“基金电商遭遇新型犯罪 革新途中收紧“安全带””

本篇文章5499字，读完约14分钟

经记者徐皓陆慧婧出生于上海

最近，一些基金企业正在悄然进行系统升级，以提高安全标准。 一个企业暂停了异卡进出的功能，一个企业停止了一些附加服务的应用场景。 “公司最近掌握了互联网系统的安全问题。 ”基金企业家告诉《每日经济信息》记者。

据说最近在北京和上海经常发生通过基金直销账户窃取他人银行卡内资金的新型金融刑事案件。 嫌疑人穿越空子是近年来基金企业为了提高直销顾客的体验而追加的功能。 由此，基金企业持续强调“顾客体验第一”，开始反思简化注册基金账户和相关银行账户是否真的足够安全。

另一方面，基金网站上不断增加基金交易以外的应用场景和各种手机的移动应用，暴露在互联网系统上的风险点也在增加。

另外，在基金企业内部，在“如何吸引顾客”和“如何保护顾客”之间也存在很多意见分歧。 电子商务部门和审计监察部门位置不同，因此很难统一对此问题的观点。

事件:方便地开户，异种卡被赎回后用钻孔机挖掘“空

近日，北京市发生了一起新型金融刑事案件，涉嫌通过基金直销账户“过桥”偷偷盗用他人银行卡内资金，引起基金业人士的广泛关注。

据北京海淀检察院通报，去年12月5日，案件主张女性举报，其儿子陈先生的建设银行卡被转移13.08万元。 根据陈先生的调查，卡原130887元曾分两次转入某基金账户。 陈先生向银行和基金企业询问后，双方的客户服务确认了这两笔交易。 基金企业方面告诉陈先生，迄今为止开设了基金账户，购买了两次基金，最终买回了与以陈先生名义开设的基金挂钩的农行卡。

逮捕后，嫌疑人朱等4人供述了犯罪经过。 首先，朱先生等人在qq群里购买了持卡人的姓名和预约手机号码、身份证号码、银行号码、银行卡号等持卡人资料。 随后，根据身份证号码找到被害人身份证正面照片，根据扫描照片制作临时身份证，并前往农行以陈先生的名义成功办卡。 第三步，用陈先生原有银行卡的钱购买基金，将基金的钱分几次赎回到以前新开的农行卡上，最后转账取现。

基金的开设很简单，也可以在账户下添加同名卡。 这也是犯罪者选择这种犯罪方法的原因之一。 另外，该基金的验证方法是验证网络银行，只要输入姓名、身份证号码、银行号码、网络银行的登录密码，即可成功开户，不需要u盘或手机。 此外，该基金还可以添加其他本人名下卡，只需输入不同的卡号、姓名、身份证号、取款密码，即可成功绑定，并通过开立的事主同名卡转账取钱。

“这是一种比较新的犯罪方法。 ”李慧检察官在接受《每日经济信息》记者采访时表示。 无独有偶，最近上海在业内爆发了几起类似事件。 其实，这种犯罪方法在嫌疑人圈子里已经很成熟了，在他们的qq群里经常交流。 这件事的四名嫌疑人之间有分工合作，甚至在他们想提供新闻或出牌的时候，只要在熟悉的qq群里发消息，就可以呼应，用钱购买。

检察官认为基金企业的网上交易程序不完善。 根据嫌疑人的供述，他们首先钻了方便的开户和iso卡回购的空子。 这两者都是近年来基金企业为了提高直销顾客体验而增加的功能。

可追溯性:加快基金在线直销开户模式/

在此次“基金份额盗窃”事件中，犯罪嫌疑人从基金开户到份额申赎等多个环节被突破，引发业内人士对基金网上交易安全性的重新审视。

据了解，目前基金企业官网直销开户主要分为三种模式。 快速开户、网关模式和u盘开户。

快速开户是指直销网上交易系统购买基金时，银行卡无需开通网上银行支付等功能，在申请开通基金账户时提供本人的借记卡号码、客户姓名、证件类型、证件号码和银行预约的手机号码等新闻 基金企业经银行核实与投资者向银行系统认购的消息一致后，可以完成与基金企业的业务协议签署和基金账户开立。

网关模式网关的跳转需要跳转到银行，输入银行卡密码，然后发送到银行后台验证； 开设UCL账户是最早的困难。

“基金的开设流程多、繁杂，一直以来都备受诟病。 此前通过网关方式开设基金账户，有30%~60%的顾客因通信信号等各种原因无法开设过渡网关，从而影响部分顾客的账户开设。 因此，之后，基金企业开始迅速开户，作为开户时的风险偏好测试等环节，基金开户后转移了。 ”。 华南一家基金企业网络金融部总经理分析称:“越方便，安全漏洞就越高。”

一巴掌拍不响，基金企业直销开户规则不是基金企业单方面决定的，是与各银行协商协商的结果，因银行要求而异。

《每日经济信息》记者随机选择银行进行操作，结果显示，在华夏基金开户过程中，选择工商银行卡开户，在第二阶段认证之前，要求及时填写存入银行的手机号码。 浦发银行卡开户采用跳跃网关模式，全程未使用u盘、短信等提示方法。

