一個騙局的完成，涉及多個流程和環節。記者梳理發現，這其中既有客戶保管個人信息不善被不法分子鉆了空子等原因，也和當前部分銀行推出的一些金融產品服務片面強調交易便捷、忽視安全管理，安全漏洞被不法分子利用有關。

——信息泄露是資金被騙的“禍首”。

這類事件中，不法分子首先要獲取客戶賬號、開戶信息、密碼、手機號碼等個人信息，這些信息通過多種渠道泄露，有的是保管客戶信息的單位工作人員泄露，有的是客戶個人保管不善，被不法分子誘導，登錄釣魚網站或被植入木馬程序等，導致賬戶密碼泄露。

[[146366]]

專家指出，銀行應加大自查、內查，謹防客戶信息被泄露。但如果由于客戶自身原因導致信息被盜，會給銀行在交易的辨識上產生一定困難。

——理財交易設定的認證級別較低。

記者了解到，目前工行網銀在轉賬、匯款、繳費的交易都得使用u盾，但基金、理財、貴金屬交易等投資交易的認證級別較低，默認不需要u盾驗證。業內人士指出，大部分客戶對“如意金積存”等貴金屬交易不太了解，騙子利用這樣的“名字噱頭”好行騙。

記者了解到，“如意金積存”是工行一款貴金屬理財產品，客戶既可以選擇贖回，獲得現金，也可以提取實物黃金。不過，如意金積存買賣不僅根據每天市場行情價格實時浮動，而且每克贖回還有實時價格和贖回價格的價差，相當于銀行總能賺一筆手續費。

“工行目前購買‘如意金積存’的u盾認證是默認‘關閉’的，需要客戶開通。”王先生告訴記者，“平時使用網銀轉賬幾百元錢都要使用u盾，但購買上萬元理財產品卻不需要，安全隱患一目了然。”

工行從事外部風險欺詐的工作人員回應說，要求客戶自主定制主要是方便客戶體驗。“比如網銀理財，很難因為安全考慮而要求客戶都使用u盾。對于外匯、貴金屬等日交易頻繁的產品，使用u盾會影響客戶體驗。”

一位上海的受害人表示，騙子曾偷偷登錄他的網銀購買了11萬元的如意金積存，盡管錢沒被騙子騙去。但他第二天按照當天金價贖回時，損失7000多元。

——網銀登錄驗證缺失，快捷支付驗證安全風控不到位。

“此類詐騙頻繁發生，銀行有著不可推卸的責任。”王先生認為，“客戶的網銀在異地登錄，銀行應該明顯能發現登錄ip地址異常，但為什么沒有觸發風險預警機制?我從未接觸過貴金屬理財，這種不正常的交易行為為何沒有引起銀行風險監控系統的注意?”

此類事件中，不法分子大都通過冒充商戶客服或銀行工作人員，獲取客戶快捷支付或工銀e支付短信驗證碼盜竊客戶資金，這顯示出目前快捷支付存在驗證不足的問題。專家建議，用戶要妥善保管短信驗證碼，不要向包括網絡客服、銀行工作人員在內的任何人提供密碼內容。