工商银行手机银行曝安全管理漏洞 遭到用户起诉

PUXIN 作者:郑岚予 张小培 来源:时代周报 2011-05-19 [评论]

    功能日趋完善的网上银行作为一种新事物,带给人们便捷服务的同时,其安全风险也成了人们心头挥之不去的阴影。一份调查报告显示,2010年新增“钓鱼网站”175万个,比上年增长11倍。继中行钓鱼网站系列短信诈骗案后,骗子们的手法再度升级—将骗局转而投向新生的手机银行业务。我们还能安全地使用网银和手机银行吗?

    继中国银行钓鱼网站系列短信诈骗案后,骗子们的手法再度升级—将骗局转而投向新生的手机银行业务,而这一次倒霉的是中国工商银行。

    日前时代周报记者接到投诉称,犯罪分子利用几十秒的时间,眨眼间转走受害人账户的取款上限50万元,而这类案件并非孤例。在澳资银行工作的受害者李女士认为,除了自己母亲不谨慎外,工行的手机银行业务存在致命漏洞。李女士对时代周报记者表示,工行没有设定转账的最低限额导致自己母亲遭受了巨额损失,这个责任工行无法也不应该回避。

    中国的网银系统—电子银行、手机银行系统频出差错,是偶然还是疏忽?受害者的质疑是否有理可循?自称同样是受害者的工行又应当担负何种责任?如何尽量避免此类事件再度发生?

    金融诈骗新手法

    受害人李女士是澳大利亚籍华人,与母亲长期定居悉尼。李女士的母亲(以下化名张某)2月底回上海小住3个月。李女士告诉时代周报记者,今年3月8日,张某接到了一个诈骗电话。电话那头的人自称是上海中院,通知张某有3张传票,涉嫌信用卡恶意透支、贩毒等案件,其间又转接到检察院、公安局等多个部门,最后一名自称为刑侦大队的人在电话中说,为证明张某是无辜的,他们必须监控张某的银行账户和资金流向,为此张某必须用他提供的号码立刻去银行开通手机银行业务。

    李女士对记者表示,由于自己和母亲长期不在国内,对国内层出不穷的诈骗手段一无所知,在骗子的恐吓和欺骗下信以为真,立刻去工行上海花木支行办理了手机银行业务,并把口令卡的内容转述给对方。五分钟后张某有所警觉,回支行查看余额被告知账户上的50万元已经被一次性网转转走,她继续询问时被告知有可能是高科技犯罪银行无能为力。在银行方面建议下,去了公安局花木警署报案,至今仍未破案。

    李女士对时代周报记者称,4月8日去公安局询问案情,得到的答复是钱已于案发当日被转账到福建蒲田某账户并被再次转账。“这是警察做的且唯一做的事情”。李女士无奈地说,工行在本案中存在不可逃避的责任。“首先,工行花木支行在为客户开通手机银行业务时,没有向客户认真解释各项功能及使用方式,也没有告知客户转账限额,没有尽到告知义务。”

    李女士表示,开通手机银行的申请书只有薄薄一张蓝色的纸,上面的功能没有具体的解释,在纸背面有很小的一行字,参照工行的某协议。“是不是工行做了一个假设,客户在走进银行开通业务之前对工行所有产品和功能都了如指掌?是不是每个客户都会上网去谷歌去查工行的这个需要参照的章程的具体内容是什么?如果是这样的话,工行未免太理想化太天真了。”

    李女士告诉时代周报记者,她不是对工行或工行的某位工作人员不满意,而是对工行的整个手机银行业务存在严重质疑。李女士在美资和欧资银行工作多年,对许多国家的银行业务都有所了解,她很不理解为什么工行不在手机银行个人账户开始时设定一个最低的每日转账限额,“50万元相当于中国普通民众年收入的10倍以上,难道所有的银行客户都需要这么高的转账限额吗?”

    李女士始终对工行上海花木支行没有在第一时间核查,并马上采取紧急措施避免或者减少损失耿耿于怀。“这凸显了银行漠视客户利益,员工责任心缺失。”

    工行称自己已尽责

    面对李女士尖锐的指责,工行则表示已尽到告知和提醒义务。工行上海相关工作人员对时代周报记者介绍说,面对张某开通手机银行的要求,工作人员就已提醒她防止网上诈骗行为,并由客户经理进行了解情况与提醒。最初张某是希望把存折卡与硬卡共同绑定手机银行,但在工作人员的劝说下最终只绑定硬卡。

    此外,工作人员多次询问开通手机银行的原因及是否会使用,“张某说自己一直都使用工行的网银和U盾,对银行业务很熟悉,她说孩子会教她用手机银行。”至于当时是否明确告知手机银行具有转账功能以及其他使用功能?“在警方的笔录中客户曾表示我们有提醒过老人。”上述工作人员对记者表示,“我们害怕此类问题发生,已经三番五次提醒但是她不听。”老人多次强调的“孩子会教我用”更被认为是一种委婉的拒绝,“双方是一个互动过程,如果总是被拒绝,我们还要怎么问?”

