每日经济新闻记者 徐皓 陆慧婧 发自上海
近期,一些基金公司悄然进行了系统升级,纷纷提升了安全标准。一些公司暂停了异卡进出的功能,一些公司则关闭了部分附加服务的应用场景。“公司最近正在抓网络系统安全问题。”有基金公司人士告诉《每日经济新闻》记者。
据悉,近期在北京和上海发生了多起通过基金直销账户盗取他人银行卡内资金的新型金融刑事案件。犯罪嫌疑人所钻的空子,正是近年来基金公司为了提升直销客户的体验而增加的功能。这使得基金公司一直在强调“用户体验第一”之余,开始反思简化注册基金账户和关联银行账户是否真的足够安全。
另一方面,随着基金网站不断增添除基金交易之外其他应用场景以及各类手机移动应用纷纷上线,网络系统中暴露的风险点也在增多。
同时,在基金公司内部,对于怎样在“如何吸引客户”和“如何保护客户”之间找到平衡也产生了不少分歧。电商部门与稽核监察部门因所处位置不同,对于这一问题观点难以统一。
案件:便捷开户、异卡赎回被钻“空子”/
近期,北京市发生的一起犯罪嫌疑人通过基金直销账户“过桥”,隐蔽地盗取他人银行卡内资金的新型金融刑事案件,引起基金业内人士关注。
根据北京海淀检察院通报,去年12月5日,事主张女士报案称,她儿子陈先生的建行银行卡被人转走13.08万元。陈先生查询得知,卡里原有的130887元曾分两次被转入某基金账户。经陈先生向银行和基金公司查询,两方客服均确认了这两笔交易。基金公司方面告知了陈先生,此前其曾开设基金账户,两次购买基金,并最终赎回到以陈先生名义开的与基金绑定的农行卡上。
被捕之后,朱某等4名嫌疑人供述了整个犯罪经过。首先,朱某等人在QQ群里购买到了卡主姓名及预留手机号、身份证号、银行卡号、银行卡密码等卡主资料。之后,找人根据身份证号查到受害人身份证正面照片,根据扫描照片找人制作临时身份证,并去农行以陈先生名义成功办卡。第三步,用陈先生原来银行卡里的钱购买基金,再将基金的钱分多次赎回到此前新开的农行卡上,最后转账取现。
基金开户简便,账户之下可以添加同名卡,是犯罪分子选择此种作案手法的原因之一。此外,该基金验证方式是验证网银,也就是输入姓名、身份证号、银行卡号、网银登录密码,就可开户成功,不需要U盾及手机验证码。另外,该基金可添加其他本人名下卡,只需要输入另一张卡号、名字、身份证号、取款密码,就可以绑定成功,再用所开的事主同名卡转账取钱。
“这是一种比较新型的作案手法。”李慧检察官在接受《每日经济新闻》记者采访时称。无独有偶,最近上海传出业内又爆发了类似的几起案件。事实上,这种犯罪方式在嫌疑人圈里已经比较成熟了,他们QQ群里经常交流。此案四名嫌疑人之间有分工合作,甚至在他们想要提供信息和开卡帮助时,只需在熟知的QQ群里发帖子,就有呼应,用钱即可购买。
检察官认为,基金公司网上交易流程上存在漏洞。从嫌疑人的供述来看,他们主要钻了便捷开户以及异卡赎回的空子。这两项均是近年来基金公司为了提升直销客户体验而增加的功能。
溯源:基金网上直销开户模式快捷化/
此次“基金份额盗窃”案,嫌疑人从基金开户到份额申赎多个环节一一突破,亦引发业内人士对基金网上交易安全的重新审视。
据了解,目前,基金公司官网直销开户主要分为三种模式:快捷开户、网关模式以及U盾开户。
快捷开户是指直销网上交易系统购买基金时,银行卡不需要开通网银支付等功能,只需在申请开立基金账户时提供本人借记卡卡号、客户姓名、证件类型、证件号码及银行预留手机号码等信息,基金公司经过银行验证前述信息与投资者在银行系统中预留的信息一致后即可完成与基金公司业务协议的签署和基金账户的开立。
网关模式网关跳转需要跳转至银行,输入银行卡密码,送到银行后台验证;U盾开户则是最早最严格的一种。
“基金开户流程复杂一直以来也备受诟病。此前通过网关模式开立基金账户,30%~60%的客户会出现由于通讯信号等种种原因导致跳转网关环节不成功,使部分客户开户受到影响。因此,后来一些基金公司开通快捷开户,开户时的风险偏好测试等环节被移至基金开户之后。”华南某基金公司互联网金融部总经理分析指出,“越是便捷,安全漏洞就会越高。”
一个巴掌拍不响,基金公司直销开户规则并不是基金公司单方面决定,也是跟各家银行磋商协议的结果,因银行要求而异。
《每日经济新闻》记者随机挑选银行进行操作后发现,华夏基金开户的过程中,当选择使用工商银行卡开户,到第二步身份验证时,立即要求填写在银行预存的手机号码。浦发银行卡开户则采取跳转网关模式,全程并未用到U盾或是短信验证码等提示方式。
在多位基金业内人士看来,基金开户其实并非风控环节中最主要的部分。
