工行卡被指网银服务存在漏洞

  因中了骗子“如意金积存”圈套,张浩妻子工商银行账户上的六万多块钱不翼而飞。
   据统计,2015年7月以来,全国各地至少800名工行储户遭遇了这一骗局,其中被骗钱的有350人,单笔被骗金额最高达7.9万元,合计约275万元。工行方面表示,总行已向公安部门报案,并将全力配合警方调查。
张浩认为,是工行网银存在的安全隐患给了不法分子可乘之机,因此其损失应由工行赔偿。8月17日上午,包括张在内的16名受害者到工行上海分行讨说法。同日,广州、北京两地受害者分别也赶到所在地的工行分行及银监部门要求赔偿。
 
骗子潜入账户,买黄金设局
 
  8月13日晚7时许,张浩妻子突然收到一条工行扣款短信,其账户7.6万余元全部被支出购买了“积金积存”。
  张浩妻子对这项业务闻所未闻,也弄不明白“积金积存”为何物。惊慌失措的她只知道,账上的钱真的被支出了,账户余额只剩五毛钱。
  这时,一个自称“拍拍网客服”的人打来电话,询问她刚才是不是购买了七万多块的游戏卡,如果不是本人亲自操作的,他们可以协助退款,但需要告知她手机上收到的短信验证码。
  扣款短信是真的,退款电话应该也假不了。夫妻俩商量着,反正卡里已经没有钱了,说不定给了验证码钱就回来了。
  给了“拍拍网客服”验证码后,张浩妻子果真收到账户资金变动的短信。当账户余额接近两万元时,“拍拍网客服”来电称这样退款太麻烦,希望她连接U盾配合操作。直到六万块钱被转走,余额只有一万多元时,夫妻俩才如梦初醒,他们遭遇了电信诈骗。
  张浩上网查询得知,这是一种正在各地上演的最新骗局。
  诈骗分子登录张浩妻子的网上银行后替她开通了“如意金积存”业务,用账户里的7.6万余元替她申购了积存金。骗子通过积存金的申购和赎回造成扣款、退款的假象,骗取了张浩妻子的信任,拿到快捷支付的验证码后再将钱转入第三方交易平台。
  即便没让骗子全部得逞,但这类骗局仍会给受害者造成损失。工行上海储户黄哲在8月11日晚遇到同样的骗局,他没有上当,登录工行网上银行赎回了骗子替他购买的130多克黄金,但因手续费和实时变动的黄金差价,黄为此还是损失了500元,“前后没超过两小时”。
  工行总行办公室公共关系处负责人汪振宁表示,“对于客户因为非本人操作购买贵金属产品产生的手续费等损失我行将予以返还,维护客户的合法权益。
 
  密码是谁泄露的
 
  接到骗子的电话时,黄哲最关心的问题是,自己的网银密码到底是怎么泄露的。
  黄哲称自己的密码设置得相当复杂,和个人信息也没有任何关联。他来到开户行询问,工作人员建议他仔细回忆,可能是在平时上网的过程中自己不小心泄露了密码。汪振宁称,“经核查分析,在此类事件中,不法分子通过钓鱼网站、木马程序等非法手段获取客户账户信息、电子银行登录名和密码。”
  黄哲不能接受“储户个人泄露密码”的说法。受骗当晚,黄哲加入了“工行如意金积存受害者”QQ群,他发现群友受骗共同点是在受骗前几日有大额资金往来。“试问,除了工行服务器被黑,除了内部泄露,还能有什么把我们汇集在这个群里?”他说。
“  工行一口咬定是我不小心泄露了密码,我手上有三张卡,为什么唯独工行的卡出事情?”上海储户诸文说她实在想不通。还有一位平时只通过工行手机银行登录账户的受害储户甚至将手机交给派出所查验,据称未查出异常。
  “密码是谁泄露的”成了受害者QQ群中的高频话题。
  “还是要让公安抓骗子,抓住一问就清楚了。”中国消费者权益保护法学研究会会长何山认为,在密码泄露问题上银行推储户,储户推银行,不核查清楚就没法分清责任。北京盈科(杭州)律师事务所律师余许昌表示,当储户和银行都坚持不是自己泄露了密码时,在法律诉讼中只能“谁主张,谁举证”;但现在  工行和储户主张对方泄露密码都缺乏确凿的证据,因此只能判断工行在完善信息系统方面负有更大责任。
 
  越便利就越不安全?
 
