央广网北京8月23日消息（记者王逸群）据中国之声《新闻晚高峰》报道，近日，一种名叫“如意金骗局”的新型电信诈骗开始流行，与以往骗术不同的是，骗子不仅掌握了你的个人信息，更侵入你的网银，“帮”你购买银行理财产品，然后凭此精准的信息，以退款为由，骗取用户的手机验证码，最后将账户中的钱转走。卷入此骗局者，轻则损失赎回理财产品的手续费，重则余额全部被盗。

受害者声称，自己被骗银行方面肯定存在责任，而银行方面则表示，客户的网银密码泄露和自己无关。那么，如意金诈骗究竟是如何实施的？受骗的储户和银行之间争议的焦点，具体又有哪些？

李先生是广州市的一位生意人，8月7号早上8点多，他先是接到了一条955开头工商银行发来的短信，显示其账户近7万元全部被“支出”购买了“积金积存”，余额仅剩下了几百元。紧接着，自称是某电商客服人员就打来电话询问他是否购买了数万元的游戏币，如果不是本人亲自操作，他们可以协助退款，但需要告知其手机上收到的短信验证码。

李先生：他首先就会说你有没有买什么游戏币？又说你的卡被盗刷了，被人买了游戏币，金额比较大，所以要和本人确认。

记者：当时他的身份也不是中国工商银行的，当时您没有怀疑吗？

李先生：我有怀疑啊，但是当钱真正少的时候，你就蒙掉了，因为卡里面的的确确是少钱了，余额是少了七万九。

“如意金积存”是工行于早些年推出的一项业务。工行储户在既有账户内建立如意金积存账户后，可以主动积存或定期积存工行的如意金条，通俗来说就是购买黄金。

和李先生一样，不少受骗的银行储户，对这项业务闻所未闻，也弄不明白“积金积存”为何物。但是有一点是清楚的那就是账上的钱似乎真的被“支出”了。这时候，慌了神了李先生相信了诈骗分子的话，将所谓“退款”的验证码告诉了对方。如此一来就中了诈骗分子的圈套。

李先生：他说如果不是你本人买的话，就可以取消订单的一个操作，但这个操作要银行的验证码，证明是你本人才能取消这个交易。我给验证码后，他就会取消那个如意金积存，你就会发现有一部分钱会退回到你的卡里。这个过程主要是骗取你的信任，你给了码后，就会有钱退回来。接下来就是，一步一步把你的钱取走。

记者统计发现，2015年7月以来，全国各地至少近千名工行储户遭遇了这一骗局，其中有一半人被骗取了资金，单笔被骗金额最高达7.9万元，合计约近300万元。和普通电话诈骗不同，即便受骗者识破了骗子的手段，拒绝提供验证码，也会受到不小的损失。家住北京的

受害者张女士：他最后问我要验证码，我没有给他，所以那个钱就只是买成了贵金属，还没有转账给他，第二天我去银行把钱赎回了，关键是损失了手续费，贵金属跌了的那部分也要我自己承担。

工商银行有关部门负责人透露，他们已经向公安部门报案。如果确认客户账户被不法分子盗用，非本人操作申购和赎回贵金属产品，产生的手续费将全额返还。那么，诈骗分子首先是如何获得储户的网银密码呢？360公司首席反诈骗专家裴智勇博士分析，原因可能有很多。

裴智勇：一个是有很多用户使用了弱密码，很容易被试出来，这也是最普遍的情况。第二是利用伪基站发送诈骗短信。还有一种比较重要的泄露情况，就是网站被入侵，有些管理措施不够严格的网站遭遇木马入侵，就会导致用户信息的泄露，而一些用户常常使用相同的密码，当犯罪分子把其他地方入侵得来的密码在用户银行账户去登录，如果成功了就称为“撞库”成功。

工行给记者回复的邮件中也说明，“经核查分析，在此类事件中，不法分子通过钓鱼网站、木马程序等非法手段获取客户账户信息、电子银行登录名和密码。”但是，包括李先生在内的不少人都表示，他们的网银账户密码设置相当复杂，而且也不涉及到个人信息，因此怀疑工商银行的有关系统本身存在漏洞。

此外，还有一点让不少受害者不满的是，为什么骗子登录他们的网上银行就能直接操作交易贵金属，不需要风险评估，也不需要签署书面协议。但是，工商银行有关负责人表示，“如意金积存业务的本质为贵金属实物金条的网上购买行为，并非投资理财。”而工行客服用一个比喻回应了受骗储户的类似质疑：同一账户内的内部交易就像你的钱从左手到了右手，总资产并没有发生实质性变化。

工行客服甲：因为这个相当于是还可以赎回来的，并不是把钱真的转出了账户，所以没有开通交易认证的话，就不需要交易认证，直接可以购买理财产品和贵金属以及外汇之类的。

但是，不少受害者表示，正是因为不需要二次认证，诈骗分子把他们的钱暂时转移到了“如意金积存”，造成了“扣款”和“退款”的假象。工行客服人员告诉记者，事件发生后，工行已经在8月中旬左右对系统进行了完善。

工行客服乙：对于如意金这个问题，我们出台了应急方案。在进行交易时，必须插上U盾或通过口令卡进行验签才行。

中央财经大学中国银行业研究中心主任郭田勇表示，在保障客户资金安全的方式和手段上，安全和便捷并不一定是鱼与熊掌不能兼得，利用大数据及生物验证等方式来控制安全风险，是未来银行业需要努力的方向。