关注理由 银行卡未离身，存款却不翼而飞，这类“离奇”的盗刷，近日频繁发生，几乎都与第三方支付机构有关。犯罪分子只要获得储户身份证号、手机号等信息，就能在第三方支付机构以该储户的名义开户，并绑定该储户银行卡，银行验证储户信息正确性后，第三方支付机构发送手机动态口令到储户手机上。而犯罪分子利用伪基站向该储户手机植入木马病毒，拦截交易验证码、动态口令和交易验证码，也就获得了盗刷银行卡资金的“钥匙”。

　　昨日，不少市民拨打95060反映，按此作案手法，每个人的银行卡都有被盗刷的可能，我的账户如何保证安全？

　　记者调查发现，通过第三方盗刷，有三大“风险环节”。不少被盗刷的受害储户表示，这些漏洞的存在，第三方支付机构和银行都有责任。

　　风险环节1：信息泄露 多家金融机构 存“泄密”漏洞

　　受害储户王先生说，日前，他莫名被人在网银在线、顺丰恒通开了户，登录地点在海南。王先生感到不解，“身份信息怎么就泄露到外省去了？”

　　据业内人士介绍，盗刷者掌握卡号、户名、手机号等信息，多是利用保险、基金、证券、P2P等金融机构网络平台的漏洞获取。记者查阅全球最大的漏洞响应平台——补天漏洞响应平台，已经确认平台存在漏洞的保险公司超过20家。

　　据福州受害储户对海都记者反映，还发现犯罪分子利用伪基站冒用银行、运营商的官方客服号码，发送积分兑换现金、抽奖等信息，诱导市民点击短信内的网站链接，获取个人信息的同时，还会向市民手机植入木马病毒。

　　“犯罪分子‘广撒网’，大量获取信息、植入木马。”业内人士称，因犯罪成本低，哪怕植入1万个木马只盗刷成功一次，犯罪分子也“赚了”。

　　风险环节2：注册 输入基本个人信息，就能绑定银行卡

　　在第三方支付平台开户，过程很简单。以国内领先的独立第三方支付企业“快钱”为例，昨日，记者登录快钱官网，按照系统提示，输入手机号、姓名、身份证号，快钱公司随即向记者的手机发来验证码，输入验证码后，完成注册。记者登录账户，又输入银行卡号、手机号、开户行等信息，就成功绑定了一张储蓄卡，全过程不到5分钟。此后，在网上购物时，就可以直接用快钱消费，从绑定的储蓄卡中扣款。

　　记者只提供了姓名、手机号、银行卡号、身份证号等信息，并进行一次动态验证，就顺利完成了注册到绑定银行卡的全过程。也就是说，犯罪分子只要利用伪基站拦截下验证码短信，并获取上述个人信息，就能以任何人的名义，在第三方支付平台上开设账户并消费。

　　不少市民提出，银行卡从未开通网银，是不是可以“高枕无忧”？记者在昨日试验中发现，未开通网银的银行卡，同样可以绑定第三方支付机构。

　　风险环节3：支付快捷支付默认开通，无密码就能付款

　　“犯罪分子为啥可以不用支付密码，就直接通过第三方，从我的银行卡里把钱盗刷走呢？”不少受害储户提出，个人信息泄露防不胜防，但如果能在支付环节多设几把“锁”，犯罪分子就无法把钱转走。但是，不少第三方支付平台在处理部分付款时，一把“锁”都没有。

　　昨日，记者在自己手机安装的一个支付APP上操作时发现，绑定的三张银行卡，均被开通了“快捷支付”功能。该功能是何时开通的呢？为此，记者在支付宝上添加了一张新银行卡，绑定成功后，系统跳出对话框，显示快捷支付已开通。可见，在支付宝上绑定的银行卡，默认就有该功能。

　　所谓“快捷支付”，就是一定金额以下的付款无需验证，金额最高可设为2000元。也就是说，犯罪分子若通过支付宝盗刷，每笔只要在2000元以下，不用输入任何密码，只要点击“付款”按钮，就能直接盗刷走钱财。

　　律师：盗刷者“开锁”技术提高 银行也该升级“防盗门”

　　“光凭这些信息，银行就向第三方支付‘开门’，太不谨慎了。”不少市民认为，储户和银行间是合同关系，银行需妥善管理存款。

　　去年4月，银监会下发通知规定，市民的银行账户在与第三方支付机构首次建立业务关联时，应经双重认证：在第三方支付机构认证同时，还需通过银行的客户身份鉴别。银行应通过网点、电子渠道或其他有效方式，直接验证客户身份，明确双方权利与义务。

　　“可通过网上注册第三方账户，银行往往很难识别客户身份。”福建建达律师事务所律师阚小冬说，互联网催生的盗刷手段不断提高，为保护储户权益，银行有义务提升自身系统的安全性，“小偷开锁技术提高了，银行就该选择有效的防盗门。”

　　从目前发生的盗刷事件来看，储户想举证银行存在过错很不容易。阚小冬认为，应改变民事诉讼中“谁主张谁举证”的做法，让银行、第三方支付机构证明自身系统的安全性，系统是否存在管理或者技术漏洞。记者李拯郑靓