行業(yè)動態(tài)

免密代扣被利用 68人損失超18萬 支付寶:將先行補償用戶損失

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-12-13    瀏覽次數(shù):
 

信息來源:cnBeta

明明顯示為支付寶“淘寶網(wǎng)店鋪完善認(rèn)證簽約”頁面,輸入密碼確認(rèn)后卻收到“恭喜,支付寶代扣開通成功”的通知,隨后接連5筆200元扣款在不到一分鐘內(nèi)從支付寶劃走,均被用來購買北京暢游時代數(shù)碼技術(shù)有限公司(下簡稱“暢游公司”)的暢游幣(虛擬游戲貨幣),怡同這時才明白自己被騙了。

和怡同有著同樣經(jīng)歷的淘寶店主不在少數(shù),據(jù)被騙店主們自發(fā)統(tǒng)計總?cè)藬?shù)超過百人,目前登記能確認(rèn)被盜刷具體金額的有68人,總計超18萬元,大部分店主損失多為1000-3000元不等,但也有個別店主被騙金額較高。

表格內(nèi)容為受訪者提供

“盜刷發(fā)生之后我們向支付寶申訴很多次,但均未成功,理由是支付寶無法認(rèn)定交易違規(guī),而我們到現(xiàn)在也不清楚不法分子是如何獲取了我們的信息,并開通了我們支付寶免密代扣的。”怡同對財經(jīng)網(wǎng)表示。

在她看來,免密代扣功能被不法分子利用,支付寶是否應(yīng)該加強此類功能的安全等級驗證和風(fēng)險監(jiān)控?而且短時間出現(xiàn)數(shù)量如此眾多的同類型詐騙,支付寶是否應(yīng)該配合商戶追回?fù)p失?另一方面,為什么所有被騙資金流向暢游公司,而暢游公司卻不處理、不調(diào)查,是誰推卸責(zé)任?

“被騙店主組成的微信群里每天都有新的人加入,事實上直到今天,這些不法分子也沒有停止詐騙行為。”另一位被騙店主劉恰恰也表示了她的擔(dān)憂。

“李鬼”鏈接實為釣魚網(wǎng)站

上述淘寶店主均是在千牛App(淘寶賣家移動工作臺)中收到不法分子偽裝成淘寶小二發(fā)來的圖片或者鏈接,“假小二”以“淘寶店鋪支付寶認(rèn)證未完善”為由,要求店主掃碼或點擊鏈接進(jìn)入客服認(rèn)證頁面,并表示如不認(rèn)證店鋪將被降級或禁止交易。

圖為受訪者提供

圖為受訪者提供

“因為之前淘寶方面也經(jīng)常會發(fā)來店鋪考核、認(rèn)證的消息,所以這次也是正常去看是什么情況,就掃了圖片上的二維碼跳轉(zhuǎn)進(jìn)入了客服頁面?!扁硎尽?

隨后,所謂的客服會提供一個點擊完成認(rèn)證的入口,淘寶店主點擊后進(jìn)入到顯示為“支付寶店鋪信用分”頁面。怡同看到跳轉(zhuǎn)后的頁面為支付寶,且頁面正確顯示了自己的用戶名、手機號等信息,于是便輸入了支付寶密碼完成最后認(rèn)證。

圖為受訪者提供

輸入完成后,頁面顯示的不是“店鋪認(rèn)證完成”等提示,而是“恭喜,支付寶代扣開通成功”,顯然,怡同在不知情的情況下已經(jīng)為某項服務(wù)開通了支付寶免密代扣,隨后的5筆200元連續(xù)扣款也證實了這一點。

圖為受訪者提供

圖為受訪者提供

對于怡同這一類情況的舉報投訴,支付寶方面均反饋為“無法認(rèn)定交易違規(guī)”,暢游方面則表示充值成功無法退款,雖然目前部分受騙店主已進(jìn)行登記報案,但因涉及金額過小難以單個立案。

誰的漏洞?