在许多基金业内人士看来，基金开户实际上并不是风控环节中最重要的部分。

“基金开户其实没什么问题，用USD开户也不是第一重要的。 要点是在后面的部分，是否强调“钱从哪里来，回到哪里”，深圳某基金企业的警察部长解体指出。

上述基金企业审计长提到的“钱从哪里来、回哪里去”是一般意义上的资金闭环业务规则。

但是，在安全闭环的认定中，基金企业的标准不同，行业对同一顾客下的基金份额的回购并非一概而论。

华夏基金在官网上强调“账户实名认证、资金同名账户进出、数字证书加密”。 华夏基金客服表示，除工行、建行、华夏银行外，其他银行卡申购的基金份额均可跨行赎回，但资金数额因银行而异。 这是因为华夏基金理解的“安全闭环”在同一客户下银行卡进出。

与华夏基金的业务规则相似的是汇款基金和万家基金。 据汇金介绍，汇金一直按照“资金闭环”的大致情况运行。 顾客可以绑定自己名下的银行卡，既不能汇款也不能支付，但是可以在同一名下的多张卡之间赎回不同的卡。 博时基金、招商基金、广发基金等确定，客户申购赎回基金只能刷卡进出。

“我们理解为只有出入卡才能称为资金闭环。 ’华南一家基金企业的警察部长说。 “同一客户在不同银行卡下的份额报销、资金进出也可能被称为‘闭环’，但该卡的进出安全系数非常高。 ’华南一家基金企业网络金融部总经理说。

在上述事件中，绑定在同一人名下的第二张卡实质上脱离了持卡人的控制，掌握在嫌疑人手中，可以携款潜逃空子出生。

争论:是牺牲顾客满意度还是安全？ /

不创新就活不下去，但创新有可能带来风险，如何平衡顾客体验和风险控制成为基金企业的课题。

“这个事件突出的网络安全问题是无法确认顾客的身份。 电子商务中也存在商品被盗的问题，但如果将互联网与金融相结合，则需要考虑金融领域的特殊性:金额大、为无形商品。 因为这将更加受到重视。 ”某基金企业监察审计部的人说。

这表达了大部分审计部门的人们的想法。 安全是第一位的。

“如果不能控制风险，就不要快速发展。 ”华南基金企业的警察部长坦率地说，“现在出现了三五个样本。 如果风险大规模发生，即使基金卖不出去，也无法提供这种服务。 我有控制风险的责任。 ”。

但是，在基金企业内部存在着分歧。 业务部门被认为不应过度强调风险控制而引起客户的烦恼。

“我认为这些案件是小概率的事情。 这样不能损害很多人的便利性。 ”上海一家基金企业的电子商务总监说:“顾客需要有最基本的新闻安全意识。 想依赖组织完全切断风险，那是不现实的，不能。 例如，在这个事件中，连最核心的新闻都被盗了。 我们如何分辨基金企业是开户还是你自己呢？”

余额宝由于最大限度地简化了客户的操作流程，迅速风靡市场，极大地震撼了基金企业们。 此后，基金企业的电子商务必定被称为“顾客体验”。

事实上，即使规定基金份额只能刷卡进出，基金企业也提供了另一种创新业务的增值功能，如免费转账、信用卡还款、购物等，存在潜在的风险点。

“免费转账和跨行业回购的风险差不多，没有特别大的本质区别。 ’北京一家基金企业的警察部长表示，同样也有信用卡还款。

银行卡更换也被业内人士认为是有可能突破该卡出入的手段。 “例如，由于出国工作等各种理由，顾客确实有换卡的诉讼。 通过换卡，基金份额也可以实现卡之间的回购。 ”上述深圳基金企业警察部长明确表示。

目前，基金企业制定的换卡流程一般有两个标准。 空卡的情况下，客户可以自己更换。如果卡还有基金份额，则需要提交多个证明资料，只能在同一银行下更换。

“在管理与卡的出入后，为了保证较高的安全系数，必须严格审查卡交换过程。 ”上述警察部长说。

领域:互联网金融系统的高危漏洞频发/

不仅流程漏洞可能会被不法分子钻到空子系统，而且系统漏洞被黑客攻破后造成的损失更是不可估量。 随着金融领域和互联网的融合，基金企业网站直销客户数量飞跃增长。 去年，基金直销平台首次超过银行渠道，成为基金申购的首要渠道，成交额达到2.33万亿元，基金网上交易互联网安全问题也越来越受到关注。

据国家互联网应急中心( cncert )统计，政府网站和金融领域网站一直以来都是不法分子攻击的主要目标，安全漏洞是重要的互联网新闻系统受到攻击的主要内因。

天弘基金创新支援部社长樊振华认为，基金企业网站整体的安全等级保护要求很高。 “必须满足监管机构规定的等级保护要求，基金企业通常遵守本规范，监管机构也要检查。 ”

