明明顯示為支付寶“淘寶網(wǎng)店鋪完善認(rèn)證簽約”頁面，輸入密碼確認(rèn)后卻收到“恭喜，支付寶代扣開通成功”的通知，隨后接連5筆200元扣款在不到一分鐘內(nèi)從支付寶劃走，均被用來購(gòu)買北京暢游時(shí)代數(shù)碼技術(shù)有限公司（下簡(jiǎn)稱“暢游公司”）的暢游幣（虛擬游戲貨幣），怡同這時(shí)才明白自己被騙了。

和怡同有著同樣經(jīng)歷的淘寶店主不在少數(shù)，據(jù)被騙店主們自發(fā)統(tǒng)計(jì)總?cè)藬?shù)超過百人，目前登記能確認(rèn)被盜刷具體金額的有68人，總計(jì)超18萬元，大部分店主損失多為1000-3000元不等，但也有個(gè)別店主被騙金額較高。

表格內(nèi)容為受訪者提供

“盜刷發(fā)生之后我們向支付寶申訴很多次，但均未成功，理由是支付寶無法認(rèn)定交易違規(guī)，而我們到現(xiàn)在也不清楚不法分子是如何獲取了我們的信息，并開通了我們支付寶免密代扣的。”怡同對(duì)財(cái)經(jīng)網(wǎng)表示。

在她看來，免密代扣功能被不法分子利用，支付寶是否應(yīng)該加強(qiáng)此類功能的安全等級(jí)驗(yàn)證和風(fēng)險(xiǎn)監(jiān)控？而且短時(shí)間出現(xiàn)數(shù)量如此眾多的同類型詐騙，支付寶是否應(yīng)該配合商戶追回?fù)p失？另一方面，為什么所有被騙資金流向暢游公司，而暢游公司卻不處理、不調(diào)查，是誰推卸責(zé)任？

“被騙店主組成的微信群里每天都有新的人加入，事實(shí)上直到今天，這些不法分子也沒有停止詐騙行為。”另一位被騙店主劉恰恰也表示了她的擔(dān)憂。

“李鬼”鏈接實(shí)為釣魚網(wǎng)站

上述淘寶店主均是在千牛App（淘寶賣家移動(dòng)工作臺(tái)）中收到不法分子偽裝成淘寶小二發(fā)來的圖片或者鏈接，“假小二”以“淘寶店鋪支付寶認(rèn)證未完善”為由，要求店主掃碼或點(diǎn)擊鏈接進(jìn)入客服認(rèn)證頁面，并表示如不認(rèn)證店鋪將被降級(jí)或禁止交易。

圖為受訪者提供

圖為受訪者提供

“因?yàn)橹疤詫毞矫嬉步?jīng)常會(huì)發(fā)來店鋪考核、認(rèn)證的消息，所以這次也是正常去看是什么情況，就掃了圖片上的二維碼跳轉(zhuǎn)進(jìn)入了客服頁面?！扁硎?。

隨后，所謂的客服會(huì)提供一個(gè)點(diǎn)擊完成認(rèn)證的入口，淘寶店主點(diǎn)擊后進(jìn)入到顯示為“支付寶店鋪信用分”頁面。怡同看到跳轉(zhuǎn)后的頁面為支付寶，且頁面正確顯示了自己的用戶名、手機(jī)號(hào)等信息，于是便輸入了支付寶密碼完成最后認(rèn)證。

圖為受訪者提供

輸入完成后，頁面顯示的不是“店鋪認(rèn)證完成”等提示，而是“恭喜，支付寶代扣開通成功”，顯然，怡同在不知情的情況下已經(jīng)為某項(xiàng)服務(wù)開通了支付寶免密代扣，隨后的5筆200元連續(xù)扣款也證實(shí)了這一點(diǎn)。

圖為受訪者提供

圖為受訪者提供

對(duì)于怡同這一類情況的舉報(bào)投訴，支付寶方面均反饋為“無法認(rèn)定交易違規(guī)”，暢游方面則表示充值成功無法退款，雖然目前部分受騙店主已進(jìn)行登記報(bào)案，但因涉及金額過小難以單個(gè)立案。

誰的漏洞？

整個(gè)詐騙過程并不復(fù)雜，每一個(gè)鏈接的點(diǎn)擊和跳轉(zhuǎn)均沒有任何風(fēng)險(xiǎn)提示或攔截，那么最后輸入密碼的界面是否真的為支付寶界面？支付寶為何不能判定交易違規(guī)？怡同對(duì)平臺(tái)和支付寶安全性也提出了自己的質(zhì)疑。

