农行安全系统遭质疑：客户未操作账户被买国债

　　新浪财经讯 近日，新浪金融曝光台收到张先生对于农业银行的投诉。2015年11月24日，张先生突然收到其农业银行账户买卖国债的短信提醒，紧接着就接到诈骗电话称其账户被冻结，需要他进行一些操作解冻账户。

　　“我是一名网络安全工程师，对于个人信息安全和电信诈骗的警惕性很高，一听就知道是遇到了电信诈骗，所以立即登录农行网银查看账户变动情况，并打电话给农行客服。就在我打电话给客服的同时，眼看着个人账户被诈骗分子操作，不断地买卖国债，而我自己又不能制止。由于多笔买卖的差价，造成近1200元的损失。”张先生告诉新浪财经。

　　张先生立即记录了自己的IP地址，并去派出所报案。随后跟随民警去了开卡行——北京市农行石景山支行了解情况，民警要求农行出具操作其账户的IP地址，农行以支行没有权限为由未能提供。

　　作为网络信息安全工程师，张先生称其工作和家中的网络、电脑以及银行账户的安全级别非常高，银行账户信息被泄露或者感染木马病毒的可能性很小。

　　据了解，农行网银登陆有证书登录与用户名登录两种，其中证书登陆分为K宝和K令。张先生的农行账户绑定了K宝，即便是账户信息被泄露，诈骗分子能够绕过K宝直接入侵账户并进行操作，说明农行安全系统存在严重的技术漏洞。

　　新浪财经致电农行石景山支行，一位负责处理该事件的员工称，已将该事以及处理结果上报分行，不方便透露更多细节。新浪财经又致电农行北京分行，也未能得到更详细的信息。

　　张先生认为，自己的银行账户从未进行过国债买卖，且眼看着诈骗绕过K宝肆无忌惮买卖国债，农行的系统安全令人担忧。报案后民警要求农行出具操作他的账户的IP地址，以方便民警追踪，但农行至今未能提供，造成至今案件无法处理完毕。

　　自己未进行任何操作，名下银行却被开了“新账户”，接到电话后莫名被骗走存款——近期出现了一系列类似骗局。一旦储户听信指挥完成操作，账户被激活后，骗子就可以绕过储户，利用网银渠道顺利将储户钱款转走。业内人士称，要实施诈骗，一般要经过以下三个步骤：

　　第1步、登录密码泄露，“撞库”盗密码。

　　第2步、被开“新账户” 钱款消失是假象。

　　据介绍，储户的网上银行会有储蓄卡账户、过渡账户、第三方账户、贵金属账户等多个账户存在。一些贵金属等账户，为方便储户操作，储户登录网上银行输入密码、登录网银后即可开通操作，无需验证。而这项便捷却被不法分子屡屡使用，成为骗局的“幌子”。

　　银行业内人士指出，客户名下资金可在各账户流通，虽然被骗子“操作”，出现钱款被转出、名下“分文不剩”的假象，但这时候客户的钱仍然在名下，并没有丢失。

　　第3步、ATM机取款 激活“新账户”。

　　钱款被转入“新账户”后，不法分子会打电话要求储户用网银进行小额的转账或者ATM机取些钱，而这一步操作最终将激活“新账户”。一旦储户听信指挥完成操作，账户被激活后，骗子就可以绕过储户，利用网银渠道顺利将储户钱款转走。