每日经济新闻

    基金电商遭遇新型犯罪 创新途中收紧“安全带”

    每日经济新闻 2014-06-30 17:34

    据悉,近期在北京和上海发生了多起通过基金直销账户盗取他人银行卡内资金的新型金融刑事案件。犯罪嫌疑人所钻的空子,正是近年来基金公司为了提升直销客户的体验而增加的功能。

    每经记者 徐皓 陆慧婧 发自上海

    近期,一些基金公司悄然进行了系统升级,纷纷提升了安全标准。一些公司暂停了异卡进出的功能,一些公司则关闭了部分附加服务的应用场景。“公司最近正在抓网络系统安全问题。”有基金公司人士告诉《每日经济新闻》记者。

    据悉,近期在北京和上海发生了多起通过基金直销账户盗取他人银行卡内资金的新型金融刑事案件。犯罪嫌疑人所钻的空子,正是近年来基金公司为了提升直销客户的体验而增加的功能。这使得基金公司一直在强调“用户体验第一”之余,开始反思简化注册基金账户和关联银行账户是否真的足够安全。

    另一方面,随着基金网站不断增添除基金交易之外其他应用场景以及各类手机移动应用纷纷上线,网络系统中暴露的风险点也在增多。

    同时,在基金公司内部,对于怎样在“如何吸引客户”和“如何保护客户”之间找到平衡也产生了不少分歧。电商部门与稽核监察部门因所处位置不同,对于这一问题观点难以统一。

    案件:便捷开户、异卡赎回被钻“空子”/

    近期,北京市发生的一起犯罪嫌疑人通过基金直销账户“过桥”,隐蔽地盗取他人银行卡内资金的新型金融刑事案件,引起基金业内人士关注。

    根据北京海淀检察院通报,去年12月5日,事主张女士报案称,她儿子陈先生的建行银行卡被人转走13.08万元。陈先生查询得知,卡里原有的130887元曾分两次被转入某基金账户。经陈先生向银行和基金公司查询,两方客服均确认了这两笔交易。基金公司方面告知了陈先生,此前其曾开设基金账户,两次购买基金,并最终赎回到以陈先生名义开的与基金绑定的农行卡上。

    被捕之后,朱某等4名嫌疑人供述了整个犯罪经过。首先,朱某等人在QQ群里购买到了卡主姓名及预留手机号、身份证号、银行卡号、银行卡密码等卡主资料。之后,找人根据身份证号查到受害人身份证正面照片,根据扫描照片找人制作临时身份证,并去农行以陈先生名义成功办卡。第三步,用陈先生原来银行卡里的钱购买基金,再将基金的钱分多次赎回到此前新开的农行卡上,最后转账取现。

    基金开户简便,账户之下可以添加同名卡,是犯罪分子选择此种作案手法的原因之一。此外,该基金验证方式是验证网银,也就是输入姓名、身份证号、银行卡号、网银登录密码,就可开户成功,不需要U盾及手机验证码。另外,该基金可添加其他本人名下卡,只需要输入另一张卡号、名字、身份证号、取款密码,就可以绑定成功,再用所开的事主同名卡转账取钱。

    “这是一种比较新型的作案手法。”李慧检察官在接受《每日经济新闻》记者采访时称。无独有偶,最近上海传出业内又爆发了类似的几起案件。事实上,这种犯罪方式在嫌疑人圈里已经比较成熟了,他们QQ群里经常交流。此案四名嫌疑人之间有分工合作,甚至在他们想要提供信息和开卡帮助时,只需在熟知的QQ群里发帖子,就有呼应,用钱即可购买。

    检察官认为,基金公司网上交易流程上存在漏洞。从嫌疑人的供述来看,他们主要钻了便捷开户以及异卡赎回的空子。这两项均是近年来基金公司为了提升直销客户体验而增加的功能。

    溯源:基金网上直销开户模式快捷化/

    此次“基金份额盗窃”案,嫌疑人从基金开户到份额申赎多个环节一一突破,亦引发业内人士对基金网上交易安全的重新审视。

    据了解,目前,基金公司官网直销开户主要分为三种模式:快捷开户、网关模式以及U盾开户。

    快捷开户是指直销网上交易系统购买基金时,银行卡不需要开通网银支付等功能,只需在申请开立基金账户时提供本人借记卡卡号、客户姓名、证件类型、证件号码及银行预留手机号码等信息,基金公司经过银行验证前述信息与投资者在银行系统中预留的信息一致后即可完成与基金公司业务协议的签署和基金账户的开立。

    网关模式网关跳转需要跳转至银行,输入银行卡密码,送到银行后台验证;U盾开户则是最早最严格的一种。

    “基金开户流程复杂一直以来也备受诟病。此前通过网关模式开立基金账户,30%~60%的客户会出现由于通讯信号等种种原因导致跳转网关环节不成功,使部分客户开户受到影响。因此,后来一些基金公司开通快捷开户,开户时的风险偏好测试等环节被移至基金开户之后。”华南某基金公司互联网金融部总经理分析指出,“越是便捷,安全漏洞就会越高。”

