基金電商遭遇新型犯罪 創新途中收緊“安全帶”

每經編輯｜每經記者 徐皓 陸慧婧 發自上海    

每經記者 徐皓 陸慧婧 發自上海

近期，一些基金公司悄然進行了系統升級，紛紛提升了安全標準。一些公司暫停了異卡進出的功能，一些公司則關閉了部分附加服務的應用場景。“公司最近正在抓網絡系統安全問題。”有基金公司人士告訴《每日經濟新聞》記者。

據悉，近期在北京和上海發生了多起通過基金直銷賬戶盜取他人銀行卡內資金的新型金融刑事案件。犯罪嫌疑人所鉆的空子，正是近年來基金公司為了提升直銷客戶的體驗而增加的功能。這使得基金公司一直在強調“用戶體驗第一”之余，開始反思簡化注冊基金賬戶和關聯銀行賬戶是否真的足夠安全。

另一方面，隨著基金網站不斷增添除基金交易之外其他應用場景以及各類手機移動應用紛紛上線，網絡系統中暴露的風險點也在增多。

同時,在基金公司內部，對于怎樣在“如何吸引客戶”和“如何保護客戶”之間找到平衡也產生了不少分歧。電商部門與稽核監察部門因所處位置不同，對于這一問題觀點難以統一。

案件：便捷開戶、異卡贖回被鉆“空子”/

近期，北京市發生的一起犯罪嫌疑人通過基金直銷賬戶“過橋”，隱蔽地盜取他人銀行卡內資金的新型金融刑事案件，引起基金業內人士關注。

根據北京海淀檢察院通報，去年12月5日，事主張女士報案稱，她兒子陳先生的建行銀行卡被人轉走13.08萬元。陳先生查詢得知，卡里原有的130887元曾分兩次被轉入某基金賬戶。經陳先生向銀行和基金公司查詢，兩方客服均確認了這兩筆交易。基金公司方面告知了陳先生，此前其曾開設基金賬戶，兩次購買基金，并最終贖回到以陳先生名義開的與基金綁定的農行卡上。

被捕之后，朱某等4名嫌疑人供述了整個犯罪經過。首先，朱某等人在QQ群里購買到了卡主姓名及預留手機號、身份證號、銀行卡號、銀行卡密碼等卡主資料。之后，找人根據身份證號查到受害人身份證正面照片，根據掃描照片找人制作臨時身份證，并去農行以陳先生名義成功辦卡。第三步，用陳先生原來銀行卡里的錢購買基金，再將基金的錢分多次贖回到此前新開的農行卡上，最后轉賬取現。

基金開戶簡便，賬戶之下可以添加同名卡，是犯罪分子選擇此種作案手法的原因之一。此外，該基金驗證方式是驗證網銀，也就是輸入姓名、身份證號、銀行卡號、網銀登錄密碼，就可開戶成功，不需要U盾及手機驗證碼。另外，該基金可添加其他本人名下卡，只需要輸入另一張卡號、名字、身份證號、取款密碼，就可以綁定成功，再用所開的事主同名卡轉賬取錢。

“這是一種比較新型的作案手法。”李慧檢察官在接受《每日經濟新聞》記者采訪時稱。無獨有偶，最近上海傳出業內又爆發了類似的幾起案件。事實上，這種犯罪方式在嫌疑人圈里已經比較成熟了，他們QQ群里經常交流。此案四名嫌疑人之間有分工合作，甚至在他們想要提供信息和開卡幫助時，只需在熟知的QQ群里發帖子，就有呼應，用錢即可購買。

檢察官認為，基金公司網上交易流程上存在漏洞。從嫌疑人的供述來看，他們主要鉆了便捷開戶以及異卡贖回的空子。這兩項均是近年來基金公司為了提升直銷客戶體驗而增加的功能。

