动态验证码易被盗取 有些通过第三方支付平台转移赃款

    银行业内人士介绍，各银行基本都是通过动态验证码来保障网上银行、手机银行的安全。但从发案情况看，看似安全的动态验证码也容易被诈骗分子盗取，造成盗刷高发。

    厦门市公安局刑侦支队民警陈鸿说：“储户点击手机短信中的木马链接后，手机上的通讯录、短信等个人信息全部被诈骗分子窃取。该手机其后接收的新短信也会自动转入诈骗分子的邮箱，银行发送的动态验证码很容易被诈骗分子掌握。”

    公安部经侦局向记者披露了一起典型案例，２０１５年７月，犯罪分子利用重庆三峡银行研发的在线支付平台“三峡付”，３天之内窃取４３名客户逾百万元银行卡资金。

    据办案人员介绍，犯罪分子先向受害者手机发送含有木马病毒的短信，受害者点击短信后，犯罪分子就能获取手机内的全部信息并拦截其后该手机收到的任何短信。犯罪分子从这些信息中筛选出开户人姓名、身份证号码、银行卡号、开户银行预留手机号等信息，并利用这些信息注册“三峡付”电子账户，将受害者银行卡与“三峡付”账户绑定。通过拦截受害者手机收到的验证码，犯罪分子就能设定“三峡付”账户交易密码，将受害者银行卡内资金通过“三峡付”账户转账、在线消费等。

    福建、广东、湖南等地民警调查还发现，一些第三方支付平台没有落实央行关于账户转账金额限制和实名制要求。诈骗分子窃取银行卡信息后，将卡内资金盗刷到第三方支付平台账户，并将这些资金用于购买手机充值卡、比特币等，再转卖套现。公安机关查处资金流向、追回赃款面临较大难度。

    “三峡付”案件中，犯罪分子将受害者银行卡资金充值到电子账户时额度没有受到限制，多个电子账户之间转账也没有额度限制。

    记者调查还发现，一些第三方支付平台违规发放ＰＯＳ机也给诈骗分子盗刷可乘之机。湖南省打击治理电信网络新型违法犯罪中心专家王偲宇说：“从盗刷案件看，一些不法分子在互联网上提供虚假材料就可通过各种代理商申请ＰＯＳ机，难以查找真正的使用人。”

    公安部经侦局相关负责人称，第三方支付平台发放的ＰＯＳ机普遍存在登记信息虚假、可疑资金监控缺失等问题，致使犯罪分子利用涉案ＰＯＳ机可以快速有效盗刷、转移赃款。

    网上盗刷银行多不担责　防范盗刷应多措并举

    据了解，被盗刷的资金一般很难追回，由谁担责也存在争议。福州中级法院近年来审理多起银行卡盗刷案件，该院民二庭相关负责人表示，储户和银行的争议焦点主要在于持卡人对密码等个人信息泄露是否存在过错，储户对银行在安全监管方面存在漏洞举证能力较弱，在维权中处于弱势。

    记者在湖南、福建等地法院采访了解到，从司法判例看，犯罪分子窃取受害者磁条卡信息后“克隆”银行卡的，法院判决银行承担部分乃至全部赔偿责任的案例较多，但受害者被木马病毒入侵或钓鱼网站窃取银行卡信息后盗刷的案件中，银行不承担责任是多地法院的普遍观点。

    多名银行业人士认为，网络盗刷案件中，信息泄露的源头是受害者本人，很难认为银行方面存在过错。

    一些公安民警、银行业人士和法律专家表示，防范银行卡盗刷应当多措并举。储户要加强风险防范意识，不要点击来历不明的短信链接、图片等信息；从银行的角度，要升级技术手段，包括改进手机银行、网络银行单纯依靠短信验证码进行资金账户操作的模式，采用更高防护技术防范盗刷，同时对反常资金流动加强追踪监管；公安部门应加强对伪基站犯罪活动的打击，防止犯罪分子利用伪基站模拟银行、通信等部门号码发送带有木马病毒、钓鱼网址的短信。（记者郑良、邹伟、刘良恒、叶前）