  诸文询问开户行大堂经理,为什么骗子登录她的网上银行就能直接操作交易贵金属,不需要风险评估,也不需要签署书面协议。
  7名受骗储户在提交给中国银监会的联名信中援引了其2011年公布的《商业银行理财产品销售管理办法》,希望以此证明工行“在理财业务开通及购买流程上违规”。据该办法显示,商业银行应当在客户首次购买理财产品前对客户进行风险承受能力评估,评估结果告知客户,由客户签名确认后留存。受骗储户认为,如果工行严格执行此规定,骗子即使登录了网银也无法开通“如意金积存”业务;他们收不到资金变动的短信,也就不会上当受骗。
  汪振宁则澄清:“该业务的本质为贵金属实物金条的网上购买行为,并非投资理财。”
  诸文的另一重疑问是,为什么网银交易贵金属连二次验证都可以省了,“那我们当初花钱买U盾有什么用呢?”
  工行客服用一个比喻回应了受骗储户的类似质疑:同一账户内的交易就像你的钱从左手到了右手,难道还需要验证吗?
  汪振宁则表示,不需要二次验证的“设计初衷是在确保客户资金不向外划转的前提下为客户提供更便捷的理财服务”。他同时表示,“为进一步加强对客户账户安全的保护,我行将对新开立贵金属交易账户的业务提高认证强度。”
  网友“小马爆发正能量”在大型国有银行和股份制银行都工作过,在身边三个亲友接连遭遇了“如意金积存”骗局后,他开始在微博上发帖质疑工商银行。他分析,这类骗局在2014年就已显露端倪,工行的风险防控部门应该有所耳闻。“但业务部门会出来说,被骗的是少数,不要二次验证毕竟方便了客户。银行通常会这样考虑问题。”
  紧急补救措施并非没有,工行最终决定从8月14日凌晨起对个人网上银行理财类交易增强了身份认证控制,客户进行包括网上贵金属在内的理财类交易时必须通过U盾、口令卡或支付密码进行二次验证。不过,手机银行的系统设定没有同时更改,受害者QQ群里的新成员还在不断增加。8月16日起,工行手机银行的理财类交易也须进行二次验证。
 
存款被骗,维权艰难
 
  工行“如意金积存受害者”QQ群成员聊得最多的话题是:损失的手续费谁来赔偿?被骗的钱有没有可能要回来?
  石家庄储户“52万哥”是群里的名人,他被套在积存金账户里的钱最多,赎回时产生的手续费也最高。他联系当地电视台报道此事后早早获得了开户行的补偿。
  北京储户吴梦是理赔的先行者,她7月初被骗时,受害者QQ群还没有建起来。她通过各种途径,到最后协商解决,整个过程历时一个月。
  还有一些受害储户在微博、地方论坛上广泛发帖,也得到了回应。开户行的工作人员会主动联系他们,补偿现金,并要求他们签署一份“客户谅解书”。
  而工行兰州某支行给了被骗储户2350元作为“出于人道考虑的补偿”,“但不是赔偿,咱们得把这话说清楚”,条件是要求该储户当场删掉此前发的微博。
  8月17日,上海16名受骗储户前往上海分行讨说法。该行电子银行部门有关负责人安抚他们说会给出“令人满意的补偿方案”。第二天,被骗了六万块的张浩接到工行电话,称骗子替他买贵金属产生的1700块手续费“肯定赔”,其余的损失“是本人操作,应该赔不了”。
  一位厦门的受骗储户决定走法律途径解决纠纷。这也是网友“公交姬”的选择。7月初,操作“如意金积存”骗局的同一伙不法分子盗刷了“公交姬”的工行储蓄卡,他决定起诉工行“未尽到资金保管义务”。在他看来,法院是将双方“拉到一块儿的契机”,哪怕庭外调解也能解决问题。他建议和银行产生纠纷的储户走法律途径:“未必要请律师。当责任划分不明显时,尽快诉讼才是最好的解决方式,对双方都好。”