储户存款频遭窃 “e支付”安全隐患曝光【2】

　　同时，中国移动北京分公司的相关负责人也坦言，由于“短信保管箱”业务设立于2009年，是在短信被广泛应用于金融领域之前就已经存在，因此未能充分考虑金融类业务所需的安全等级，经过此类事件，该公司会全面梳理基于短信的增值业务，提升此类业务的安全性。“此次银行卡被盗刷客户投诉后，客户虽然仍能开通此业务，但查询历史短信的功能已紧急关停，目前正在对业务进行优化，包括‘不保存银行下发的短信’‘只能查询24小时前的短信’‘需要动态密码验证’等。”

　　安全大考

　　在采访中，记者了解到，并非所有储户的存款都是在被办理了“短信保管箱”之后才被盗的。

　　储户秦玉(化名)也是本次存款丢失的受害人之一，但与其他受害人不同的是，她的手机号并非归属于中国移动公司，没有出现过被办理“短信保管箱”的情况。秦玉告诉记者：“在我存款被盗取的过程中，我没有收到过动态密码，只收到了95588发来的短信验证码，称我正在修改工银‘e支付’的信息，随后就是我的存款被转走的通知。而‘e支付’这项业务也并非我本人开通。”

　　某国有银行电子银行部人士猜测，秦玉的情况应该是短信验证码被犯罪分子通过其他途径获取了。与U盾相比，使用短信验证码进行交易的快捷支付虽然便捷，但安全性相对较差。

　　“这类案件的关键问题在于银行是将短信验证码作为身份认证的依据，而这就决定了会存在一定的风险。”猎豹移动安全专家李铁军认为，虽然在此次事件中，工商银行和中国移动公司都有责任，但中国移动的“短信保管箱”业务只是一个可能窃取短信验证码的途径，与以往的钓鱼网站、拦截手机短信的病毒作用类似，因此关键问题在于短信验证码本身。

　　“在保证信息安全时，通常可以借助三种方式进行身份验证，分别是利用‘所知道的’如密码;‘所持有的’如短信验证码和‘所固有的’如指纹、虹膜。”某国有银行科技部人士告诉记者，“如果只采用单一验证，如短信验证，其安全性不如双重验证安全。同时，‘所知道的’和‘所持有的’都可能会被人窃取，其安全性不如‘所固有的’。但指纹识别也要考虑识别率的问题，比如有指纹识别的手机有时候也会出现自己的指纹解不了锁的情况。短信验证的成本相对较低，且通过率高，因此应用更为广泛。”

　　李铁军认为，从实际运行的情况上看，快捷支付已经给人们的消费带来了很大的方便。“目前，中国可以称得上是全球移动支付最发达的国家。不能因为发生了存款被盗的情况，就要因噎废食，摒弃快捷支付。如果要在移动终端增加传统的U盾来保证安全，显然交易的速度会大打折扣，使用起来很不方便，银行很可能就会被第三方支付机构打败。”李铁军建议，由于每种支付方式都会有风险，但这种风险不应该转嫁到客户身上，因此可以通过保险的形式来保障储户的权益。

　　“当然，银行也应该继续完善网银的安全性。”李铁军坦言，目前银行的系统都是使用实名制的，这相对于有些非实名制操作的第三方支付公司而言，安全性要高很多。但银行的系统在安全保证方面应该做得更完善，以便减少恶意入侵导致的存款丢失事件。

　　在采访中，记者了解到，此次储户存款被盗事件似乎早已被犯罪分子埋下伏笔。

　　储户刘全(化名)的存款是在6月28日被盗的，但后来他发现，早在那之前，自己的网银就已在异地被登录过了，但自己并未收到过银行的提示。而刘全的情况也在多位储户身上发生过，他们告诉记者，他们网银被异地登录的IP地址集中在海南一带。