银行卡未离身,账户内4万余元却不翼而飞。在福州台江做生意的李先生近日遭遇了银行卡账户被盗刷的情形。记者了解到,该账户资金是被不法分子通过第三方支付渠道采取“蚂蚁搬家”的方式分37次盗走。在交易过程中令人费解的是,银行提醒短信和手机验证码均被拦截转发到不法分子手机上,客户无法及时得知从而错过及时冻结账户的机会。
4万余元存款被莫名划走
读者李先生在台江做生意,平时业务有款项往来,此前他申办了一张银行卡,为了方便资金查询、转账,他开通了网上银行业务,并配套申请了U盾。每次资金汇款需插入U盾才能完成。2015年7月30日14时许,生意上的客户汇了一笔40775元的款项给他。汇款人当时没有打电话和短信告知。在此之前李先生的银行账户余额约为100多元。
李先生称,他几乎每天都会登录网银查看资金余额。7月30日当天18时许他登录网银查看账户余额,发现没有变化,他以为对方仍未汇款,就没有在意。8月5日汇款人打电话告知他钱已转账,此时他才意识到资金被盗,赶紧报警并挂失银行卡。银行账单显示,被盗资金总额为40828.2元。李先生说,他的银行账户未绑定第三方支付等业务,而且过往每次账户资金有变动,银行就会及时发短信提醒,但此次他均未接到资金余额变动的短信。
资金被分37次“蚂蚁搬家”式盗走
察看银行账单明细,李先生发现资金通过第三方支付平台被逐笔小额转走。记者在李先生提供的明细单上看到,李先生账户在7月30日当日汇款收入后不到10分钟,一笔500元资金就通过财付通第三方支付公司划走,约过20分钟,第二笔1000元资金又通过该第三方支付渠道划走。
该过程持续1天多,一直至8月1日11时许结束,最后一笔1700元资金由北京通融通信第三方支付平台划走。盗刷金额最小的一笔为100元,最高的一笔为3666元。据银行核实统计,李先生账户于2015年7月30日至8月1日期间通过深圳市财付通科技有限公司、快钱支付清算信息有限公司、中移电子商务有限公司、北京通融通信息技术有限公司、天翼电子商务有限公司、网银在线(北京)科技等第三方支付公司共划走了37笔,金额合计40828.2元。
令李先生费解的是,此前他未开通第三方支付业务,而且开通第三方支付或者转账,也需要短信验证码,但在盗刷过程中手机一直未收到短信。经查,银行等短信在盗刷过程中被拦截,均被转发至不法分子的手机上。李先生拨打这个来自广州的手机号,但该号码已过期。李先生说,8月5日时银行短信提醒功能才恢复正常。
只有1500元可申请退回
事发后李先生第一时间找到银行。银行让李先生找第三方支付公司解决,并提供了第三方支付公司的客服电话。李先生及时逐一拨打各家公司电话,其中一家支付公司共涉及2笔交易,金额为1500元。这家公司在接到投诉后让李先生提供相关材料申请退款,其余5家则称资金已被划走,无法退款。
记者就此联系该银行,相关人士称,经核实,初步判断是客户手机中了病毒,验证码短信被屏蔽并被转发至不法分子手机上。记者随后联系了网银在线公司,公司李经理对此解释称,客户通过第三方支付平台绑定银行卡,在输入账号、身份证号和手机号等信息时,银行端会进行核实,如果信息一致,第三方支付就可开通。不法分子应是掌握了李先生的有效信息后开立第三方支付业务,然后小额转走账户款项。
记者昨查询发现,除了传统获知银行账号和密码后**进行盗刷外,眼下通过第三方支付平台悄然卷走客户资金的案例也时有出现,第三方支付渠道已成为盗刷的新渠道。据了解,不法分子盗取资金的流程为:先通过各种渠道购买客户的网络交易记录和信息,获取储户的卡号、身份证和手机号,然后在第三方支付平台以储户名义开立第三方支付账户,并绑定银行卡。银行系统验证储户信息正确后,第三方支付平台会发送动态口令到客户手机号上,用户再输入正确的手机动态口令进行确认。短信密码验证这一步骤非常重要,但现在有的犯罪分子利用伪基站向手机植入木马病毒,拦截了本该发给储户的动态口令以及交易验证码。这使得储户手机未能收到短信,一时没能发现被盗刷。
另外,第三方支付平台讲究快捷便利,发卡银行与第三方支付平台间多为默认开通方式。因而只要不法分子获得持卡人的银行卡号及手机号,通过向持卡人手机发送不明链接,诱使持卡人点击后将病毒植入手机,病毒软件将每次快捷支付的短信验证码截取后转发给不法分子,就可以进行多次小额支付交易,且不易被持卡人发觉。
律师称银行和第三方支付应承担责任
资金接二连三被盗暴露出第三方支付平台的风险管理问题。对于银行和第三方支付公司的解释,王先生难以接受。他说,银行和第三方支付有严格审核客户信息和保护客户资金安全的义务。快捷支付仅凭个人相关信息就能开通,此举虽然便利客户,但现在短信验证码也能被拦截,这使得客户资金安全没有保障。此前就有类似盗刷案件,银行和第三方支付机构应引起重视,加强管理并采取措施加以防范,而不是每次出事后都是以客户没保管好个人信息为由推托。
建达律师事务所阚小冬律师说,有别于传统账户资金被克隆盗走,新型盗刷是利用第三方支付易开通的漏洞以及短信被拦截的高科技犯罪手段实现小额资金“搬家”。他个人认为,银行和第三方支付公司有保管客户资金安全的义务,在未经客户真实授权情况下就被轻易开通第三方支付,两者存在一定的过失,理应承担相应责任。此外,在频繁遭盗刷背景下,银行和第三方支付公司应加强管理,有义务提升安全防范措施。
