每經(jīng)編輯 每經(jīng)記者 徐皓 陸慧婧 發(fā)自上海    

每經(jīng)記者 徐皓 陸慧婧 發(fā)自上海

近期，一些基金公司悄然進(jìn)行了系統(tǒng)升級(jí)，紛紛提升了安全標(biāo)準(zhǔn)。一些公司暫停了異卡進(jìn)出的功能，一些公司則關(guān)閉了部分附加服務(wù)的應(yīng)用場(chǎng)景。“公司最近正在抓網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題。”有基金公司人士告訴《每日經(jīng)濟(jì)新聞》記者。

據(jù)悉，近期在北京和上海發(fā)生了多起通過(guò)基金直銷(xiāo)賬戶盜取他人銀行卡內(nèi)資金的新型金融刑事案件。犯罪嫌疑人所鉆的空子，正是近年來(lái)基金公司為了提升直銷(xiāo)客戶的體驗(yàn)而增加的功能。這使得基金公司一直在強(qiáng)調(diào)“用戶體驗(yàn)第一”之余，開(kāi)始反思簡(jiǎn)化注冊(cè)基金賬戶和關(guān)聯(lián)銀行賬戶是否真的足夠安全。

另一方面，隨著基金網(wǎng)站不斷增添除基金交易之外其他應(yīng)用場(chǎng)景以及各類(lèi)手機(jī)移動(dòng)應(yīng)用紛紛上線，網(wǎng)絡(luò)系統(tǒng)中暴露的風(fēng)險(xiǎn)點(diǎn)也在增多。

同時(shí),在基金公司內(nèi)部，對(duì)于怎樣在“如何吸引客戶”和“如何保護(hù)客戶”之間找到平衡也產(chǎn)生了不少分歧。電商部門(mén)與稽核監(jiān)察部門(mén)因所處位置不同，對(duì)于這一問(wèn)題觀點(diǎn)難以統(tǒng)一。

案件：便捷開(kāi)戶、異卡贖回被鉆“空子”/

近期，北京市發(fā)生的一起犯罪嫌疑人通過(guò)基金直銷(xiāo)賬戶“過(guò)橋”，隱蔽地盜取他人銀行卡內(nèi)資金的新型金融刑事案件，引起基金業(yè)內(nèi)人士關(guān)注。

根據(jù)北京海淀檢察院通報(bào)，去年12月5日，事主張女士報(bào)案稱(chēng)，她兒子陳先生的建行銀行卡被人轉(zhuǎn)走13.08萬(wàn)元。陳先生查詢得知，卡里原有的130887元曾分兩次被轉(zhuǎn)入某基金賬戶。經(jīng)陳先生向銀行和基金公司查詢，兩方客服均確認(rèn)了這兩筆交易。基金公司方面告知了陳先生，此前其曾開(kāi)設(shè)基金賬戶，兩次購(gòu)買(mǎi)基金，并最終贖回到以陳先生名義開(kāi)的與基金綁定的農(nóng)行卡上。

被捕之后，朱某等4名嫌疑人供述了整個(gè)犯罪經(jīng)過(guò)。首先，朱某等人在QQ群里購(gòu)買(mǎi)到了卡主姓名及預(yù)留手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、銀行卡密碼等卡主資料。之后，找人根據(jù)身份證號(hào)查到受害人身份證正面照片，根據(jù)掃描照片找人制作臨時(shí)身份證，并去農(nóng)行以陳先生名義成功辦卡。第三步，用陳先生原來(lái)銀行卡里的錢(qián)購(gòu)買(mǎi)基金，再將基金的錢(qián)分多次贖回到此前新開(kāi)的農(nóng)行卡上，最后轉(zhuǎn)賬取現(xiàn)。

基金開(kāi)戶簡(jiǎn)便，賬戶之下可以添加同名卡，是犯罪分子選擇此種作案手法的原因之一。此外，該基金驗(yàn)證方式是驗(yàn)證網(wǎng)銀，也就是輸入姓名、身份證號(hào)、銀行卡號(hào)、網(wǎng)銀登錄密碼，就可開(kāi)戶成功，不需要U盾及手機(jī)驗(yàn)證碼。另外，該基金可添加其他本人名下卡，只需要輸入另一張卡號(hào)、名字、身份證號(hào)、取款密碼，就可以綁定成功，再用所開(kāi)的事主同名卡轉(zhuǎn)賬取錢(qián)。