“基金账户开立其实没有太大问题,用不用U盾开户也不是第一重要的。重点其实是在后面的环节,即是否强调‘钱从哪来,回到哪去’这样一个大体原则。”深圳某基金公司督察长分析指出。
上述基金公司督察长提及的“钱从哪来,回到哪去”,即通常意义上的资金闭环业务规则。
然而,对安全闭环的认定上,基金公司标准不一,业界对同一用户之下基金份额的跨行赎回并未一刀切。
华夏基金在其官网上强调 “账户实名认证、资金同名账户进出、数字证书加密”。据华夏基金客服介绍,除了工行、建行、华夏银行,其他银行卡申购的基金份额,都可以跨行赎回,不过资金额度因银行而异。因此,华夏基金理解的“安全闭环”为同一客户底下银行卡的进出。
与华夏基金业务规则相似的还有汇添富基金和万家基金。汇添富基金表示,汇添富现金宝一直按照“资金闭环”的原则来运行,用户只能绑定自己名下的银行卡,不能转账,也不能做支付,但同一名下多张卡之间是可以异卡赎回的。博时基金、招商基金、广发基金等则明确规定,客户申购赎回基金只能同卡进出。
“我们理解为只有同卡进出才叫资 金闭环。”华南一位基金公司督察长称。“同一个用户不同银行卡之下的份额申赎、资金进出可能也叫‘闭环’,但同卡进出安全系数非常高。”上述华南某基金公司互联网金融部总经理称。
在上述案件中,绑定在同一人名下的第二张卡实质上已经脱离了卡主控制,掌握在犯罪嫌疑人手中,产生了其能把钱转走所钻的空子。
争议:牺牲用户体验还是安全?/
不创新无法生存,但创新可能带来风险,如何在用户体验和风险控制之间平衡,这成为基金公司的一道难题。
“这个案子折射出的互联网安全问题在于无法核实客户身份。电子商务一直也都有商品被盗的问题,但互联网与金融结合之后就要考虑金融行业的特殊性:金额大且为无形商品,因此更需要引起重视。”一位基金公司监察稽核部人士认为。
这代表了大多数稽核监察部门人士的想法—安全是在第一位的。
“管不好风险就不要发展。”某华南基金公司督察长直言,“现在是三三两两的案例冒出来,假如说风险大面积爆发,就算是基金不卖了,也不能提供这种服务,你有责任把风险给控制住。”
然而,基金公司内部对此却有意见分歧。业务部门普遍认为不可因噎废食,因为过度强调风险控制而造成用户的困扰。
“我认为这些案件都是小概率事件,不能因为这个而损失大多数人的便利。”上海某基金公司电子商务总监认为,“用户需要有最基本的信息安全防范意识。希望依靠机构来完全隔绝风险,那不现实,也做不到。例如这个案件里,连最核心的信息都被盗取了,怎么可能指望基金公司来辨认开户的还是不是你本人。”
余额宝正是因为最大限度地简化了用户操作流程而迅速风靡市场,也使得基金公司们大为震动。此后,基金公司电商业务言必称“用户体验”。
事实上,即使规定基金份额只能同卡进出,基金公司提供了另一些创新业务的增值功能,如免费转账、还信用卡、购物等亦存在潜在的风险点。
“免费转账和跨行赎回的风险敞口也差不多,没有特别大的本质区别。”北京一家基金公司督察长表示,同样的还有信用卡还款。
银行卡的更换,也被业内人士视为可能突破同卡进出的一种手段。“比如去异地工作等各种原因,客户确实有换卡需求。通过换卡,基金份额也可以实现跨卡赎回。”上述深圳基金公司督察长透露。
目前,基金公司规定的换卡流程普遍有两种标准:若是空卡,用户可自助更换;若卡里仍有基金份额,则需要提交多种证件材料,且只能在同一家银行之下进行更换。
“在管住了同卡进出之后,还需要严格审核换卡流程,这样才能保证较高的安全系数。”上述督察长称。
行业:互联网金融系统高危漏洞屡现/
除了流程漏洞可能被不法分子钻空子之外,系统漏洞被黑客攻破后引发的损失将更难以估量。随着金融行业与互联网的深度融合,基金公司网站直销客户数量出现跨越式增长。去年基金直销平台首度超过银行渠道,成为基金购买的第一大途径,成交金额高达2.33万亿元,基金在线交易网络安全问题也因此越来越引起各方关注。
据国家互联网应急中心(CNCERT)统计的情况显示,政府网站和金融行业网站一直以来都是不法分子攻击的重点目标,安全漏洞是重要联网信息系统遭遇攻击的主要内因。
天弘基金创新支持部总经理樊振华认为,基金公司网站总体安全等级保护要求是比较高的,“必须符合监管机构规定的等级保护要求,基金公司一般都会遵守这个规范,监管机构也会进行检查。”
然而,在一个民间创办的网络漏洞报告平台“乌云网”上,记者还是查到了不少关于基金公司网站系统的漏洞报告信息,其中不乏近年来在互联网金融领域风生水起的大型公司,涉及的漏洞危害等级也从中等到高等。