但是，在一家民间创办的互联网漏洞报告平台“乌云网”上，记者发现了许多基金企业网站系统漏洞报告新闻。 其中，有些大型企业近年来在互联网金融业方兴未艾，脆弱性危害水平也从中趋高等。

例如，一些高危漏洞包括“xx基金多个严重漏洞(可以抢占他人账户)”、“xx基金客户账户的安全隐患在于可以获取基金交易等敏感新闻”、“有xx基金的账户”

其中一些已被基金企业确认并修复，但一些漏洞至今尚未被基金企业确认并解决。 但是，相关基金就此问题回答了《每日经济信息》记者，该文章发布前已进行了系统升级，没有文章中提到的漏洞。

根据cncert最新一期的网络安全威胁报告，大部分安全问题是网站程序存在sql注入、弱密码和权限迂回等漏洞，有些是新闻系统中使用的应用程序存在漏洞 会导致新闻泄露、恶意文件入库等危害，主机有被不法分子远程操作的风险。

这类互联网企业通过运营的网上交易新闻系统，掌握了大量客户的资金、真实身份、经济状况、费用习性等新闻，一旦系统出现安全问题，风险将波及相关银行、证券、电子商务业者等其他

此外，互联网和移动通信技术降低了采用门槛，带来了便利，也引入了新的安全风险。 年12月，支付宝( Alipay )钱包客户端ios版被曝光存在手势密码漏洞，连续输入手势密码5次后，密码失效，攻击者任意进入手机支付宝( Alipay )账户。

天弘基金创新支持部社长樊振华表示，“余额宝客户的出口和进口主要在支付宝( Alipay )方面，但我们这边负责清算、结算、收益分配等后端功能。 我认为支付宝( Alipay )的在线安全措施在国内网站本身应该是一流的，我们的安全措施也应该是齐全的。 可以理解为所有的核心业务系统都在完全隔离的网段上，不会暴露在外面。 此外，还有定期漏洞扫描等安全措施。 迄今为止，没有客户的消息被泄露或被盗过。 ”

一家基金企业电子商务部的人表示，2007、2008年基金企业互联网系统脆弱，存在一些问题。 近年来，基金企业普遍对it投资较大，系统安全性比以前提高了很多。

相对于内部控制相对规范的基金企业，一些p2p和第三方理财网站在系统建设方面更弱，更容易成为黑客攻击对象。

一位业内人士表示，目前互联网金融门槛极低，相关网站建设有现成的模板，淘宝只需几千元就可以买模板做p2p网站，其中风险不言而喻。

今年3月，以“网贷之家”为首的众多p2p领域门户网站、论坛，再次成为黑客攻击目标，遭到黑客数天的恶意严重攻击。 此前，也曾因黑客攻击而导致平台瘫痪，遭遇过少量挤兑。

趋势:基金手机终端将成为新的“灾区”/

值得注意的是，基金企业手机客户端也成为脆弱性暴露的灾区之一。 根据有乌云网的“白帽子”(可以识别计算机系统和互联网系统的安全漏洞，但不是恶意利用，而是公开其漏洞的人)提供的样本图像，某基金企业的苹果ios芭芭 对于职业黑客来说，通过攻击脚本获取客户id号也并不困难。

一家大型基金企业的电子商务人士也向《每日经济信息》记者表示，基金企业近年来大幅拓展了电子商务业务，除了基本的交易查询功能外，购物支付和转账等功能也层出不穷，表现出一些风险

不仅是系统安全问题，手机移动终端上的“钓鱼攻击”也在加剧。

网络钓鱼网站是指网络诈骗行为，非法用户使用各种手段，伪造实际网站的url地址和页面副本，利用实际网站服务器程序的漏洞在网站的部分页面插入危险的html代码，将客户的银行和

从新闻网新闻中心( cnnic )旗下的中国反钓鱼网站联盟今年5月解决钓鱼网站的情况来看，钓鱼网站为支付交易类、金融证券类、媒体推广类，分别占解决总量的99.41%。 其中，支付交易类钓鱼网站数量以5月解决总量最高，占5月解决总量的81.34%。

根据cncert年的新闻网络安全报告，钓鱼攻击呈现出跨平台的快速发展趋势，除了去年以前传入互联网的钓鱼网站外，黑客还与移动网络合作，钓鱼

年，黑客利用安卓系统“签名验证”的高危漏洞，大量制作模仿国内主流银行等金融机构的移动应用，引导客户安装，窃取客户银行账户新闻。 网络钓鱼网站在窃取顾客的银行账号和密码等新闻时，会发送大量模仿适当(智能手机)银行安全插件的恶意程序，劫持顾客收到的邮件，黑客进行网络银行的支付和转账

一家基金企业电子商务人士表示，随着移动应用和支付的普及，移动网络上的欺诈行为泛滥。 据悉，例如，由于网络钓鱼应用和微信公众账户等层出不穷，投资者应该提高自身的防范意识。