商丘虞城的范大妈年逾六旬,平时和孩子住在郑州。令她没想到的是自己银行卡上的近4万元养老钱竟在今年1月25日下午短短的数小时内被莫名转走了,而她的手机竟然未收到任何扣款短信提醒,以致她本人对盗刷浑然不觉。
事发后,范大妈的儿子展开了调查。经过近一个月的追查和摸索,他基本弄清了骗子的作案手法,并发现第三方支付机构的快捷支付中存在相应漏洞。
昨日,商丘市虞城县人民法院公开审理此案。记者试图剖析此典型案例,给市民以提醒。
案件:卡在身上,近4万元莫名消失
“1月27日晚上9点多下班时,我听到妈妈说她的手机来了个短信提醒,就打开来看。短信是一家名为‘易付宝’的第三方支付机构发来的扣款提醒!”范女士的儿子程先生说。
短信内容为:您好,您于16年01月27日12时13分向邮政储蓄银行(尾号2343),成功提现500元,欢迎您再次使用。【易付宝】
看到此短信内容,程先生特意问了下妈妈。得知她并未办理过邮储银行卡,遂以为收到的是诈骗短信。由于不放心,就又查询了妈妈的农行卡。不成想,妈妈一直带在身边的农行储蓄卡上的钱竟不翼而飞,里面的38115元被盗刷。随后,他们立即挂失银行卡,并报警。由于涉案金额较大,郑州柳林派出所案件侦办大队受理此案。
记者随后看到了范大妈农行卡所打出的对账单,显示其银行卡在1月25日14时到21时的7个小时里,先后被消费19笔,其中一部分显示为易付宝、网银在线、顺丰、支付宝、快钱等第三方支付机构的消费,另一部分直接显示为消费。
追查:卡在身,为何被莫名开通“快捷支付”?
程先生说,要在支付宝、易付宝等第三方支付机构进行消费,必须开通“快捷支付”。而要开通第三方支付机构的快捷支付,那就需要在客户端填写持卡人的姓名、银行卡号、身份证号、为银行预留的验证手机号以及其推送的短信验证码。
“实际上,在个人信息泄露严重的今天。骗子很容易买到个人的银行卡等身份信息,而储户掌握在手中的唯一屏障就是第三方支付机构向客户手机发送的验证码。那为何我妈的手机在1月25日之前竟未收到一条验证码和银行余额变动短信提醒呢?!”程先生很疑惑。
随后,他又登录中国移动网上营业厅,查询在1月25日妈妈的资费详单,发现在银行卡被盗刷的14:00~21:00时段内,她的手机往一个陌生号码182XXXX5864每隔1~2分钟发送一条短信,共计发送了70多条短信。经查,该陌生号码归属地为江苏苏州。
后经通讯技术人员分析,范女士的手机应该是中了一种木马程序,其能屏蔽接收到的信息并将此信息转发至指定号码。“后来,我在百度上搜索,发现有人公然叫卖这样的木马程序,开价500元!这种木马程序主要针对的是安卓系统的手机!”程先生告诉记者。事后,他与上文提到的那个陌生号码联系,假称也想学此技术。对方称:“我给你个教程,该内容会教你如何使用‘马’,如何运用回复功能。另外,还会介绍个卖‘马’人给你,一共3500元。”
调查:快捷支付首次开通应“双重”鉴别,但不少银行未做到
未开通网银,仅凭一个短信验证码,就将银行卡上的钱转走消费,这里面蕴藏的“风险”也太大了吧!程先生了解妈妈的银行卡被盗刷的基本经过后,得出如此结论。银行监管部门对此风险难道就没有关注到吗?
记者查询发现,其实针对近两年出现的银行卡通过快捷支付被频繁盗刷的行为,2014年4月份银监会就与央行联合下发《关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)。该通知对商业银行与第三方支付机构建立业务关系提出系列明确要求。
10号文指出,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”。
但实际操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别,而不少银行并未再次进行身份鉴别。
随后,程先生将自己的农行卡与支付宝进行绑定,他发现首次使用支付宝进行快捷支付时,仅需通过支付宝单方面的身份鉴别,而银行方面并未再次进行身份鉴别,“实际上,第三方支付机构的快捷支付在开通时是绕过银行的”。
“妈妈的银行卡在身上,密码也没有泄露。而现在,有人却在储户不知情的情况下开通了快捷支付,并导致银行卡被盗刷,我认为银行方面难辞其咎。”程先生说。
进展:银行已追回4笔退款
由于范大妈的银行卡开户行为虞城县农行,昨日,记者与虞城县农行一位李姓副行长取得联系。李副行长在电话中告诉记者,范女士银行卡被盗刷一事,他们已经知晓。目前,他们正通过省行,与第三方支付机构沟通,尽快退回其损失,“已追回了4笔,共计6000元的退款。下一步,我们还会继续协调,最大限度挽回范女士的损失”。
至于快捷支付首次关联农行为何未进行再次身份鉴别,李副行长说:“这个问题很复杂,一两句话讲不清楚。”
“现在,我还和易付宝进行沟通,争取他们的退款。我仔细核对了我妈最初收到的短信,里面有个邮政储蓄银行卡(尾号为2343),没想到这张银行卡的确存在。骗子竟然通过第三方支付机构将钱转到这张银行卡里,然后提现。而这张银行卡,竟然是用我妈名字办理的。”
骗子为何需大费周章再办理一张范大妈名字的银行卡呢?这是因为,第三方支付机构内的钱在转出时需与转入时用户名和预留电话一致。
“我妈的身份证在身上,骗子又是如何办理的邮储银行卡呢?”程先生感觉很疑惑。随后,他又通过邮储银行打出了当时办卡受理时的信息,得知骗子所持银行卡是在邮储银行珠海市珠海大道办理的,开户时所使用的证件为士兵证。银行方面说,此卡应为有人拿着士兵证在开卡机上直接开的卡。
“整个事件中的一些细节,想想都让人害怕!”程先生说,目前他已将调查到的一些证据,提交给警方。昨日,虞城县人民法院公开审理了此案,但并未宣判。 (□记者李一川)