【吕育陶专栏】银行有内鬼乎？

2022-06-23

银行存款盗提案越演越烈，越来越多受害者站出来控诉，放在银行的血汗钱几乎被提光，有者更宣称不曾下载任何非法软件，也没有收到银行发来的一次性密码{OTP}，存款就这样没了。消失得有点匪夷所思。情况就像当年在巴刹出没专骗老人的迷魂党那样，吹一口气，受害者就乖乖去银行提出定期存款，把毕生储蓄交给歹徒。

而舆论也跟着这‘存款无故失踪’的方向走，指向银行可能有内鬼，客户存款才会神秘地被转移。一时之间，人心惶惶，大家突然觉得把钱存进MILO罐比较安全。

存放在MILO罐的钞票不会衍生利息，尤其是物价高涨的今天，现钱只会贬值，如果家里进贼，搞不好通通都没了，更加不安全。说回银行的内鬼，其实现在已经不是八九十年代，那时收银员可以只手遮天，冒充客户签名提款。现在银行内都装有闭路电视，谁进来大堂都清楚拍下，客户提款都经过主任批准，也必须核对身份证，他人绝对不可能盗提。

而银行内部系统更是严格，所有更改的程序必须经由一个委员会批准，然后交由另外一组系统发布员工发布，没有人可以更改任何程序。数据库的密码都交由两个人保管，上头一堆人批准了才可以一起登录，进入数据库，登录后任何操作都有记录，谁做了什么都无可遁形。客户的银行密码更是使用哈希密码（hash password)的方式储存，就是说客户输入密码后，该密码会经过一次性的加密处理变成杂乱的字串，而这个加密过程都是不可逆的，就是说一旦加密，密码就无法还原，所以世界上不会有人知道你的密码。当客户再度登录输入密码时，系统会以同样的方式把输入的密码加密，如果密码正确，那加密后的那个凌乱的子串就和数据库里储存的加密密码吻合，就可以登录了。

以这样的方式储存密码，就算整群人串通好也无法知道你的密码而偷偷登录把钱转走。所以问题不在银行有没有内鬼而在客户本身，问题也不是客户有没有收到OTP，而是客户在下载了恶意的程序，在不自觉的情况下被瞒骗，为了付款登入了虚假的网站，输入自己的银行账号和密码，被歹徒暗中抄下而在他处登录卷走存款。

没有银行账号和密码，即便你把银行发来的OTP发布给全世界，也没有人可以拿到你的一分钱。迷魂党骗局和最近的银行存款不翼而飞的事故一样，事主都没有把故事的前半段说清楚，就是在下载了某手机应用程序后不察觉输入了自己的银行账号和密码，被歹徒快速地复制了。银行系统清楚记载每笔交易，如果没有正确的账号和密码登录，绝对提不到任何款项。而迷魂党事件就是事主被人哄骗购买蜈蚣珠或者什么宝物，回家拿钱交给歹徒后发现受骗，说出来又怕被人嘲笑而编故事说遇到迷魂党。