例如,部分高危漏洞包括“XX现金宝多个严重漏洞 (可抢占他人账号)”、“XX基金用户账号安全隐患可获取到基金交易等敏感信息”、“XX基金某账户管理系统命令执行及XSS漏洞”等。
其中部分已被基金公司确认并修复,但部分漏洞至今没有被基金公司确认处理。不过,有相关基金就此问题回复《每日经济新闻》记者称,早在该帖子发布之前,就已经进行过系统升级,不存在帖子中提及的漏洞。
CNCERT最新一期的互联网安全威胁报告显示,大多数安全事件是网站程序存在SQL注入、弱口令以及权限绕过等漏洞,也有部分是信息系统采用的应用软件存在漏洞,可能导致获取后台系统管理权限、信息泄露、恶意文件上传等危害,甚至会导致主机存在被不法分子远程控制的风险。
此类互联网公司通过所运营的在线交易信息系统,掌握大量用户资金、真实身份、经济状况、消费习惯等信息,系统出现安全问题后,风险随之传导至关联的银行、证券、电商等其他行业,产生连锁反应。
此外,互联网和移动通信技术降低了使用门槛,在带来便利的同时也引入新的安全风险。2013年12月,支付宝钱包客户端iOS版被披露存在手势密码漏洞,连续输错5次手势密码后可导致密码失效,使得攻击者可以任意进入手机支付宝账户,免密码进行小额支付。
天弘基金创新支持部总经理樊振华表示,“余额宝的用户出口和入口主要是在支付宝这一端,而我们这一端主要是负责清算、结算、收益分配等后端功能。我想支付宝的线上安全措施在国内网站中应该算是一流的,而我们这边的安全措施应该也是比较到位的,所有的核心业务系统完全是在一个隔离的网段,可以理解为不对外暴露的。此外也有定期漏洞扫描等安全措施。到目前为止我们还没出现过用户信息泄露、被盗这些现象。”
有基金公司电商部人士表示,2007、2008年时基金公司网络系统比较脆弱,也出过一些问题。近年基金公司普遍在IT方面投入较大,系统安全相比早前已经提高了很多。
相对于内控相对规范的基金公司而言,部分P2P和第三方理财网站在系统建设方面则更显薄弱,更容易成为黑客攻击的对象。
有业内人士表示,如今做互联网金融门槛极低,相关网站建设都有现成的模板,在淘宝上只需几千元就买一套模板,做一个P2P的网站,其中暗藏风险不言而喻。
今年3月份,以“网贷之家”为代表的多家P2P行业门户网站、论坛,再次成为黑客的攻击目标,受到黑客持续多日的恶意严重攻击。而此前亦发生过一些平台因黑客的攻击导致系统瘫痪,而遭遇挤兑的情况。
趋势:基金手机终端成新“重灾区”/
值得注意的是,基金公司手机客户端也成为漏洞暴露的灾区之一。有乌云网的“白帽子”(能识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞的人)提供的示例图片显示,在某基金公司苹果iOS版本的客户端中,在知道用户身份证号码情况下,通过一些手段可以重置用户的基金账户密码。对于职业黑客而言,通过攻击脚本获得用户身份证号码亦非难事。
某大型基金公司电商人士亦向《每日经济新闻》记者表示,基金公司近年大力拓展电商业务,除了基本的交易查询功能外,亦纷纷上线进行购物支付、转账等功能,也出现了一些风险事件。
除了系统安全问题外,“钓鱼攻击”在手机移动端亦愈演愈烈。
钓鱼网站是一种网络欺诈行为,是指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
从中国互联网络信息中心(CNNIC)下属中国反钓鱼网站联盟今年5月处理钓鱼网站的情况来看,钓鱼网站涉及行业前三位,分别为支付交易类、金融证券类、媒体传播类,占处理总量的99.41%。其中,支付交易类钓鱼网站数量占5月处理总量最高,占到了5月处理总量的81.34%。
CNCERT2013年中国互联网网络安全报告称,钓鱼攻击呈现跨平台发展趋势,2013年,在传统互联网的钓鱼网站之外,黑客还结合移动互联网,利用仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的钓鱼欺诈攻击,危害用户经济利益。
2013年,黑客利用安卓系统的“签名验证绕过”高危漏洞,制作散播大量仿冒国内主流银行等金融机构的移动应用,诱导用户安装,盗取用户银行账户信息。一些钓鱼网站在盗取用户银行账号和密码等信息时,还大量传播仿冒相应手机银行安全插件的恶意程序,劫持用户收到的短信验证码,从而使黑客进一步完成网银支付、转账等交易操作。
有基金公司电商人士表示,随着移动应用和支付的普及,移动互联网上的诈骗行为泛滥,譬如一些仿冒的APP、微信公众账号等层出不穷,投资者应该提升自身防范意识。
我来说两句排行榜