工行支付存在漏洞 多名客户存款莫名消失（6）

“此次银行卡被盗刷客户投诉后，客户虽然仍能开通此业务，但查询历史短信的功能已紧急关停，目前正在对业务进行优化，包括‘不保存银行下发的短信’‘只能查询24小时前的短信’‘需要动态密码验证’等。”

安全大考

在采访中，记者了解到，并非所有储户的存款都是在被办理了“短信保管箱”之后才被盗的。

储户秦玉(化名)也是本次存款丢失的受害人之一，但与其他受害人不同的是，她的手机号并非归属于中国移动公司，没有出现过被办理“短信保管箱”的情况。秦玉告诉记者：“在我存款被盗取的过程中，我没有收到过动态密码，只收到了95588发来的短信验证码，称我正在修改工银‘e支付’的信息，随后就是我的存款被转走的通知。而‘e支付’这项业务也并非我本人开通。”

某国有银行电子银行部人士猜测，秦玉的情况应该是短信验证码被犯罪分子通过其他途径获取了。与U盾相比，使用短信验证码进行交易的快捷支付虽然便捷，但安全性相对较差。

“这类案件的关键问题在于银行是将短信验证码作为身份认证的依据，而这就决定了会存在一定的风险。”猎豹移动安全专家李铁军认为，虽然在此次事件中，工商银行和中国移动公司都有责任，但中国移动的“短信保管箱”业务只是一个可能窃取短信验证码的途径，与以往的钓鱼网站、拦截手机短信的病毒作用类似，因此关键问题在于短信验证码本身。