溯源：基金網上直銷開戶模式快捷化/

此次“基金份額盜竊”案，嫌疑人從基金開戶到份額申贖多個環節一一突破，亦引發業內人士對基金網上交易安全的重新審視。

據了解，目前，基金公司官網直銷開戶主要分為三種模式：快捷開戶、網關模式以及U盾開戶。

快捷開戶是指直銷網上交易系統購買基金時，銀行卡不需要開通網銀支付等功能，只需在申請開立基金賬戶時提供本人借記卡卡號、客戶姓名、證件類型、證件號碼及銀行預留手機號碼等信息，基金公司經過銀行驗證前述信息與投資者在銀行系統中預留的信息一致后即可完成與基金公司業務協議的簽署和基金賬戶的開立。

網關模式網關跳轉需要跳轉至銀行，輸入銀行卡密碼，送到銀行后臺驗證；U盾開戶則是最早最嚴格的一種。

“基金開戶流程復雜一直以來也備受詬病。此前通過網關模式開立基金賬戶，30%~60%的客戶會出現由于通訊信號等種種原因導致跳轉網關環節不成功，使部分客戶開戶受到影響。因此，后來一些基金公司開通快捷開戶，開戶時的風險偏好測試等環節被移至基金開戶之后。”華南某基金公司互聯網金融部總經理分析指出，“越是便捷，安全漏洞就會越高。”

一個巴掌拍不響，基金公司直銷開戶規則并不是基金公司單方面決定，也是跟各家銀行磋商協議的結果，因銀行要求而異。

《每日經濟新聞》記者隨機挑選銀行進行操作后發現，華夏基金開戶的過程中，當選擇使用工商銀行卡開戶，到第二步身份驗證時，立即要求填寫在銀行預存的手機號碼。浦發銀行卡開戶則采取跳轉網關模式，全程并未用到U盾或是短信驗證碼等提示方式。

在多位基金業內人士看來，基金開戶其實并非風控環節中最主要的部分。

“基金賬戶開立其實沒有太大問題，用不用U盾開戶也不是第一重要的。重點其實是在后面的環節，即是否強調‘錢從哪來，回到哪去’這樣一個大體原則。”深圳某基金公司督察長分析指出。

上述基金公司督察長提及的“錢從哪來，回到哪去”，即通常意義上的資金閉環業務規則。

然而，對安全閉環的認定上，基金公司標準不一，業界對同一用戶之下基金份額的跨行贖回并未一刀切。

華夏基金在其官網上強調 “賬戶實名認證、資金同名賬戶進出、數字證書加密”。據華夏基金客服介紹，除了工行、建行、華夏銀行，其他銀行卡申購的基金份額，都可以跨行贖回，不過資金額度因銀行而異。因此，華夏基金理解的“安全閉環”為同一客戶底下銀行卡的進出。

與華夏基金業務規則相似的還有匯添富基金和萬家基金。匯添富基金表示，匯添富現金寶一直按照“資金閉環”的原則來運行，用戶只能綁定自己名下的銀行卡，不能轉賬，也不能做支付，但同一名下多張卡之間是可以異卡贖回的。博時基金、招商基金、廣發基金等則明確規定，客戶申購贖回基金只能同卡進出。

“我們理解為只有同卡進出才叫資 金閉環。”華南一位基金公司督察長稱。“同一個用戶不同銀行卡之下的份額申贖、資金進出可能也叫‘閉環’，但同卡進出安全系數非常高。”上述華南某基金公司互聯網金融部總經理稱。

在上述案件中，綁定在同一人名下的第二張卡實質上已經脫離了卡主控制，掌握在犯罪嫌疑人手中，產生了其能把錢轉走所鉆的空子。

爭議：犧牲用戶體驗還是安全？/

不創新無法生存，但創新可能帶來風險，如何在用戶體驗和風險控制之間平衡，這成為基金公司的一道難題。

“這個案子折射出的互聯網安全問題在于無法核實客戶身份。電子商務一直也都有商品被盜的問題，但互聯網與金融結合之后就要考慮金融行業的特殊性：金額大且為無形商品，因此更需要引起重視。”一位基金公司監察稽核部人士認為。

這代表了大多數稽核監察部門人士的想法——安全是在第一位的。

“管不好風險就不要發展。”某華南基金公司督察長直言，“現在是三三兩兩的案例冒出來，假如說風險大面積爆發，就算是基金不賣了，也不能提供這種服務，你有責任把風險給控制住。”

