一種新的電話詐騙正在蔓延，與以往騙術不同的是，騙子不僅掌握了你的個人信息，更侵入你的網銀，“幫”你購買銀行理財產品，然後憑此精准的信息，以退款為由，騙取用戶的手機驗證碼，最後將賬戶中的錢轉走。卷入此騙局者，輕則損失贖回理財產品的手續費，重則餘額全部被盜。

　　IT時報 吳雨欣

　　近兩周來，《IT時報》多次接到利用如意金積存(一種具有投資性質的貴金屬銀行理財產品)進行詐騙的投訴。根據投訴用戶提供的線索，全國至少因此事組成了12個維權群，而僅《IT時報》記者加入的兩個維權群，受損用戶便已超過千人，其中一位廣州用戶一分鍾內被支出23.98萬元，全部用於購買如意金積存。

　　用戶懷疑，該行的網銀有漏洞。

　　23.98萬元一分鍾內被“強買”

　　8月3日晚，林強(化名)正在值班，突然收到由銀行短信客服“955××”發出的4條短信提醒。短信顯示，在不到一分鍾的時間裏，其手機銀行支出(如意金積存)共23.98萬元，卡上餘額僅剩100多元。緊接著，林強接到了一通歸屬地為深圳的電話。對方稱自己是某公司員工，接到林強的4筆訂單，因數額較大詢問是否本人操作。如果不是，系統會發給林強一個驗證碼，提供驗證碼後，即可取消訂單。

　　掛掉電話，林強趕緊登錄了自己的手機銀行，交易記錄顯示確有23.98萬元的支出，同時林強的手機上收到一條驗證碼。在此期間，對方不停地來電，要林強盡快提供驗證碼。所幸，林強馬上致電了銀行客服，客服說，這是一種新型的詐騙手法，騙子通過某種渠道獲得了林強的網銀密碼，然後在賬戶內購買了如意金積存，導致賬戶發生變動，以此來“嚇唬”用戶。而對方索取的驗證碼，實際上是用於申請一種名為“e支付”的功能，根據官方介紹，“e支付”完成小額電子支付交易，無須開通網銀或申領U盾，無需安裝控件驅動程序。

　　然而，和普通電話詐騙不同，即便林強識破了騙子的手段，拒絕提供驗證碼，也會受到不小的損失。因為賬戶資金已經被購買了如意金，要想贖回，需要繳納1克15元的手續費，還要承擔金價波動帶來的差價;不贖回，則要面臨金價下跌的風險。

　　更糟糕的是，不是所有的人都像林強一樣警覺，僅上海的一個維權群裏，就有近60多位受害人在猝不及防下向騙子提供了驗證碼。一位被騙者告訴《IT時報》記者，騙子會先退回一部分錢取得受害人信任，騙取驗證碼後再將剩餘資金轉走。

　　8月19日，記者以被騙者身份聯系該行客服，客服回應稱，最近確實接到多起此類投訴，被盜刷是因為用戶的上網習慣導致網銀泄露，建議修改網銀密碼或掛失。至於贖回如意金積存面臨的差價風險，客服稱可等金市利好再贖回，還會賺錢，不一定都是賠。對於是否因該行網銀和理財系統漏洞導致騙子有機可乘，客服一再強調是用戶自己原因導致，與銀行無關，不會賠付。

　　“騙子就像銀行賬戶裏的蛔蟲”

　　與林強有類似遭遇的馮鏗，也被盜買了98000元的如意金積存，但讓他萬萬想不到的是，在8月3日注銷舊卡辦了新卡之後，8月11日，馮鏗再次收到銀行短信，手機銀行支出(保證金入)40000元，只不過騙子這次沒有購買如意金積存，而是把錢存入了貴金屬保證金。從沒有使用過新網銀、並開通了手機銀行購買貴金屬需短信驗證功能的馮先生，由此對該行網銀產生了極大的不信任，“騙子為何會對我的網銀變化如此了如指掌?密碼究竟是被誰泄露的?”而客服對此的回答是，存入貴金屬保證金不需要短信驗證。