財(cái)經(jīng)網(wǎng)就以上情況和疑問聯(lián)系了支付寶方面相關(guān)負(fù)責(zé)人，通過對(duì)怡同賬號(hào)盜刷交易記錄的技術(shù)分析，支付寶方面給出了相應(yīng)的事件還原。

支付寶方面表示，不法分子在暢游官網(wǎng)進(jìn)行暢游幣充值時(shí)可選定多種付款方式，在用支付寶進(jìn)行綁定支付時(shí)，可以通過掃暢游官網(wǎng)界面顯示的二維碼開通代扣服務(wù)，即“一鍵支付”，用戶可不輸入支付寶密碼自動(dòng)扣款購(gòu)買暢游幣。

圖為支付寶提供

圖為支付寶提供

重點(diǎn)即在于上圖顯示的官方代扣開通二維碼，它被不法分子替換為“淘寶店鋪認(rèn)證”的客服二維碼，并立刻發(fā)送給了大量千牛App上的淘寶店主，一旦有人相信并用手機(jī)支付寶進(jìn)行了掃描，事實(shí)上等同于用本人手機(jī)掃描登錄了自己的支付寶代扣開通頁面，不發(fā)分子利用了店主的信任讓其自行完成了支付寶登錄。

而怡同等人看到的客服、支付寶“淘寶網(wǎng)店鋪完善認(rèn)證簽約”實(shí)際為假的釣魚頁面，為不法分子通過技術(shù)手段替換了真實(shí)的暢游官網(wǎng)頁面，引導(dǎo)淘寶店主在掃描登錄支付寶后，再次自行輸入支付密碼，完成整個(gè)代扣交易開通。

左：支付寶提供  右：淘寶店主提供

開通成功后，不法分子利用支付寶免密支付代扣規(guī)則，每次充值200元或以下（免密支付額度可自行設(shè)置，大多情況下會(huì)默認(rèn)為200元），多次充值直至達(dá)到該賬戶當(dāng)日免密付款限額才會(huì)停手。

“實(shí)際上整個(gè)支付過程都是正常的，不存在違規(guī)交易，而這個(gè)釣魚的頁面只有店主點(diǎn)擊（自己）才會(huì)看到。”支付寶相關(guān)負(fù)責(zé)人表示，整個(gè)過程用戶并沒有跳轉(zhuǎn)進(jìn)支付寶App，而是進(jìn)到了釣魚網(wǎng)站進(jìn)行了輸密碼的確認(rèn)操作，成功接入暢游平臺(tái)之后按規(guī)則是可以正常進(jìn)行代扣，這不是免密支付系統(tǒng)的漏洞。此外，該負(fù)責(zé)人還強(qiáng)調(diào)，這類詐騙是都是“廣撒網(wǎng)”的方式，他實(shí)際上并沒有掌握某個(gè)用戶的個(gè)人信息或者支付信息，支付寶并不存在信息泄露。

在千牛等平臺(tái)上大量散播的釣魚網(wǎng)站鏈接和圖片為何沒有被提示風(fēng)險(xiǎn)或攔截？

上述人士表示，這個(gè)部分確實(shí)需要用戶的反饋，平臺(tái)才能反向?qū)ο嚓P(guān)鏈接或圖片做識(shí)別，再去屏蔽相關(guān)風(fēng)險(xiǎn)的內(nèi)容。和微信等軟件一樣，在對(duì)話中每天會(huì)有大量的鏈接和圖片被發(fā)送，但不是每一條信息都能立刻去做風(fēng)險(xiǎn)識(shí)別。

針對(duì)此類情況，支付寶方面認(rèn)為，這是一次針對(duì)淘寶店主的群體性詐騙，不法分子通過騙取店主信任，引導(dǎo)其自行完成了支付開通的流程，支付寶無法對(duì)此類“被騙”的情況做賠付。如果是出現(xiàn)被“盜刷”情況，例如用戶賬號(hào)被在本人完全不知情的情況下被盜走、或支付寶出現(xiàn)問題導(dǎo)致用戶財(cái)產(chǎn)損失，支付寶會(huì)為此承擔(dān)責(zé)任。

但怡同等淘寶店主卻并不認(rèn)可支付寶的說法。

怡同表示，支付寶的回復(fù)是在推卸責(zé)任。她向支付寶進(jìn)行過3次申訴，其中1次還是人工判定，詐騙事實(shí)成立但均未申訴成功，到底怎樣才算是違規(guī)不正常？支付平臺(tái)開通多種支付功能雖然更便捷，但用戶財(cái)產(chǎn)風(fēng)險(xiǎn)增加，目前的風(fēng)險(xiǎn)攔截措施顯然不夠。游戲充值平臺(tái)常被不法分子利用做充值途徑，支付寶也應(yīng)該對(duì)游戲類商戶支付增加風(fēng)險(xiǎn)預(yù)警和監(jiān)控。