“這是一種比較新型的作案手法。”李慧檢察官在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)稱(chēng)。無(wú)獨(dú)有偶，最近上海傳出業(yè)內(nèi)又爆發(fā)了類(lèi)似的幾起案件。事實(shí)上，這種犯罪方式在嫌疑人圈里已經(jīng)比較成熟了，他們QQ群里經(jīng)常交流。此案四名嫌疑人之間有分工合作，甚至在他們想要提供信息和開(kāi)卡幫助時(shí)，只需在熟知的QQ群里發(fā)帖子，就有呼應(yīng)，用錢(qián)即可購(gòu)買(mǎi)。

檢察官認(rèn)為，基金公司網(wǎng)上交易流程上存在漏洞。從嫌疑人的供述來(lái)看，他們主要鉆了便捷開(kāi)戶以及異卡贖回的空子。這兩項(xiàng)均是近年來(lái)基金公司為了提升直銷(xiāo)客戶體驗(yàn)而增加的功能。

溯源：基金網(wǎng)上直銷(xiāo)開(kāi)戶模式快捷化/

此次“基金份額盜竊”案，嫌疑人從基金開(kāi)戶到份額申贖多個(gè)環(huán)節(jié)一一突破，亦引發(fā)業(yè)內(nèi)人士對(duì)基金網(wǎng)上交易安全的重新審視。

據(jù)了解，目前，基金公司官網(wǎng)直銷(xiāo)開(kāi)戶主要分為三種模式：快捷開(kāi)戶、網(wǎng)關(guān)模式以及U盾開(kāi)戶。

快捷開(kāi)戶是指直銷(xiāo)網(wǎng)上交易系統(tǒng)購(gòu)買(mǎi)基金時(shí)，銀行卡不需要開(kāi)通網(wǎng)銀支付等功能，只需在申請(qǐng)開(kāi)立基金賬戶時(shí)提供本人借記卡卡號(hào)、客戶姓名、證件類(lèi)型、證件號(hào)碼及銀行預(yù)留手機(jī)號(hào)碼等信息，基金公司經(jīng)過(guò)銀行驗(yàn)證前述信息與投資者在銀行系統(tǒng)中預(yù)留的信息一致后即可完成與基金公司業(yè)務(wù)協(xié)議的簽署和基金賬戶的開(kāi)立。

網(wǎng)關(guān)模式網(wǎng)關(guān)跳轉(zhuǎn)需要跳轉(zhuǎn)至銀行，輸入銀行卡密碼，送到銀行后臺(tái)驗(yàn)證；U盾開(kāi)戶則是最早最嚴(yán)格的一種。

“基金開(kāi)戶流程復(fù)雜一直以來(lái)也備受詬病。此前通過(guò)網(wǎng)關(guān)模式開(kāi)立基金賬戶，30%~60%的客戶會(huì)出現(xiàn)由于通訊信號(hào)等種種原因?qū)е绿D(zhuǎn)網(wǎng)關(guān)環(huán)節(jié)不成功，使部分客戶開(kāi)戶受到影響。因此，后來(lái)一些基金公司開(kāi)通快捷開(kāi)戶，開(kāi)戶時(shí)的風(fēng)險(xiǎn)偏好測(cè)試等環(huán)節(jié)被移至基金開(kāi)戶之后。”華南某基金公司互聯(lián)網(wǎng)金融部總經(jīng)理分析指出，“越是便捷，安全漏洞就會(huì)越高。”

一個(gè)巴掌拍不響，基金公司直銷(xiāo)開(kāi)戶規(guī)則并不是基金公司單方面決定，也是跟各家銀行磋商協(xié)議的結(jié)果，因銀行要求而異。

《每日經(jīng)濟(jì)新聞》記者隨機(jī)挑選銀行進(jìn)行操作后發(fā)現(xiàn)，華夏基金開(kāi)戶的過(guò)程中，當(dāng)選擇使用工商銀行卡開(kāi)戶，到第二步身份驗(yàn)證時(shí)，立即要求填寫(xiě)在銀行預(yù)存的手機(jī)號(hào)碼。浦發(fā)銀行卡開(kāi)戶則采取跳轉(zhuǎn)網(wǎng)關(guān)模式，全程并未用到U盾或是短信驗(yàn)證碼等提示方式。