然而，基金公司內部對此卻有意見分歧。業務部門普遍認為不可因噎廢食，因為過度強調風險控制而造成用戶的困擾。

“我認為這些案件都是小概率事件，不能因為這個而損失大多數人的便利。”上海某基金公司電子商務總監認為，“用戶需要有最基本的信息安全防范意識。希望依靠機構來完全隔絕風險，那不現實，也做不到。例如這個案件里，連最核心的信息都被盜取了，怎么可能指望基金公司來辨認開戶的還是不是你本人。”

余額寶正是因為最大限度地簡化了用戶操作流程而迅速風靡市場，也使得基金公司們大為震動。此后，基金公司電商業務言必稱“用戶體驗”。

事實上，即使規定基金份額只能同卡進出，基金公司提供了另一些創新業務的增值功能，如免費轉賬、還信用卡、購物等亦存在潛在的風險點。

“免費轉賬和跨行贖回的風險敞口也差不多，沒有特別大的本質區別。”北京一家基金公司督察長表示，同樣的還有信用卡還款。

銀行卡的更換，也被業內人士視為可能突破同卡進出的一種手段。“比如去異地工作等各種原因，客戶確實有換卡需求。通過換卡，基金份額也可以實現跨卡贖回。”上述深圳基金公司督察長透露。

目前，基金公司規定的換卡流程普遍有兩種標準：若是空卡，用戶可自助更換；若卡里仍有基金份額，則需要提交多種證件材料，且只能在同一家銀行之下進行更換。

“在管住了同卡進出之后，還需要嚴格審核換卡流程，這樣才能保證較高的安全系數。”上述督察長稱。

行業：互聯網金融系統高危漏洞屢現/

除了流程漏洞可能被不法分子鉆空子之外，系統漏洞被黑客攻破后引發的損失將更難以估量。隨著金融行業與互聯網的深度融合，基金公司網站直銷客戶數量出現跨越式增長。去年基金直銷平臺首度超過銀行渠道，成為基金購買的第一大途徑，成交金額高達2.33萬億元，基金在線交易網絡安全問題也因此越來越引起各方關注。

據國家互聯網應急中心（CNCERT）統計的情況顯示，政府網站和金融行業網站一直以來都是不法分子攻擊的重點目標，安全漏洞是重要聯網信息系統遭遇攻擊的主要內因。

天弘基金創新支持部總經理樊振華認為，基金公司網站總體安全等級保護要求是比較高的，“必須符合監管機構規定的等級保護要求，基金公司一般都會遵守這個規范，監管機構也會進行檢查。”

然而，在一個民間創辦的網絡漏洞報告平臺“烏云網”上，記者還是查到了不少關于基金公司網站系統的漏洞報告信息，其中不乏近年來在互聯網金融領域風生水起的大型公司，涉及的漏洞危害等級也從中等到高等。

例如，部分高危漏洞包括“XX現金寶多個嚴重漏洞 （可搶占他人賬號）”、“XX基金用戶賬號安全隱患可獲取到基金交易等敏感信息”、“XX基金某賬戶管理系統命令執行及XSS漏洞”等。

其中部分已被基金公司確認并修復，但部分漏洞至今沒有被基金公司確認處理。不過，有相關基金就此問題回復《每日經濟新聞》記者稱，早在該帖子發布之前，就已經進行過系統升級，不存在帖子中提及的漏洞。

CNCERT最新一期的互聯網安全威脅報告顯示，大多數安全事件是網站程序存在SQL注入、弱口令以及權限繞過等漏洞，也有部分是信息系統采用的應用軟件存在漏洞，可能導致獲取后臺系統管理權限、信息泄露、惡意文件上傳等危害，甚至會導致主機存在被不法分子遠程控制的風險。

此類互聯網公司通過所運營的在線交易信息系統，掌握大量用戶資金、真實身份、經濟狀況、消費習慣等信息，系統出現安全問題后，風險隨之傳導至關聯的銀行、證券、電商等其他行業，產生連鎖反應。

