警惕!支付宝免密代扣被利用 68人损失超18万

警惕!支付宝免密代扣被利用 68人损失超18万
2018年12月13日 11:47 财经网

  作者:淳和 编辑:赵非

  明明显示为支付宝“淘宝网店铺完善认证签约”页面,输入密码确认后却收到“恭喜,支付宝代扣开通成功”的通知,随后接连5笔200元扣款在不到一分钟内从支付宝划走,均被用来购买北京畅游时代数码技术有限公司(下简称“畅游公司”)的畅游币(虚拟游戏货币),怡同这时才明白自己被骗了。

  和怡同有着同样经历的淘宝店主不在少数,据被骗店主们自发统计总人数超过百人,目前登记能确认被盗刷具体金额的有68人,总计超18万元,大部分店主损失多为1000-3000元不等,但也有个别店主被骗金额较高。

  表格内容为受访者提供

  “盗刷发生之后我们向支付宝申诉很多次,但均未成功,理由是支付宝无法认定交易违规,而我们到现在也不清楚不法分子是如何获取了我们的信息,并开通了我们支付宝免密代扣的。”怡同对财经网表示。

  在她看来,免密代扣功能被不法分子利用,支付宝是否应该加强此类功能的安全等级验证和风险监控?而且短时间出现数量如此众多的同类型诈骗,支付宝是否应该配合商户追回损失?另一方面,为什么所有被骗资金流向畅游公司,而畅游公司却不处理、不调查,是谁推卸责任?

  “被骗店主组成的微信群里每天都有新的人加入,事实上直到今天,这些不法分子也没有停止诈骗行为。”另一位被骗店主刘恰恰也表示了她的担忧。

  “李鬼”链接实为钓鱼网站

  上述淘宝店主均是在千牛App(淘宝卖家移动工作台)中收到不法分子伪装成淘宝小二发来的图片或者链接,“假小二”以“淘宝店铺支付宝认证未完善”为由,要求店主扫码或点击链接进入客服认证页面,并表示如不认证店铺将被降级或禁止交易。

图为受访者提供图为受访者提供
图为受访者提供图为受访者提供

  “因为之前淘宝方面也经常会发来店铺考核、认证的消息,所以这次也是正常去看是什么情况,就扫了图片上的二维码跳转进入了客服页面。”怡同表示。

  随后,所谓的客服会提供一个点击完成认证的入口,淘宝店主点击后进入到显示为“支付宝店铺信用分”页面。怡同看到跳转后的页面为支付宝,且页面正确显示了自己的用户名、手机号等信息,于是便输入了支付宝密码完成最后认证。

图为受访者提供图为受访者提供

  输入完成后,页面显示的不是“店铺认证完成”等提示,而是“恭喜,支付宝代扣开通成功”,显然,怡同在不知情的情况下已经为某项服务开通了支付宝免密代扣,随后的5笔200元连续扣款也证实了这一点。

图为受访者提供图为受访者提供
图为受访者提供图为受访者提供

  对于怡同这一类情况的举报投诉,支付宝方面均反馈为“无法认定交易违规”,畅游方面则表示充值成功无法退款,虽然目前部分受骗店主已进行登记报案,但因涉及金额过小难以单个立案。

  谁的漏洞?

  整个诈骗过程并不复杂,每一个链接的点击和跳转均没有任何风险提示或拦截,那么最后输入密码的界面是否真的为支付宝界面?支付宝为何不能判定交易违规?怡同对平台和支付宝安全性也提出了自己的质疑。

  财经网就以上情况和疑问联系了支付宝方面相关负责人,通过对怡同账号盗刷交易记录的技术分析,支付宝方面给出了相应的事件还原。

  支付宝方面表示,不法分子在畅游官网进行畅游币充值时可选定多种付款方式,在用支付宝进行绑定支付时,可以通过扫畅游官网界面显示的二维码开通代扣服务,即“一键支付”,用户可不输入支付宝密码自动扣款购买畅游币。

图为支付宝提供图为支付宝提供
图为支付宝提供图为支付宝提供

  重点即在于上图显示的官方代扣开通二维码,它被不法分子替换为“淘宝店铺认证”的客服二维码,并立刻发送给了大量千牛App上的淘宝店主,一旦有人相信并用手机支付宝进行了扫描,事实上等同于用本人手机扫描登录了自己的支付宝代扣开通页面,不发分子利用了店主的信任让其自行完成了支付宝登录。

  而怡同等人看到的客服、支付宝“淘宝网店铺完善认证签约”实际为假的钓鱼页面,为不法分子通过技术手段替换了真实的畅游官网页面,引导淘宝店主在扫描登录支付宝后,再次自行输入支付密码,完成整个代扣交易开通。