在多位基金業(yè)內(nèi)人士看來(lái)，基金開(kāi)戶其實(shí)并非風(fēng)控環(huán)節(jié)中最主要的部分。

“基金賬戶開(kāi)立其實(shí)沒(méi)有太大問(wèn)題，用不用U盾開(kāi)戶也不是第一重要的。重點(diǎn)其實(shí)是在后面的環(huán)節(jié)，即是否強(qiáng)調(diào)‘錢(qián)從哪來(lái)，回到哪去’這樣一個(gè)大體原則。”深圳某基金公司督察長(zhǎng)分析指出。

上述基金公司督察長(zhǎng)提及的“錢(qián)從哪來(lái)，回到哪去”，即通常意義上的資金閉環(huán)業(yè)務(wù)規(guī)則。

然而，對(duì)安全閉環(huán)的認(rèn)定上，基金公司標(biāo)準(zhǔn)不一，業(yè)界對(duì)同一用戶之下基金份額的跨行贖回并未一刀切。

華夏基金在其官網(wǎng)上強(qiáng)調(diào) “賬戶實(shí)名認(rèn)證、資金同名賬戶進(jìn)出、數(shù)字證書(shū)加密”。據(jù)華夏基金客服介紹，除了工行、建行、華夏銀行，其他銀行卡申購(gòu)的基金份額，都可以跨行贖回，不過(guò)資金額度因銀行而異。因此，華夏基金理解的“安全閉環(huán)”為同一客戶底下銀行卡的進(jìn)出。

與華夏基金業(yè)務(wù)規(guī)則相似的還有匯添富基金和萬(wàn)家基金。匯添富基金表示，匯添富現(xiàn)金寶一直按照“資金閉環(huán)”的原則來(lái)運(yùn)行，用戶只能綁定自己名下的銀行卡，不能轉(zhuǎn)賬，也不能做支付，但同一名下多張卡之間是可以異卡贖回的。博時(shí)基金、招商基金、廣發(fā)基金等則明確規(guī)定，客戶申購(gòu)贖回基金只能同卡進(jìn)出。

“我們理解為只有同卡進(jìn)出才叫資 金閉環(huán)。”華南一位基金公司督察長(zhǎng)稱(chēng)。“同一個(gè)用戶不同銀行卡之下的份額申贖、資金進(jìn)出可能也叫‘閉環(huán)’，但同卡進(jìn)出安全系數(shù)非常高。”上述華南某基金公司互聯(lián)網(wǎng)金融部總經(jīng)理稱(chēng)。

在上述案件中，綁定在同一人名下的第二張卡實(shí)質(zhì)上已經(jīng)脫離了卡主控制，掌握在犯罪嫌疑人手中，產(chǎn)生了其能把錢(qián)轉(zhuǎn)走所鉆的空子。

爭(zhēng)議：犧牲用戶體驗(yàn)還是安全？/

不創(chuàng)新無(wú)法生存，但創(chuàng)新可能帶來(lái)風(fēng)險(xiǎn)，如何在用戶體驗(yàn)和風(fēng)險(xiǎn)控制之間平衡，這成為基金公司的一道難題。

“這個(gè)案子折射出的互聯(lián)網(wǎng)安全問(wèn)題在于無(wú)法核實(shí)客戶身份。電子商務(wù)一直也都有商品被盜的問(wèn)題，但互聯(lián)網(wǎng)與金融結(jié)合之后就要考慮金融行業(yè)的特殊性：金額大且為無(wú)形商品，因此更需要引起重視。”一位基金公司監(jiān)察稽核部人士認(rèn)為。

這代表了大多數(shù)稽核監(jiān)察部門(mén)人士的想法——安全是在第一位的。

“管不好風(fēng)險(xiǎn)就不要發(fā)展。”某華南基金公司督察長(zhǎng)直言，“現(xiàn)在是三三兩兩的案例冒出來(lái)，假如說(shuō)風(fēng)險(xiǎn)大面積爆發(fā)，就算是基金不賣(mài)了，也不能提供這種服務(wù)，你有責(zé)任把風(fēng)險(xiǎn)給控制住。”

