工行暂时对购买贵金属积存等交易实施交易认证措施

针对当前电信诈骗和金融诈骗持续高发的外部形势，工行电子银行业务相关负责人日前表示，工行决定暂时对购买贵金属积存等交易实施交易认证措施，工行正加紧研发新的安全措施并推出，在避免欺诈的同时提升业务操作的便捷性。

近日，不法分子利用工行贵金属积存等业务实施诈骗的消息不断见诸报端。据媒体报道，不法分子通过病毒木马等方法获取了网银账号和登录密码后，用账户内的资金购买贵金属积存，待用户收到账户资金支出短信后，利用用户的急切心理，以退款为由，骗取用户的手机验证码，最后将账户中的资金转走。

据了解，此类诈骗涉及到工行的“如意金积存”业务，该业务就是客户在建立如意金积存账户的基础上，对工行如意金条进行主动积存或定期积存。而由于购买贵金属积存属于同一账户的内部交易，默认购买此类产品是不需要网银U盾验证的。

近段时间，此类诈骗活动频发已经引起工行的高度重视。上述负责人称，该行已经梳理发现了重要案件线索并报告公安部门，将继续全力配合公安部门侦破案件，尽快将犯罪分子绳之以法。

这位负责人强调，这次发生的贵金属积存业务诈骗是零星的、少量的，工行的系统安全没有问题，将会通过各个服务渠道密集地向客户宣传防范金融诈骗和电信诈骗的知识，也希望全社会加大这方面的宣传力度，共同增强公众的防诈骗意识。

对于有客户提出在工行电子银行内购买贵金属积存等投资类产品不需要U盾认证的问题，这位负责人称这种设计不是安全漏洞，而是为了在确保客户资金不向外划转的前提下为客户提供更便捷的服务。他表示，目前针对银行客户的各类诈骗手法层出不穷，银行方面将不断加强安全防范手段，确保客户资金安全。

这位负责人还表示，购买银行的贵金属积存等产品没有发生资金对外支付，资产仍在客户本人账户内。如确认客户账户被不法分子盗用，非本人操作申购和赎回贵金属积存等产品，产生的手续费和价差银行全额返还，坚决维护客户权益。与此同时，对于客户因为上当受骗，忽视银行验证码短信中的警示信息，通过电话将短信验证码等关键信息主动告知不法分子，导致账户资金被盗的情况，银行正联系客户妥善处理。

那么，账户密码是如何泄漏的?针对这个受害者关心的问题，上述负责人介绍说，根据公安部门反馈的情况和工行对相关案件线索的分析，客户密码等关键信息是犯罪分子通过非法手段获取的，工行业务系统稳定安全运营。比较常见的包括向客户手机发送包含病毒链接的短信;有的是不法分子通过钓鱼网站套取客户的账户名和密码;还有不法分子通过非法途径获取客户在其他网站的注册资料、手机号等信息，以“撞库”的方式猜测客户电子银行登录密码尝试登录。

据了解，目前针对线上支付的各类犯罪活动比较猖獗，并且形成了具有一定规模的黑色产业链。由于银行对客户密码等关键信息采取的是加密存储的方式，并且是不可逆加密，不法分子无法通过黑客手段盗取。但部分非银行类的网站和手机APP由于安全级别较低，对用户的登录用户名和密码在后台采取明文存储的方式，存在较大安全隐患。不法分子通过黑客手段非法获取这些网站的用户信息后，整理成商品化的数据库进行售卖。其他不法分子再使用这些数据库到各类金融机构的网站上进行尝试登录，检测账户密码是否匹配，进而实施诈骗犯罪。

最后，他反复提醒广大客户，应该为电子银行设置专门的、不同于其他用途(如会员密码、电子邮箱密码等)的密码，避免直接使用与本人明显相关的信息(如姓名、生日、常用电话号码、身份证件号码等)作为密码。同时，要妥善保管银行发送的短信验证码，并核对短信内容与办理业务一致后再在交易页面输入短信验证码。银行员工不会以任何理由索要短信验证码，客户千万不要向任何人提供自己收到的短信验证码。