中央財(cái)經(jīng)大學(xué)法學(xué)院副教授劉權(quán)則認(rèn)為，不法分子可以輕易通過騙取用戶掃碼開通代付等方式，盜刷用戶多筆錢款，說明“免密代付”存在一定的安全隱患。支付寶“免密代付”功能應(yīng)當(dāng)是有進(jìn)一步提升安全性的空間，例如設(shè)定連續(xù)免密代付異常風(fēng)險(xiǎn)提示，也可設(shè)定一定的功能限制機(jī)制，如短時(shí)間內(nèi)連續(xù)免密代付幾筆，可以設(shè)定支付金額降低限制，或重新啟動(dòng)密碼支付。必要時(shí)，“免密代付”可設(shè)定 “延遲到賬”、“快速追回”等功能，重點(diǎn)是實(shí)現(xiàn)支付便捷性與資金安全性的平衡。

此外，財(cái)經(jīng)網(wǎng)聯(lián)系暢游公司官方客服人員，詢問用戶被騙進(jìn)行充值交易是否可退款或平臺(tái)查封該交易賬號(hào)？暢游方面則表示，非本人操作建議報(bào)警，需要北京網(wǎng)監(jiān)局出示協(xié)查函，公司才會(huì)配合警方追回被盜資金并查詢盜刷賬戶。

簡(jiǎn)單來說，只要用戶不報(bào)警，暢游即便接到此類投訴也不會(huì)做任何相應(yīng)的處理。

而當(dāng)財(cái)經(jīng)網(wǎng)詢問，此類被騙、盜刷充值暢游幣的投訴是否很多？目前單個(gè)用戶損失額度不夠立案該怎么辦？暢游客服則表示，“還好了，都是建議玩家報(bào)警的?！?

對(duì)于暢游公司的處理態(tài)度，多位淘寶店主向財(cái)經(jīng)網(wǎng)表示，很多游戲充值平臺(tái)目前似乎成為此類詐騙犯罪的溫床和保護(hù)傘，被利用作為交易的重要渠道。但事實(shí)上公司并不重視此類情況，接到投訴也根本不會(huì)主動(dòng)肅清這些混亂的狀況，是缺乏社會(huì)責(zé)任心的企業(yè)。

一家游戲公司業(yè)務(wù)人士對(duì)財(cái)經(jīng)網(wǎng)表示，目前網(wǎng)游充值、或者說虛擬游戲幣肯定是無法直接退款或者變現(xiàn)的，因?yàn)樘摂M幣一旦可退現(xiàn)就容易涉及到類似“德州撲克”等涉賭的問題。但是虛擬貨幣、虛擬武器裝備并非不能交易，有很多玩家群主、或者手里有大量充值卡、虛擬貨幣、武器裝備的人會(huì)在游戲線下折價(jià)交易，通過微信、QQ、淘寶等渠道。此類詐騙充值也有可能會(huì)通過這些游戲“黑市”分銷掉。

一位一線辦案人員告訴財(cái)經(jīng)網(wǎng)，類似的詐騙報(bào)案就在昨天他們還有接到，但從實(shí)際操作上來講，各個(gè)地方可能會(huì)有不一樣的立案標(biāo)準(zhǔn)，例如他們（江蘇地區(qū)）不夠六千，是不會(huì)立案調(diào)查的，因?yàn)閱蝹€(gè)案件詐騙金額太少。目前如果被騙總額度較高，建議由幾個(gè)人代表去當(dāng)?shù)亟?jīng)偵部門咨詢立案，看具體怎樣指定管轄、能否并案等等。

怡同等人目前已經(jīng)關(guān)閉了所有支付寶相關(guān)的免密代扣服務(wù)，“如果平臺(tái)、企業(yè)各方聯(lián)合，相信是可以抓住這個(gè)背后的團(tuán)伙，因?yàn)榈浇裉焖麄冞€沒有停止詐騙行為，另外也希望更多人提高警惕，群里（被騙店主群）不要再有新的人加入?！?

（文中怡同、劉恰恰均為化名）

---

針對(duì)財(cái)經(jīng)網(wǎng)昨日?qǐng)?bào)道，多位淘寶店主遇假客服釣魚詐騙、支付寶被騙開通免密代付損失數(shù)千一事（詳細(xì)報(bào)道見《警惕——支付寶免密代扣被利用 68人損失超18萬》），支付寶安全中心官方針發(fā)布了最新處理辦法。

支付寶方面表示，針對(duì)此類新型電信詐騙，支付寶將先行補(bǔ)償用戶損失，同時(shí)配合警方，對(duì)詐騙分子進(jìn)行打擊。

以下為支付寶安全中心發(fā)布全文：