然而，基金公司內(nèi)部對(duì)此卻有意見(jiàn)分歧。業(yè)務(wù)部門(mén)普遍認(rèn)為不可因噎廢食，因?yàn)檫^(guò)度強(qiáng)調(diào)風(fēng)險(xiǎn)控制而造成用戶的困擾。

“我認(rèn)為這些案件都是小概率事件，不能因?yàn)檫@個(gè)而損失大多數(shù)人的便利。”上海某基金公司電子商務(wù)總監(jiān)認(rèn)為，“用戶需要有最基本的信息安全防范意識(shí)。希望依靠機(jī)構(gòu)來(lái)完全隔絕風(fēng)險(xiǎn)，那不現(xiàn)實(shí)，也做不到。例如這個(gè)案件里，連最核心的信息都被盜取了，怎么可能指望基金公司來(lái)辨認(rèn)開(kāi)戶的還是不是你本人。”

余額寶正是因?yàn)樽畲笙薅鹊睾?jiǎn)化了用戶操作流程而迅速風(fēng)靡市場(chǎng)，也使得基金公司們大為震動(dòng)。此后，基金公司電商業(yè)務(wù)言必稱(chēng)“用戶體驗(yàn)”。

事實(shí)上，即使規(guī)定基金份額只能同卡進(jìn)出，基金公司提供了另一些創(chuàng)新業(yè)務(wù)的增值功能，如免費(fèi)轉(zhuǎn)賬、還信用卡、購(gòu)物等亦存在潛在的風(fēng)險(xiǎn)點(diǎn)。

“免費(fèi)轉(zhuǎn)賬和跨行贖回的風(fēng)險(xiǎn)敞口也差不多，沒(méi)有特別大的本質(zhì)區(qū)別。”北京一家基金公司督察長(zhǎng)表示，同樣的還有信用卡還款。

銀行卡的更換，也被業(yè)內(nèi)人士視為可能突破同卡進(jìn)出的一種手段。“比如去異地工作等各種原因，客戶確實(shí)有換卡需求。通過(guò)換卡，基金份額也可以實(shí)現(xiàn)跨卡贖回。”上述深圳基金公司督察長(zhǎng)透露。

目前，基金公司規(guī)定的換卡流程普遍有兩種標(biāo)準(zhǔn)：若是空卡，用戶可自助更換；若卡里仍有基金份額，則需要提交多種證件材料，且只能在同一家銀行之下進(jìn)行更換。

“在管住了同卡進(jìn)出之后，還需要嚴(yán)格審核換卡流程，這樣才能保證較高的安全系數(shù)。”上述督察長(zhǎng)稱(chēng)。

行業(yè)：互聯(lián)網(wǎng)金融系統(tǒng)高危漏洞屢現(xiàn)/

除了流程漏洞可能被不法分子鉆空子之外，系統(tǒng)漏洞被黑客攻破后引發(fā)的損失將更難以估量。隨著金融行業(yè)與互聯(lián)網(wǎng)的深度融合，基金公司網(wǎng)站直銷(xiāo)客戶數(shù)量出現(xiàn)跨越式增長(zhǎng)。去年基金直銷(xiāo)平臺(tái)首度超過(guò)銀行渠道，成為基金購(gòu)買(mǎi)的第一大途徑，成交金額高達(dá)2.33萬(wàn)億元，基金在線交易網(wǎng)絡(luò)安全問(wèn)題也因此越來(lái)越引起各方關(guān)注。

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計(jì)的情況顯示，政府網(wǎng)站和金融行業(yè)網(wǎng)站一直以來(lái)都是不法分子攻擊的重點(diǎn)目標(biāo)，安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的主要內(nèi)因。

天弘基金創(chuàng)新支持部總經(jīng)理樊振華認(rèn)為，基金公司網(wǎng)站總體安全等級(jí)保護(hù)要求是比較高的，“必須符合監(jiān)管機(jī)構(gòu)規(guī)定的等級(jí)保護(hù)要求，基金公司一般都會(huì)遵守這個(gè)規(guī)范，監(jiān)管機(jī)構(gòu)也會(huì)進(jìn)行檢查。”