整個詐騙過程并不復(fù)雜,每一個鏈接的點擊和跳轉(zhuǎn)均沒有任何風(fēng)險提示或攔截,那么最后輸入密碼的界面是否真的為支付寶界面?支付寶為何不能判定交易違規(guī)?怡同對平臺和支付寶安全性也提出了自己的質(zhì)疑。

財經(jīng)網(wǎng)就以上情況和疑問聯(lián)系了支付寶方面相關(guān)負(fù)責(zé)人,通過對怡同賬號盜刷交易記錄的技術(shù)分析,支付寶方面給出了相應(yīng)的事件還原。

支付寶方面表示,不法分子在暢游官網(wǎng)進(jìn)行暢游幣充值時可選定多種付款方式,在用支付寶進(jìn)行綁定支付時,可以通過掃暢游官網(wǎng)界面顯示的二維碼開通代扣服務(wù),即“一鍵支付”,用戶可不輸入支付寶密碼自動扣款購買暢游幣。

圖為支付寶提供

圖為支付寶提供

重點即在于上圖顯示的官方代扣開通二維碼,它被不法分子替換為“淘寶店鋪認(rèn)證”的客服二維碼,并立刻發(fā)送給了大量千牛App上的淘寶店主,一旦有人相信并用手機支付寶進(jìn)行了掃描,事實上等同于用本人手機掃描登錄了自己的支付寶代扣開通頁面,不發(fā)分子利用了店主的信任讓其自行完成了支付寶登錄。

而怡同等人看到的客服、支付寶“淘寶網(wǎng)店鋪完善認(rèn)證簽約”實際為假的釣魚頁面,為不法分子通過技術(shù)手段替換了真實的暢游官網(wǎng)頁面,引導(dǎo)淘寶店主在掃描登錄支付寶后,再次自行輸入支付密碼,完成整個代扣交易開通。

左:支付寶提供  右:淘寶店主提供

開通成功后,不法分子利用支付寶免密支付代扣規(guī)則,每次充值200元或以下(免密支付額度可自行設(shè)置,大多情況下會默認(rèn)為200元),多次充值直至達(dá)到該賬戶當(dāng)日免密付款限額才會停手。

“實際上整個支付過程都是正常的,不存在違規(guī)交易,而這個釣魚的頁面只有店主點擊(自己)才會看到?!敝Ц秾毾嚓P(guān)負(fù)責(zé)人表示,整個過程用戶并沒有跳轉(zhuǎn)進(jìn)支付寶App,而是進(jìn)到了釣魚網(wǎng)站進(jìn)行了輸密碼的確認(rèn)操作,成功接入暢游平臺之后按規(guī)則是可以正常進(jìn)行代扣,這不是免密支付系統(tǒng)的漏洞。此外,該負(fù)責(zé)人還強調(diào),這類詐騙是都是“廣撒網(wǎng)”的方式,他實際上并沒有掌握某個用戶的個人信息或者支付信息,支付寶并不存在信息泄露。

在千牛等平臺上大量散播的釣魚網(wǎng)站鏈接和圖片為何沒有被提示風(fēng)險或攔截?

上述人士表示,這個部分確實需要用戶的反饋,平臺才能反向?qū)ο嚓P(guān)鏈接或圖片做識別,再去屏蔽相關(guān)風(fēng)險的內(nèi)容。和微信等軟件一樣,在對話中每天會有大量的鏈接和圖片被發(fā)送,但不是每一條信息都能立刻去做風(fēng)險識別。

針對此類情況,支付寶方面認(rèn)為,這是一次針對淘寶店主的群體性詐騙,不法分子通過騙取店主信任,引導(dǎo)其自行完成了支付開通的流程,支付寶無法對此類“被騙”的情況做賠付。如果是出現(xiàn)被“盜刷”情況,例如用戶賬號被在本人完全不知情的情況下被盜走、或支付寶出現(xiàn)問題導(dǎo)致用戶財產(chǎn)損失,支付寶會為此承擔(dān)責(zé)任。

但怡同等淘寶店主卻并不認(rèn)可支付寶的說法。

怡同表示,支付寶的回復(fù)是在推卸責(zé)任。她向支付寶進(jìn)行過3次申訴,其中1次還是人工判定,詐騙事實成立但均未申訴成功,到底怎樣才算是違規(guī)不正常?支付平臺開通多種支付功能雖然更便捷,但用戶財產(chǎn)風(fēng)險增加,目前的風(fēng)險攔截措施顯然不夠。游戲充值平臺常被不法分子利用做充值途徑,支付寶也應(yīng)該對游戲類商戶支付增加風(fēng)險預(yù)警和監(jiān)控。