左:支付宝提供  右:淘宝店主提供左:支付宝提供  右:淘宝店主提供

  开通成功后,不法分子利用支付宝免密支付代扣规则,每次充值200元或以下(免密支付额度可自行设置,大多情况下会默认为200元),多次充值直至达到该账户当日免密付款限额才会停手。

  “实际上整个支付过程都是正常的,不存在违规交易,而这个钓鱼的页面只有店主点击(自己)才会看到。”支付宝相关负责人表示,整个过程用户并没有跳转进支付宝App,而是进到了钓鱼网站进行了输密码的确认操作,成功接入畅游平台之后按规则是可以正常进行代扣,这不是免密支付系统的漏洞。此外,该负责人还强调,这类诈骗是都是“广撒网”的方式,他实际上并没有掌握某个用户的个人信息或者支付信息,支付宝并不存在信息泄露。

  在千牛等平台上大量散播的钓鱼网站链接和图片为何没有被提示风险或拦截?

  上述人士表示,这个部分确实需要用户的反馈,平台才能反向对相关链接或图片做识别,再去屏蔽相关风险的内容。和微信等软件一样,在对话中每天会有大量的链接和图片被发送,但不是每一条信息都能立刻去做风险识别。

  针对此类情况,支付宝方面认为,这是一次针对淘宝店主的群体性诈骗,不法分子通过骗取店主信任,引导其自行完成了支付开通的流程,支付宝无法对此类“被骗”的情况做赔付。如果是出现被“盗刷”情况,例如用户账号被在本人完全不知情的情况下被盗走、或支付宝出现问题导致用户财产损失,支付宝会为此承担责任。

  但怡同等淘宝店主却并不认可支付宝的说法。

  怡同表示,支付宝的回复是在推卸责任。她向支付宝进行过3次申诉,其中1次还是人工判定,诈骗事实成立但均未申诉成功,到底怎样才算是违规不正常?支付平台开通多种支付功能虽然更便捷,但用户财产风险增加,目前的风险拦截措施显然不够。游戏充值平台常被不法分子利用做充值途径,支付宝也应该对游戏类商户支付增加风险预警和监控。

  中央财经大学法学院副教授刘权则认为,不法分子可以轻易通过骗取用户扫码开通代付等方式,盗刷用户多笔钱款,说明“免密代付”存在一定的安全隐患。支付宝“免密代付”功能应当是有进一步提升安全性的空间,例如设定连续免密代付异常风险提示,也可设定一定的功能限制机制,如短时间内连续免密代付几笔,可以设定支付金额降低限制,或重新启动密码支付。必要时,“免密代付”可设定 “延迟到账”、“快速追回”等功能,重点是实现支付便捷性与资金安全性的平衡。

  此外,财经网联系畅游公司官方客服人员,询问用户被骗进行充值交易是否可退款或平台查封该交易账号?畅游方面则表示,非本人操作建议报警,需要北京网监局出示协查函,公司才会配合警方追回被盗资金并查询盗刷账户。

  简单来说,只要用户不报警,畅游即便接到此类投诉也不会做任何相应的处理。

  而当财经网询问,此类被骗、盗刷充值畅游币的投诉是否很多?目前单个用户损失额度不够立案该怎么办?畅游客服则表示,“还好了,都是建议玩家报警的。”

  对于畅游公司的处理态度,多位淘宝店主向财经网表示,很多游戏充值平台目前似乎成为此类诈骗犯罪的温床和保护伞,被利用作为交易的重要渠道。但事实上公司并不重视此类情况,接到投诉也根本不会主动肃清这些混乱的状况,是缺乏社会责任心的企业。

  一家游戏公司业务人士对财经网表示,目前网游充值、或者说虚拟游戏币肯定是无法直接退款或者变现的,因为虚拟币一旦可退现就容易涉及到类似“德州扑克”等涉赌的问题。但是虚拟货币、虚拟武器装备并非不能交易,有很多玩家群主、或者手里有大量充值卡、虚拟货币、武器装备的人会在游戏线下折价交易,通过微信、QQ、淘宝等渠道。此类诈骗充值也有可能会通过这些游戏“黑市”分销掉。

  一位一线办案人员告诉财经网,类似的诈骗报案就在昨天他们还有接到,但从实际操作上来讲,各个地方可能会有不一样的立案标准,例如他们(江苏地区)不够六千,是不会立案调查的,因为单个案件诈骗金额太少。目前如果被骗总额度较高,建议由几个人代表去当地经侦部门咨询立案,看具体怎样指定管辖、能否并案等等。

  怡同等人目前已经关闭了所有支付宝相关的免密代扣服务,“如果平台、企业各方联合,相信是可以抓住这个背后的团伙,因为到今天他们还没有停止诈骗行为,另外也希望更多人提高警惕,群里(被骗店主群)不要再有新的人加入。”

  (文中怡同、刘恰恰均为化名)

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

来电聊

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片