广发网银升级信用卡被盗刷称垫付不意味有错

广发银升级信用卡被盗刷 称垫付不意味有错

广发银系统在一次升级后，在北京、上海等地相继有12名持卡人遭遇了类似的银失窃。都是犯罪分子在上修改他们接收动态验证码的绑定号后冒名盗刷。资深黑客表示，这一系列案件说明，广发银系统可能存在较大漏洞。调查发现，与其他银行银设置相比，广发银客户信息更容易被冒名修改。

上午获悉，部分被盗刷持卡人在被要求签订对外保密协议后，广发银行已经为他们先行垫付了被盗刷金额。广发工作人员表示，此举并不意味着银行存在过错。

盗刷案发

一觉醒来 信用卡被盗刷了

叶先生告诉，他习惯睡觉前把关了。

7月4日早上，叶先生一觉醒来打开，5条来自广发银行客服95508的短信就让他惊讶不已。

第一条短信显示他的信用卡消费了2000元。第二条是尾号4497的信用卡余额不足，交易失败。后面的三条短信内容相同，尾号是1194的信用卡卡片有效期输入错误，交易失败。

短信都是夜里一两点钟发的，我睡得正香，信用卡肯定是被盗刷了。叶先生说。

叶先生介绍，5月20日广发银行系统升级后，银支付不再使用密码，取而代之的是动态验证码。客户每次消费100元以上，绑定的号码就会收到动态验证码，用以在上确认。

叶先生说：让人奇怪的是，盗刷是通过银进行的，但我的并没收到动态验证码。我向银行客服咨询后，对方答复，验证短信发到一个138开头的号码上了。这是北京号码，叶先生当着的面拨打，但是无法接通。

维权 12人遭类似盗刷

在与广发银行交涉过程中，叶先生发现一个广发卡被盗刷者组成的群。群里还有11人有着和他完全一样的遭遇，大家都是在广发银系统升级不久，重新填写个人信息后被盗刷的。他们来自北京、上海、广东、浙江等多个省市，初步统计被盗刷总金额有5万余元。

经过沟通，大家发现，他们的卡都是在上海环迅电子商务有限公司这个第三方支付平台上被盗刷的，被盗资金都被转入滕驰策划公司。

12人中，除叶先生的动态验证码被修改为138开头的号外，其余人的号码全部被修改为159开头的特定号码，且都为北京号码。

通过上海环迅公司，拿到一份腾驰策划公司的声明，称其也是受害者，盗刷者是他们的一名会员，目前已无法与其联系，其账户也被冻结。

错在卡主 银行说法引不满

叶先生表示，他们在向广发银行反映情况时，他们的客服中心工作人员表示，信用卡在上被盗刷，很可能是客户自己泄露了个人的资料信息和密码，要么是被熟人窃取了信息，要么就是上了钓鱼站或木马病毒的当。持卡人对此说法纷纷表示不满。

银行总说被盗刷的在我们，是我们没保管好密码，难道广发就一点没有吗?一位王先生说。他告诉，他的电脑里安装了360安全卫士、购保镖等各种杀毒软件，他很注意定期更新，电脑从未报警说有木马。我购6年，工行、招行、交行等银行的银都有，且最近两个月都用过，就算电脑被种了木马，为什么别的银没事，只有广发卡被盗刷呢?

质疑漏洞

响应升级 完善资料后失窃

叶先生告诉，今年5月上旬，广发银行通过短信、公告等形式告知持卡人，该行银将于5月20日23时至次日12时暂停服务，全面升级，要求之前填写资料不全的持卡人完善个人资料，包括卡片有效期和卡片背后的三位验证码等内容。

7月2日，叶先生登录银，将尾号4497的信用卡的个人资料进行了完善，对尾号为1194的卡片没做处理。就这么寸，完善后的卡片两天后就被盗刷了。叶先生说。而其他受害者也都有和叶先生类似的经历。

存在漏洞 个人信息易泄露

精通站系统的资深黑客小鱼(化名)表示，从被盗刷持卡人反映的情况来看，他们的个人资料被黑客用木马程序或钓鱼站窃取的可能性很大。但他同时指出，这也说明广发银的系统存在漏洞。