然而，在一個(gè)民間創(chuàng)辦的網(wǎng)絡(luò)漏洞報(bào)告平臺(tái)“烏云網(wǎng)”上，記者還是查到了不少關(guān)于基金公司網(wǎng)站系統(tǒng)的漏洞報(bào)告信息，其中不乏近年來(lái)在互聯(lián)網(wǎng)金融領(lǐng)域風(fēng)生水起的大型公司，涉及的漏洞危害等級(jí)也從中等到高等。

例如，部分高危漏洞包括“XX現(xiàn)金寶多個(gè)嚴(yán)重漏洞 （可搶占他人賬號(hào)）”、“XX基金用戶賬號(hào)安全隱患可獲取到基金交易等敏感信息”、“XX基金某賬戶管理系統(tǒng)命令執(zhí)行及XSS漏洞”等。

其中部分已被基金公司確認(rèn)并修復(fù)，但部分漏洞至今沒(méi)有被基金公司確認(rèn)處理。不過(guò)，有相關(guān)基金就此問(wèn)題回復(fù)《每日經(jīng)濟(jì)新聞》記者稱(chēng)，早在該帖子發(fā)布之前，就已經(jīng)進(jìn)行過(guò)系統(tǒng)升級(jí)，不存在帖子中提及的漏洞。

CNCERT最新一期的互聯(lián)網(wǎng)安全威脅報(bào)告顯示，大多數(shù)安全事件是網(wǎng)站程序存在SQL注入、弱口令以及權(quán)限繞過(guò)等漏洞，也有部分是信息系統(tǒng)采用的應(yīng)用軟件存在漏洞，可能導(dǎo)致獲取后臺(tái)系統(tǒng)管理權(quán)限、信息泄露、惡意文件上傳等危害，甚至?xí)?dǎo)致主機(jī)存在被不法分子遠(yuǎn)程控制的風(fēng)險(xiǎn)。

此類(lèi)互聯(lián)網(wǎng)公司通過(guò)所運(yùn)營(yíng)的在線交易信息系統(tǒng)，掌握大量用戶資金、真實(shí)身份、經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣等信息，系統(tǒng)出現(xiàn)安全問(wèn)題后，風(fēng)險(xiǎn)隨之傳導(dǎo)至關(guān)聯(lián)的銀行、證券、電商等其他行業(yè)，產(chǎn)生連鎖反應(yīng)。

此外，互聯(lián)網(wǎng)和移動(dòng)通信技術(shù)降低了使用門(mén)檻，在帶來(lái)便利的同時(shí)也引入新的安全風(fēng)險(xiǎn)。2013年12月，支付寶錢(qián)包客戶端iOS版被披露存在手勢(shì)密碼漏洞，連續(xù)輸錯(cuò)5次手勢(shì)密碼后可導(dǎo)致密碼失效，使得攻擊者可以任意進(jìn)入手機(jī)支付寶賬戶，免密碼進(jìn)行小額支付。

天弘基金創(chuàng)新支持部總經(jīng)理樊振華表示，“余額寶的用戶出口和入口主要是在支付寶這一端，而我們這一端主要是負(fù)責(zé)清算、結(jié)算、收益分配等后端功能。我想支付寶的線上安全措施在國(guó)內(nèi)網(wǎng)站中應(yīng)該算是一流的，而我們這邊的安全措施應(yīng)該也是比較到位的，所有的核心業(yè)務(wù)系統(tǒng)完全是在一個(gè)隔離的網(wǎng)段，可以理解為不對(duì)外暴露的。此外也有定期漏洞掃描等安全措施。到目前為止我們還沒(méi)出現(xiàn)過(guò)用戶信息泄露、被盜這些現(xiàn)象。”

有基金公司電商部人士表示，2007、2008年時(shí)基金公司網(wǎng)絡(luò)系統(tǒng)比較脆弱，也出過(guò)一些問(wèn)題。近年基金公司普遍在IT方面投入較大，系統(tǒng)安全相比早前已經(jīng)提高了很多。

相對(duì)于內(nèi)控相對(duì)規(guī)范的基金公司而言，部分P2P和第三方理財(cái)網(wǎng)站在系統(tǒng)建設(shè)方面則更顯薄弱，更容易成為黑客攻擊的對(duì)象。