此外，互聯網和移動通信技術降低了使用門檻，在帶來便利的同時也引入新的安全風險。2013年12月，支付寶錢包客戶端iOS版被披露存在手勢密碼漏洞，連續輸錯5次手勢密碼后可導致密碼失效，使得攻擊者可以任意進入手機支付寶賬戶，免密碼進行小額支付。

天弘基金創新支持部總經理樊振華表示，“余額寶的用戶出口和入口主要是在支付寶這一端，而我們這一端主要是負責清算、結算、收益分配等后端功能。我想支付寶的線上安全措施在國內網站中應該算是一流的，而我們這邊的安全措施應該也是比較到位的，所有的核心業務系統完全是在一個隔離的網段，可以理解為不對外暴露的。此外也有定期漏洞掃描等安全措施。到目前為止我們還沒出現過用戶信息泄露、被盜這些現象。”

有基金公司電商部人士表示，2007、2008年時基金公司網絡系統比較脆弱，也出過一些問題。近年基金公司普遍在IT方面投入較大，系統安全相比早前已經提高了很多。

相對于內控相對規范的基金公司而言，部分P2P和第三方理財網站在系統建設方面則更顯薄弱，更容易成為黑客攻擊的對象。

有業內人士表示，如今做互聯網金融門檻極低，相關網站建設都有現成的模板，在淘寶上只需幾千元就買一套模板，做一個P2P的網站，其中暗藏風險不言而喻。

今年3月份，以“網貸之家”為代表的多家P2P行業門戶網站、論壇，再次成為黑客的攻擊目標，受到黑客持續多日的惡意嚴重攻擊。而此前亦發生過一些平臺因黑客的攻擊導致系統癱瘓，而遭遇擠兌的情況。

趨勢：基金手機終端成新“重災區”/

值得注意的是，基金公司手機客戶端也成為漏洞暴露的災區之一。有烏云網的“白帽子”（能識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞的人）提供的示例圖片顯示，在某基金公司蘋果iOS版本的客戶端中，在知道用戶身份證號碼情況下，通過一些手段可以重置用戶的基金賬戶密碼。對于職業黑客而言，通過攻擊腳本獲得用戶身份證號碼亦非難事。

某大型基金公司電商人士亦向《每日經濟新聞》記者表示，基金公司近年大力拓展電商業務，除了基本的交易查詢功能外，亦紛紛上線進行購物支付、轉賬等功能，也出現了一些風險事件。

除了系統安全問題外，“釣魚攻擊”在手機移動端亦愈演愈烈。

釣魚網站是一種網絡欺詐行為，是指不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。

從中國互聯網絡信息中心（CNNIC）下屬中國反釣魚網站聯盟今年5月處理釣魚網站的情況來看，釣魚網站涉及行業前三位，分別為支付交易類、金融證券類、媒體傳播類，占處理總量的99.41%。其中，支付交易類釣魚網站數量占5月處理總量最高，占到了5月處理總量的81.34%。

CNCERT2013年中國互聯網網絡安全報告稱，釣魚攻擊呈現跨平臺發展趨勢，2013年，在傳統互聯網的釣魚網站之外，黑客還結合移動互聯網，利用仿冒移動應用、移動互聯網惡意程序、偽基站等多種手段，實施跨平臺的釣魚欺詐攻擊，危害用戶經濟利益。

2013年，黑客利用安卓系統的“簽名驗證繞過”高危漏洞，制作散播大量仿冒國內主流銀行等金融機構的移動應用，誘導用戶安裝，盜取用戶銀行賬戶信息。一些釣魚網站在盜取用戶銀行賬號和密碼等信息時，還大量傳播仿冒相應手機銀行安全插件的惡意程序，劫持用戶收到的短信驗證碼，從而使黑客進一步完成網銀支付、轉賬等交易操作。

有基金公司電商人士表示，隨著移動應用和支付的普及，移動互聯網上的詐騙行為泛濫，譬如一些仿冒的APP、微信公眾賬號等層出不窮，投資者應該提升自身防范意識。