小鱼说，其实任何银系统都有漏洞，因为系统是人设计的，就必然有各种缺陷。所以银行也会不断地进行系统升级，提高系统的安全性能。但是多人在同一时段因为同样的原因遭遇盗刷，说明这家银行银的漏洞可能比较明显、严重。而这一点也被黑客发现并钻了空子。

小鱼进一步分析，这起系列案其实也暴露出广发银行银系统在修改绑定号码的问题上，存在安全隐患，因为它确实不如其他银行的设置合理、安全。

调查 银行用U盾最多

刚接到读者爆料时，随即致电广发客服，询问如何修改接收动态验证码的号码。对方答复，除到柜台办理外，还可直接登录广发银修改。

具体分两种情况：之前设置过私密问题(指卡片的有效期和卡片背后的三位验证码。)的，答对即可修改;未设置的可直接修改。重填资料后会有验证短信发送到新号上，输入验证短信，号码修改成功，原号不会再收到验证信息。

小鱼认为，这种设置貌似安全，但一旦系统存在漏洞被黑客攻破，客户信息被窃取，所谓的私密问题也就不再私密，难以起到安全保障作用。

叶先生怀疑，犯罪分子就是山寨了能接收动态验证码的号码后盗刷，他的正牌反而接不到短信，验证关失灵了。

此后调查多家银行发现，大多数银行的银使用ukey (一种通过USB直接与电脑相连、具有密码验证功能的存储设备，如工商银行的U盾)作为安全保障。

招商银行虽然也使用动态验证码，但其客服人员表示，更改验证号码不能通过银进行，只能在柜台修改。

最新进展

更新设置 备案接提醒

近日登录广发银的官方站发现，银已经推出一套新的安全模式。银客服告诉，由于原先系统的安全级别不够，已修改了部分安全内容。

在新系统下，想修改接收动态验证码的号码，需先在上填写原来的号码，银会向该号码发送验证短信，成功接收并将验证内容在上填写正确后，才可将号码更改为新号码。同时，新银系统具备登录短信提醒功能，登录银时系统会自动给备案发送一条通知短信。

先行垫付 赔钱先签保密协议

9月20日，数名受害者告诉，广发银行总行已经对他们反映的问题作出答复，要求他们签署了一份先行垫付协议，然后将盗刷金额先退还给他们。

但协议中附加了保密条款，要求获得退款的客户对外保密，不得外泄协议内容。

上午获悉，已经有部分人拿到了退款。

据悉，广发银行总行已成立专案组，对这起群体性失窃案进行调查。

持卡人姜先生告诉，他发现银失窃后报案，东城警方目前已经刑事立案，警方正在侦查中。

广发回复 垫付不意味有错

昨天下午，致电广发银行总行公共事务部询问此事，接线人员表示稍后给予答复。随后，一位女工作人员回电表示，将于傍晚做出书面答复。但截至上午发稿时，书面答复仍未收到。再次致电相关部门，得到昨天处理这事的人不在，得问一下的答复。

在昨天的采访交涉中，女工作人员提到，虽然银行已经对部分受害者先行垫付，但这并不意味着银行存在过错。先行垫付是对于特殊、紧急情况下出现问题的应急处理。如果调查到最后，发现银行不存在问题，这笔钱我们还会再要回来。她说。

律师说法

银失窃 持卡人难得赔偿

据悉，在北京，尚无银失窃后法院判决银行承担赔偿的先例。

法院普遍认为，黑客通过种木马窃取储户个人资料，属于因个人原因导致信息泄露，储户应承担不利后果。储户如不能提供证据证明银行存在过错，银行不承担。

北京市双利律师事务所律师刘琳认为，由于专业能力所限，让储户和律师去证明银系统存在漏洞，根本做不到。不少律师也表达了类似观点。

异地被盗 可在申领地报案

刘琳认为，遇到银失窃，持卡人应在第一时间报案，然后再与银行协商。越早破案，赃款追回的可能性越大，直接从犯罪分子手里要回钱，比从银行手里要钱容易得多。他说。

刘琳告诉，根据公检法联合发布的《关于信用卡诈骗犯罪管辖有关问题的通知》，对以窃取、收买等手段非法获取他人信用卡信息资料后在异地使用的信用卡诈骗案，持卡人可在信用卡申领地的公安机关报案。即持卡人在北京办卡，被外地犯罪分子在上盗刷，可以直接在北京报案。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。