　　從7月開始，“如意金積存騙術”所引發的投訴漸漸在網上發酵，騙子也因此開始改變手法。除了“如意金積存”外，貴金屬保證金、外彙保證金等同樣不需要手機驗證碼二次確認的網銀操作，也被騙子染指，賬戶變動後的詐騙手法則與“如意金積存騙術”如出一轍。

　　陳麗(化名)在8月14日收到了手機銀行支出1000多元並轉換美元的短信提示，於是她立刻修改了網銀密碼並設置了登錄短信提醒、個性化定制賬號信息。然而，8月17日，網銀再次被盜。

　　“騙子就好像我網銀裏的蛔蟲。”有被騙者如是說。在維權群中，一名受損用戶抱怨，自己剛剛將賬戶中的餘額現金取出，還未走出銀行大廳，卡便被騙子掛失了。

　　“我的錢去了哪裏?”

　　不少人的錢就此失蹤。

　　王強將自己的驗證碼給了騙子後，騙子將資金從外彙保證金賬戶中退了出來，然後轉走了他賬戶中的餘額，從交易明細來看，部分資金分20筆打入上海瀚銀信息技術有限公司賬戶(第三方移動支付公司)，最後以手付通的方式，每筆498.5元充入山西晉中的11個手機號中，其中9個手機號是重複充值。但這只是騙子轉移資金的一種渠道，有些人的錢則被轉到了同為第三方支付公司的快錢。

　　手付通是瀚銀科技推出的無卡支付產品，只需關聯用戶的銀行卡，無需開通網銀即可遠程購物及支付。事後，記者一一撥打這11個手機號碼，均已停機。而瀚銀科技相關人員的回複則是：“銀行沒告訴我們付款人信息，我們也不知道充卡人的信息，具體錢從哪裏來，賬號是否異常，我們不能把控。”

　　騙子使用過的IP地址，經查詢，分布全國各地，甚至還有國外的IP。

　　“為什么受傷的總是我?”

　　多名受騙者則對網銀的安全表示出更多的疑惑：為何新網銀也會被盜?為何多次修改密碼，賬戶卻依然被盜?網銀登錄時的安全控件為何沒起作用?眾人認為，是該行的系統設置有漏洞，使騙子有空可鑽，甚至有人質疑，該行手機銀行登錄接口可能有漏洞。在著名白帽子網站烏雲上，7月6日，該銀行被曝“安全控件可被繞過”，屬設計缺陷，可輕松繞過對鍵盤記錄器的保護。

　　林強認為，由於該銀行對於購買理財類產品電子密碼器驗證功能默認關閉，騙子只需盜取網銀密碼，不需要短信驗證、U盾認證，即可利用賬戶開通如意積存貴金屬交易業務，並以此騙取用戶信任。此外，如意金積存在當天晚上10點前贖回是可以免收手續費的，而他當天投訴時，客服卻從未提醒過他這點，銀行應對此承擔責任。

　　8月19日，該行相關負責人向《IT時報》記者表示：“事情發生後，已經對系統進行了完善。銀行也一直在搜集相關信息並統計受害人數。由於受害人的情況各不相同，不會針對全部用戶制定方案，只能逐步處理。”

　　為了止損，林強和馮鏗贖回了如意金積存，為此，林強損失了17000元，馮鏗損失了4000元。還有更多的人，依然被迫持有“如意金積存”，這幾天黃金價格一直不穩定。

　　據記者了解，已有受害人得到了某行工作人員全額賠付的承諾。在受害者提供的錄音中，某支行的領導回複：“只要你把網上有損我們銀行形象的帖子刪了，我們滿足你全額賠付的要求，但這只是出於人道的補償，不是賠償。”

　　(文中林強王強馮鏗陳麗均為化名)