行登录界面可能存在漏洞。在知名白帽网站五云网,7月6日,该银行被曝“安全控制可绕过”,属于设计缺陷,可轻松绕过键盘记录器的保护。林强认为,由于购买理财产品默认关闭银行电子密码验证功能,诈骗者只需盗取网银密码,无需短信验证或U盾验证。获得用户信任。此外,如意金积累可在晚上10:00前赎回。当天到账,不收取任何手续费。然而,当日他投诉时,客服却从未提醒过他,银行应为此负责。8月19日,该行相关负责人告诉《IT时报》记者:“事发后,系统已经完善。该银行也一直在收集相关信息并统计受害者人数。由于受害人的情况不同,我们不会为所有用户制定一个方案,只能分步处理。”为了止损,林强和冯铿赎回了如意金的存款,为此林强损失了17000元,冯铿损失了4000元。还有更多的人还是被迫持有“如意金积”,这几天金价走势不稳。据记者了解,受害人已经收到某银行工作人员全额赔偿的承诺。在受害人提供的录音中,某支行负责人回复称:“只要您删除网上有损我行形象的帖子,我们将满足您的全额赔偿要求,但这只是人道主义赔偿,不是赔偿。”
