银行手机app存重大漏洞，用户分166笔套取资金300万未被发现
2020-03-20 21:14:45   来源：东方头条   

前有交行员工盗取支行长贷款系统账号密码，骗贷1900万，今有用户利用银行漏洞，套取银行数百万资金，银行资金损失的背后，也暴露出银行风控系统的漏洞。

撰文 | 张浩东

出品 | 支付百科

银行业作为中国金融行业的重要组成部分，其安全性一直未遭到过质疑，用户倾向于将资金存放在银行更是出于对银行的信任。而在电影里黑客用网络技术通过无数账号，来使自己银行卡里的钱成倍增加的情节却在现实中发生了。

近日，裁判文书网披露一则刑事判决书，判决书显示一名用户在4个月内分166次操作，套取平顶山银行股份有限公司资金300余万。

银行app存重大漏洞

判决书显示，朱某系平顶山银行用户，为了更方便的使用各类业务，朱某在手机上下载了平顶山银行app，绑定了其手上持有的3张其它银行的Ⅰ类银行卡，绑定完成后朱某利用这3张Ⅰ类银行卡又开通了11个平顶山银行Ⅱ类账户。

朱某经常利用这些账户进行频繁的资金周转，一次偶然的转账使朱某发现了平顶山银行系统存在的巨大漏洞，朱某没有向平顶山银行方面进行反馈，而是以此为基础，找到了一条不劳而获的捷径。

朱某在使用平顶山银行app时，通过其名下的一张Ⅰ类银行卡向平顶山银行Ⅱ类账户充值，本应是Ⅰ类银行卡内账户余额扣除，平顶山银行Ⅱ类账户内资金相应增加。但事实上，在朱某的操作过程中，平顶山银行Ⅱ类账户余额发生了增加，但Ⅰ类银行卡账户由于没有余额，朱某未收到银行扣款短信。

2018年12月11日至2019年3月21日期间，朱某利用上述银行漏洞，反复进行充值操作166次，经过166次无本金充值后，朱某银行卡内的资金急剧增加，其开立的11个平顶山银行Ⅱ类账户总共转入平顶山银行自有资金3113631.83元，其中100万被朱某用于购买该银行理财产品。

「支付百科」了解到，存在类似上述漏洞的银行不只是平顶山银行一家，同样的作案手法朱某还运用在新疆银行app中，与平顶山银行不同的是，新疆银行很快发现并追回了损失。

黑客团伙盗取银行2800万

事实上，利用银行漏洞非法获利案件不在少数，除了个人作案之外，更有团伙性质集体攻击银行。此前，曾有一个黑客团伙利用银行app安全漏洞，使用技术软件成倍放大定期存单金额，从中非法获利2800余万元。

该团伙利用黑客技术，长期在网上寻找全国各家银行、金融机构的安全漏洞，风控系统薄弱的银行便遭了殃。在找到某银行app中漏洞后，该团伙先是通过非法手段，盗取该银行5套账户储户信息。

向这些盗取账户中存入少量金额，再办理定期存款，借助技术软件成倍放大存款金额，以此来获得质押贷款，累计非法获利2800余万元。

最终上海公安机关成功捣毁这个利用网上银行漏洞非法获利的犯罪团伙，6名犯罪嫌疑人被依法刑事拘留。

提升风控是主旋律

据Wind发布的“中国上市企业市值500强”榜单显示，上半年上榜500强榜单的共有37家银行，银行业作为中国金融行业的支柱，其安全性显得更加重要。

目前，随着科技高速发展，银行电子产品业务越来越多，网上银行，手机银行的功能也不断推陈出新，竞争越发激烈，各项软件漏洞引发的风险也在加速暴露。

风险事件频发的背后也折射出部分银行内部风控能力不足，如果这些问题不能得到很好的解决，以后风险事件不可避免还会再次发生。

此前，人行支付清算司发布《关于加强个人II、III类银行结算账户风险防范有关事项的通知》。通知要求，银行业金融机构应对网上银行、手机银行、直销银行、手机app等电子渠道办理II、III类户业务的相关系统及后台系统开展全面自查，排查重点是否采取有效的技术手段保证通讯安全、是否具备足够强度的安全验证和反欺骗能力，是否正确反馈账户验证结果。对存在风险隐患的银行采取责令整改，暂停II、III类户业务等监管措施。

无论对于新兴的互联网金融企业，还是对于银行等传统金融机构而言，风控无疑都是贯通全局的命脉。银行业在加速业务转型的关键时期，一方面要加强风控能力回归本源，同时在互联网科技大潮冲击中谋求转型升级。