广发信用卡屡遭盗刷 手机动态密码或存致命漏洞

原本为了增加安全系数的手机动态密码，如今却成了广发网银最大的漏洞。近段时间，广发信用卡盗刷事件频发，作案者手段几乎一致：在受害者网银中修改手机号码，利用新号码接受动态密码，从而完成盗刷支付。近10名被盗刷者向《IT时报》记者提出的相同问题是：网上支付环节中最重要的一环——手机，为什么能如此轻易修改？第三方支付平台能否承担更多的风险控制功能？

用户投诉

一夜“飞”走5000元

8月23日早上王青(化名)打开手机，几条“一拥而入”的短信，让他感到“大势不妙”：“尊敬的×××，您在广发银行网上银行的手机号已经重新设置成功。”“贵卡末四位××××于23日02时消费人民币2000.00元，授权号末四位××××。”几条短信看下来，王青明白了，自己的广发信用卡被盗刷了，损失5000元。

王青立刻拨打了广发信用卡的客服电话，经过查询，第一笔2000元被通过支付宝购买了彩票，第二笔3000元则通过银联在线支付了出去，由于采用即时到账的支付方式，这5000元是追不回来了。

上网搜索一番，王青才发现，原来发生在自己身上的“噩梦”并非个例。从今年7月初开始，便陆陆续续有人在网上投诉，广发上线新网银系统后，信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日，他的一张广发信用卡在凌晨两点多的时候被盗刷2000元，通过环迅支付用于购买一家名为腾驰策划公司的服务，被盗经历与王青如出一辙。经过一个多月的联系，叶迷得到的最新回复是：广发银行风险控制部门已介入调查，在此期间，无需还款。

记者调查

第三方支付难止损

在记者拿到的一份广发信用卡被盗刷者的名单中，有5个被盗者与叶迷一样，数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢？8月24日，记者多次拨打腾驰网站上的电话，始终无法接通，其中公布的400电话，更是被接线方否认属于腾驰。叶迷告诉《IT时报》记者，曾有深圳的受害者去腾驰网站上标明的地址查访，却并没有找到这家公司。

通过第三方支付平台——环迅支付，记者拿到一份来自腾驰的声明，称他们也是受害者，盗刷者是他们的一名会员，目前已无法联系，其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实，这是一家正规运营的公司，证照齐全，销售的是网络优化等服务。

7月4日失窃当日，叶迷向环迅提出终止付款的要求，但最终并没有被支持。环迅支付相关人士告诉记者，普通用户与环迅之间都是T+1的结算方式，也就是说，第一天凌晨发生的盗刷，第二天才会真正由环迅支付给商户，如果盗刷者购买的是实物商品，且当天便与环讯联系，便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品，采用的是即时到账的结算方式，所以第三方支付平台很难止损。

广发网银可随意更改手机

经过对多名受害者采访，《IT时报》记者基本复盘了整个被盗刷的经过。5月20日，广发信用卡的新网银上线，其中一项重要修改是，取消原有固定的支付密码，而采用手机动态密码的方式，也就是说，每次支付前，手机将收到一条动态密码，以此作为支付凭据。

然而，这种新操作模式有个致命的弱点，除非用户设置了“私密问题”，否则黑客只需知道网银登录名和密码，便可在网银上修改手机号码，且修改后的密码直接发送至新号码处，从而完成支付。“广发称这是为了方便丢失手机用户，可到底是网银安全重要，还是为这极少数丢手机用户服务重要？”王青对广发的解释很不理解。

在记者拿到的这份被盗刷名单中，有五六起案件的盗刷者修改后新手机为同一个“159”开头的号码，基本可确定，这些案件均一人所为。然而由于涉案金额并不高，每件盗刷案大多在数千元左右，被害者分布范围广，遍布浙江、广东、北京等地，尽管都已经报警，但警方明确表示，案值太小，恐怕很难破案。

诸多网银只有广发中招

“银行总是说盗刷责任在我们，没保管好密码，难道广发网银就一点责任都没有吗？”王青告诉记者，他电脑中装了360安全卫士、网购保镖等各种杀毒软件，定期更新，从未报警说有木马，“我网购6年，工行、招行、交行等银行的信用卡和网银都有，且最近两个月内均使用过，就算电脑被种了木马，这些银行的网银登录密码应该全被盗，为何其他银行没有被盗刷，只有广发被盗刷成功？”

到底其他银行是如何做的呢？记者随即拨打了招商银行的客服电话，对于记者要求更改注册手机号码的要求，客服人员提出不仅要人工核对多重资料，而且修改号码的请求短信会同时发给新、旧手机号码，最关键的是，修改请求第二天才生效，如是，被修改者有一天的时间来发现，是否密码被盗。至于通过网银修改手机号码？“是不可能的。”

浦发银行的网银防范也十分严密。每次登录都必须输入手机动态密码，从开始便杜绝了盗刷者登录的可能。

记者手记

迟迟不见亡羊补牢

在记者接触的被盗刷者中，最早一人于7月4日被盗刷，最晚一人于8月23日被盗刷，中间相隔一个半月，用户也已经多次向广发投诉。但为何如此明显的漏洞，广发网银仍没有做任何补救工作呢？亡羊补牢为时不晚，就算现在进入调查阶段，先把“羊圈”修补好，应该难度不大吧。没人苛求银行服务十全十美，人们在意的，只是对用户起码的用心和尊重而已。就这点来说，广发差距甚远。