    一个巴掌拍不响,基金公司直销开户规则并不是基金公司单方面决定,也是跟各家银行磋商协议的结果,因银行要求而异。

    《每日经济新闻》记者随机挑选银行进行操作后发现,华夏基金开户的过程中,当选择使用工商银行卡开户,到第二步身份验证时,立即要求填写在银行预存的手机号码。浦发银行卡开户则采取跳转网关模式,全程并未用到U盾或是短信验证码等提示方式。

    在多位基金业内人士看来,基金开户其实并非风控环节中最主要的部分。

    “基金账户开立其实没有太大问题,用不用U盾开户也不是第一重要的。重点其实是在后面的环节,即是否强调‘钱从哪来,回到哪去’这样一个大体原则。”深圳某基金公司督察长分析指出。

    上述基金公司督察长提及的“钱从哪来,回到哪去”,即通常意义上的资金闭环业务规则。

    然而,对安全闭环的认定上,基金公司标准不一,业界对同一用户之下基金份额的跨行赎回并未一刀切。

    华夏基金在其官网上强调 “账户实名认证、资金同名账户进出、数字证书加密”。据华夏基金客服介绍,除了工行、建行、华夏银行,其他银行卡申购的基金份额,都可以跨行赎回,不过资金额度因银行而异。因此,华夏基金理解的“安全闭环”为同一客户底下银行卡的进出。

    与华夏基金业务规则相似的还有汇添富基金和万家基金。汇添富基金表示,汇添富现金宝一直按照“资金闭环”的原则来运行,用户只能绑定自己名下的银行卡,不能转账,也不能做支付,但同一名下多张卡之间是可以异卡赎回的。博时基金、招商基金、广发基金等则明确规定,客户申购赎回基金只能同卡进出。

    “我们理解为只有同卡进出才叫资 金闭环。”华南一位基金公司督察长称。“同一个用户不同银行卡之下的份额申赎、资金进出可能也叫‘闭环’,但同卡进出安全系数非常高。”上述华南某基金公司互联网金融部总经理称。

    在上述案件中,绑定在同一人名下的第二张卡实质上已经脱离了卡主控制,掌握在犯罪嫌疑人手中,产生了其能把钱转走所钻的空子。

    争议:牺牲用户体验还是安全?/

    不创新无法生存,但创新可能带来风险,如何在用户体验和风险控制之间平衡,这成为基金公司的一道难题。

    “这个案子折射出的互联网安全问题在于无法核实客户身份。电子商务一直也都有商品被盗的问题,但互联网与金融结合之后就要考虑金融行业的特殊性:金额大且为无形商品,因此更需要引起重视。”一位基金公司监察稽核部人士认为。

    这代表了大多数稽核监察部门人士的想法——安全是在第一位的。

    “管不好风险就不要发展。”某华南基金公司督察长直言,“现在是三三两两的案例冒出来,假如说风险大面积爆发,就算是基金不卖了,也不能提供这种服务,你有责任把风险给控制住。”

    然而,基金公司内部对此却有意见分歧。业务部门普遍认为不可因噎废食,因为过度强调风险控制而造成用户的困扰。

    “我认为这些案件都是小概率事件,不能因为这个而损失大多数人的便利。”上海某基金公司电子商务总监认为,“用户需要有最基本的信息安全防范意识。希望依靠机构来完全隔绝风险,那不现实,也做不到。例如这个案件里,连最核心的信息都被盗取了,怎么可能指望基金公司来辨认开户的还是不是你本人。”

    余额宝正是因为最大限度地简化了用户操作流程而迅速风靡市场,也使得基金公司们大为震动。此后,基金公司电商业务言必称“用户体验”。

    事实上,即使规定基金份额只能同卡进出,基金公司提供了另一些创新业务的增值功能,如免费转账、还信用卡、购物等亦存在潜在的风险点。

    “免费转账和跨行赎回的风险敞口也差不多,没有特别大的本质区别。”北京一家基金公司督察长表示,同样的还有信用卡还款。

    银行卡的更换,也被业内人士视为可能突破同卡进出的一种手段。“比如去异地工作等各种原因,客户确实有换卡需求。通过换卡,基金份额也可以实现跨卡赎回。”上述深圳基金公司督察长透露。

    目前,基金公司规定的换卡流程普遍有两种标准:若是空卡,用户可自助更换;若卡里仍有基金份额,则需要提交多种证件材料,且只能在同一家银行之下进行更换。

    “在管住了同卡进出之后,还需要严格审核换卡流程,这样才能保证较高的安全系数。”上述督察长称。

    上一篇

    6月份模拟炒股比赛 选手“风の伤”夺冠

    下一篇

    保监会确认收到正德人寿改善偿付能力方案



    分享成功
    每日经济新闻客户端
    一款点开就不想离开的财经APP 免费下载体验