有業(yè)內(nèi)人士表示，如今做互聯(lián)網(wǎng)金融門(mén)檻極低，相關(guān)網(wǎng)站建設(shè)都有現(xiàn)成的模板，在淘寶上只需幾千元就買(mǎi)一套模板，做一個(gè)P2P的網(wǎng)站，其中暗藏風(fēng)險(xiǎn)不言而喻。

今年3月份，以“網(wǎng)貸之家”為代表的多家P2P行業(yè)門(mén)戶網(wǎng)站、論壇，再次成為黑客的攻擊目標(biāo)，受到黑客持續(xù)多日的惡意嚴(yán)重攻擊。而此前亦發(fā)生過(guò)一些平臺(tái)因黑客的攻擊導(dǎo)致系統(tǒng)癱瘓，而遭遇擠兌的情況。

趨勢(shì)：基金手機(jī)終端成新“重災(zāi)區(qū)”/

值得注意的是，基金公司手機(jī)客戶端也成為漏洞暴露的災(zāi)區(qū)之一。有烏云網(wǎng)的“白帽子”（能識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞的人）提供的示例圖片顯示，在某基金公司蘋(píng)果iOS版本的客戶端中，在知道用戶身份證號(hào)碼情況下，通過(guò)一些手段可以重置用戶的基金賬戶密碼。對(duì)于職業(yè)黑客而言，通過(guò)攻擊腳本獲得用戶身份證號(hào)碼亦非難事。

某大型基金公司電商人士亦向《每日經(jīng)濟(jì)新聞》記者表示，基金公司近年大力拓展電商業(yè)務(wù)，除了基本的交易查詢功能外，亦紛紛上線進(jìn)行購(gòu)物支付、轉(zhuǎn)賬等功能，也出現(xiàn)了一些風(fēng)險(xiǎn)事件。

除了系統(tǒng)安全問(wèn)題外，“釣魚(yú)攻擊”在手機(jī)移動(dòng)端亦愈演愈烈。

釣魚(yú)網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為，是指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容，或利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼，以此來(lái)騙取用戶銀行或信用卡賬號(hào)、密碼等私人資料。

從中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）下屬中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟今年5月處理釣魚(yú)網(wǎng)站的情況來(lái)看，釣魚(yú)網(wǎng)站涉及行業(yè)前三位，分別為支付交易類(lèi)、金融證券類(lèi)、媒體傳播類(lèi)，占處理總量的99.41%。其中，支付交易類(lèi)釣魚(yú)網(wǎng)站數(shù)量占5月處理總量最高，占到了5月處理總量的81.34%。

CNCERT2013年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告稱(chēng)，釣魚(yú)攻擊呈現(xiàn)跨平臺(tái)發(fā)展趨勢(shì)，2013年，在傳統(tǒng)互聯(lián)網(wǎng)的釣魚(yú)網(wǎng)站之外，黑客還結(jié)合移動(dòng)互聯(lián)網(wǎng)，利用仿冒移動(dòng)應(yīng)用、移動(dòng)互聯(lián)網(wǎng)惡意程序、偽基站等多種手段，實(shí)施跨平臺(tái)的釣魚(yú)欺詐攻擊，危害用戶經(jīng)濟(jì)利益。

2013年，黑客利用安卓系統(tǒng)的“簽名驗(yàn)證繞過(guò)”高危漏洞，制作散播大量仿冒國(guó)內(nèi)主流銀行等金融機(jī)構(gòu)的移動(dòng)應(yīng)用，誘導(dǎo)用戶安裝，盜取用戶銀行賬戶信息。一些釣魚(yú)網(wǎng)站在盜取用戶銀行賬號(hào)和密碼等信息時(shí)，還大量傳播仿冒相應(yīng)手機(jī)銀行安全插件的惡意程序，劫持用戶收到的短信驗(yàn)證碼，從而使黑客進(jìn)一步完成網(wǎng)銀支付、轉(zhuǎn)賬等交易操作。

有基金公司電商人士表示，隨著移動(dòng)應(yīng)用和支付的普及，移動(dòng)互聯(lián)網(wǎng)上的詐騙行為泛濫，譬如一些仿冒的APP、微信公眾賬號(hào)等層出不窮，投資者應(yīng)該提升自身防范意識(shí)。