关于“黑客、骗子和金子”的那些事

文/iMoney专栏作者飞哥儿

“如意金”不如意。最近金子的消息满天飞，一会美元暴跌，金子大涨；一会儿客户报警，钱被骗子强行买了金子……

具体情况飞哥儿不细讲了，大概就是骗子盗取了客户网银密码，然后替客户买了贵金属产品，注意此时客户的钱和金子并没有离开客户账户，仍然是客户本人的，但是无辜的客户不知道啊，骗子利用客户发现账户里的钱真的少的惊慌心理骗取交易验证码，然后把客户的钱真的盗走。

整个连环计真是很有创意，让人恨的咬牙切齿，目前针对线上支付的各类犯罪活动比较猖獗，并且形成了具有一定规模的黑色产业链。对于此，飞哥儿提醒客户一定注意以下几个关键点：

不要让黑客撞到您的库

由于银行对客户密码等关键信息采取的是加密存储的方式，并且是不可逆加密，因此骗子是无法通过黑客手段盗取。

银行信息保护无法攻破，银行信息保护无法攻破，银行信息保护无法攻破。重要的事情说三遍。那客户就怒了，如此安全，为啥我的网银密码被盗了？

密码被盗，除了手机中了木马病毒，或者登陆了钓鱼网站等原因，目前兴起的新手法是——撞库！

部分非银行类的网站和手机APP由于安全级别较低，对用户的登录用户名和密码在后台采取明文存储的方式，存在较大安全隐患。黑客非法获取这些网站的用户信息后，整理成商品化的数据库进行售卖。骗子再使用这些数据库到各类金融机构的网站上进行尝试登录，利用部分客户将电子银行用户名、密码设置为与其他网站用户名、密码相同的习惯，以“撞库”的方式猜测客户电子银行登录密码尝试登录，一旦匹配成功，骗子就开始上演“为您买金子”的诈骗。

所以，不要说飞哥儿没提醒过你啊，网银密码一定不要和其他张三李四的网站密码设成一样的啊，网银是你生命中最值钱的网站了！请用您无限的创意和对骗子的无限愤怒为它设计一个独一无二的密码吧。

要验证码的都是骗子

骗子在得到网银密码后，可以进行投资操作，就是前文说的替你买了贵金属产品。请注意，这个时候无论犯罪分子怎么操作，钱都无法进入犯罪分子的钱包。但是，工行针对这类操作有短信提示，这就是犯罪分子的目的，造成一种客户的钱已被坏人掌握或转走的假象。

当客户收到短信，再一查看账户，发现“钱不在了”！肯定已经慌了。这时候犯罪分子装好人，说，告诉我验证码，我帮你弄回来，大多数客户估计就沦陷了，乖乖把验证码告诉对方。骗子拿到验证码就能真正把钱转到自己的钱包。

于是，诈骗成了一个心理战。飞哥儿提醒您，无论什么时候，验证码与密码一样，都是自己的“底裤”，打死不能给人看，打死不能告诉人！

有了这个策略做盾牌，您日后在与骗子的斗争中，应该底气十足、冷静异常，面对骗子亲切的询问“我们发现您刚发生了一笔交易，请问这是您亲手操作吗？”

您正确的回答方法是答“是的”。然后在沉稳的等待骗子尴尬的沉默和挂机后，立即给“亲人”95588打电话咨询到底发生了啥！！！

体验与安全的平衡

银行在互联网大潮的冲击下，也想让客户交易更便捷，体验更好。并且从现有的监管规定以及同业实践来看，投资理财因为不涉及转账、支付等面向第三方的资金划转，当前免密是主流，不需要验证。

安全是一个体系，目前不是看贵金属积存有没有漏洞，或支付有没有漏洞，单独得看，或许都是没有问题的，但骗子和黑客在进步，他们善于寻找各个产品组合在一起之后的短板。

道高一尺、魔高一丈。在电信诈骗成为一条龙、产业链的时候，金融信息安全和客户资金安全也要建立体系：从手机到运营商到银行，实现全产业链安全晋级；从入门动账那一瞬间的密码和验证码的事前安全控制，到建立基于大数据的事中监控体系；从仅仅需要证明“你是你”到通过数据分析自动识别“认识你”。

最后说点更实在的，工行日前发布声明，如确认客户账户被不法分子盗用，非本人操作申购和赎回贵金属积存等产品，对于产生的手续费和价差，工行将全额返还。