中央財經(jīng)大學(xué)法學(xué)院副教授劉權(quán)則認(rèn)為,不法分子可以輕易通過騙取用戶掃碼開通代付等方式,盜刷用戶多筆錢款,說明“免密代付”存在一定的安全隱患。支付寶“免密代付”功能應(yīng)當(dāng)是有進(jìn)一步提升安全性的空間,例如設(shè)定連續(xù)免密代付異常風(fēng)險提示,也可設(shè)定一定的功能限制機制,如短時間內(nèi)連續(xù)免密代付幾筆,可以設(shè)定支付金額降低限制,或重新啟動密碼支付。必要時,“免密代付”可設(shè)定 “延遲到賬”、“快速追回”等功能,重點是實現(xiàn)支付便捷性與資金安全性的平衡。

此外,財經(jīng)網(wǎng)聯(lián)系暢游公司官方客服人員,詢問用戶被騙進(jìn)行充值交易是否可退款或平臺查封該交易賬號?暢游方面則表示,非本人操作建議報警,需要北京網(wǎng)監(jiān)局出示協(xié)查函,公司才會配合警方追回被盜資金并查詢盜刷賬戶。

簡單來說,只要用戶不報警,暢游即便接到此類投訴也不會做任何相應(yīng)的處理。

而當(dāng)財經(jīng)網(wǎng)詢問,此類被騙、盜刷充值暢游幣的投訴是否很多?目前單個用戶損失額度不夠立案該怎么辦?暢游客服則表示,“還好了,都是建議玩家報警的?!?

對于暢游公司的處理態(tài)度,多位淘寶店主向財經(jīng)網(wǎng)表示,很多游戲充值平臺目前似乎成為此類詐騙犯罪的溫床和保護(hù)傘,被利用作為交易的重要渠道。但事實上公司并不重視此類情況,接到投訴也根本不會主動肅清這些混亂的狀況,是缺乏社會責(zé)任心的企業(yè)。

一家游戲公司業(yè)務(wù)人士對財經(jīng)網(wǎng)表示,目前網(wǎng)游充值、或者說虛擬游戲幣肯定是無法直接退款或者變現(xiàn)的,因為虛擬幣一旦可退現(xiàn)就容易涉及到類似“德州撲克”等涉賭的問題。但是虛擬貨幣、虛擬武器裝備并非不能交易,有很多玩家群主、或者手里有大量充值卡、虛擬貨幣、武器裝備的人會在游戲線下折價交易,通過微信、QQ、淘寶等渠道。此類詐騙充值也有可能會通過這些游戲“黑市”分銷掉。

一位一線辦案人員告訴財經(jīng)網(wǎng),類似的詐騙報案就在昨天他們還有接到,但從實際操作上來講,各個地方可能會有不一樣的立案標(biāo)準(zhǔn),例如他們(江蘇地區(qū))不夠六千,是不會立案調(diào)查的,因為單個案件詐騙金額太少。目前如果被騙總額度較高,建議由幾個人代表去當(dāng)?shù)亟?jīng)偵部門咨詢立案,看具體怎樣指定管轄、能否并案等等。

怡同等人目前已經(jīng)關(guān)閉了所有支付寶相關(guān)的免密代扣服務(wù),“如果平臺、企業(yè)各方聯(lián)合,相信是可以抓住這個背后的團(tuán)伙,因為到今天他們還沒有停止詐騙行為,另外也希望更多人提高警惕,群里(被騙店主群)不要再有新的人加入?!?

(文中怡同、劉恰恰均為化名)


針對財經(jīng)網(wǎng)昨日報道,多位淘寶店主遇假客服釣魚詐騙、支付寶被騙開通免密代付損失數(shù)千一事(詳細(xì)報道見《警惕——支付寶免密代扣被利用 68人損失超18萬》),支付寶安全中心官方針發(fā)布了最新處理辦法。

支付寶方面表示,針對此類新型電信詐騙,支付寶將先行補償用戶損失,同時配合警方,對詐騙分子進(jìn)行打擊。

以下為支付寶安全中心發(fā)布全文:


 
 

上一篇:Palo Alto Networks (派拓網(wǎng)絡(luò))發(fā)布最新云安全報告,提醒企業(yè)平衡風(fēng)險與效率

下一篇:賺錢類App是掉餡餅還是挖陷阱?泄露隱私提現(xiàn)難