    工行总行新闻处相关人士在接受时代周报记者采访时表示,没有任何一家银行希望客户受到损失,现在工行正在全力配合公安机关侦破案件。工行有一套防电信诈骗的机制,工作人员在看到张某过来办理手机银行业务时已经有所警觉,并在张某提出申请口令卡的时候明确告知口令卡是对外支付使用的。“如果客户坚持要办理业务,银行方面是无权拒绝的。”

    针对李女士严重质疑的最低限额问题,工行总行电子银行部相关人士表示,客户登陆手机银行时都会提示额度是多少。手机银行默认是不开通转账的,除非客户自己勾选了转账一栏。据时代周报记者了解,此前工行设置手机银行单笔转账一次最多是5万元,全天最高限额35万元,从今年1月24日开始才变成了50万元。

    对此,工行总行电子银行部相关人士解释,一般私人银行客户和企业主要求的限额比较高,“如果要拆细会有人质疑你为了多收手续费”。从2月到5月,工行单笔超过20万元转账的手机银行业务超过1000笔,单笔超过50万元的也有100多笔。“这说明工行面对的群体真的是非常大”。

    上述工行总行电子银行部相关人士称,工行的手机银行安全性跟同业比较起来,认证手段最多,安全控制也最多。因为工行设置了三重把关:“第一确保她本人来办;第二必须用绑定的手机号才能登陆,登陆后才能转账;第三不仅仅有登录密码,在交易过程中还要输入动态密码。”

    针对李女士“工行没有在第一时间核查并马上采取紧急措施避免或者减少损失”的质疑,工行总行新闻处相关人士表示,工行没有权力冻结客户账户,按中国目前的法律规定,必须公安机关等有权部门出具相关证明时银行方面才能做出相应动作。“在张某开通手机银行业务时,工作人员特意问她是不是自己的手机号,张某回答说是。”

    网银漏洞谁来问责?

    李女士对时代周报记者说:“我不否认我妈妈是有过错的,会傻到把电子口令卡跟骗子讲,但是她的这种不对,是否就该遭受对她来讲几乎是毁灭性的打击?”

    李女士为记者做了一个比较:如果骗子骗去的是银行借记卡密码,那么损失最多也就是2万元。因此工行应该赔付剩下的48万元,“如果工行方面拒绝赔偿,起码要给我们道歉,承认他们产品设计的缺失并作出改进,以免更多人受到损失。”

    “李女士要想胜诉不太可能。”辽宁坤岳律师事务所金融律师乔磊对时代周报记者表示,要银行承担责任,首先需要证明其存在过错,以及这种过错行为与被害人被骗有因果关系。银行将最高限额设在50万元,是为满足不同用户的需求,且不违反银行业务规范,用户可以根据自身需要决定要不要开通。

    在乔磊看来,难以用限额过高为由认定银行存在过错,并且转账限额高低与本案受害人被骗没有因果关系。但由于被害人年纪较大,且独自到银行办理业务,如果开通手机银行过程中银行确实没有履行相应的解释告知义务,受害人可以要求银行承担相应的责任。

    时代周报记者调查了国际上诸多银行的额度限制。COMMONWEALTH银行网上银行每日转账到非客户本人的本行其他账户,或者非本行的账户的业务限额为AUD1000 (如果在2009年10月10日后注册为AUD2000)。且该银行可能需要对使用网上银行进行的把钱转到非客户本人的本行其他账户,或者非本行的账户的业务进行进一步审核,这可能需要1个工作日或者更长时间。

    而澳大利亚WESTPAC银行网银的日限额为AUD1500。香港汇丰银行对于non-registered账户的日转账总限额也只有HKD50000。所谓non-registered账户,是指不经常往来的非注册账户。相对non-registered账户的是registered 账户,其日转账限额有HKD1,000,000。但是开设这种账户需要客户本人到银行递交申请。美国花旗银行对于同行之间(花旗-花旗)的日转账限额也设置得很低,为USD1000-2000。

    针对最低限额设置问题,某商业银行资深业务专家对时代周报记者表示,最安全的办法是设置一个最低限额,由客户根据自身需要向上调整。“工行目前设置的50万元额度在中国的银行里不算最高,也非最低,属于中游水平。”

 手机相关产品资讯
 手机相关行业资讯
微信二维码 新浪微博 欢迎关注普信网打开微信扫一扫成为Puxin好友