明明顯示為支付寶“淘寶網店鋪完善認證簽約 ”頁面,輸入密碼確認後卻收到“恭喜,支付寶代扣開通成功”的通知,隨後接連5筆200元扣款在不到一分鐘內從支付寶划走,均被用來購買北京暢遊時代數碼技術有限公司(下簡稱“暢遊公司”)的暢遊幣(虛擬遊戲貨幣),怡同這時才明白自己被騙了。
和怡同有著同樣經歷的淘寶店主不在少數,據被騙店主們自發統計總人數超過百人,目前登記能確認被盜刷具體金額的有68人,總計超18萬元,大部分店主損失多為1000-3000元不等,但也有個別店主被騙金額較高。
表格內容為受訪者提供
“盜刷發生之後我們向支付寶申訴很多次,但均未成功,理由是支付寶無法認定交易違規,而我們到現在也不清楚不法分子是如何獲取了我們的信息,並開通了我們支付寶免密代扣的。”怡同對財經網表示。
在她看來,免密代扣功能被不法分子利用,支付寶是否應該加強此類功能的安全等級驗證和風險監控?而且短時間出現數量如此眾多的同類型詐騙,支付寶是否應該配合商戶追回損失?另一方面,為什麼所有被騙資金流向暢遊公司,而暢遊公司卻不處理、不調查,是誰推卸責任?
“被騙店主組成的微信群裡每天都有新的人加入,事實上直到今天,這些不法分子也沒有停止詐騙行為。”另一位被騙店主劉恰恰也表示了她的擔憂。
“李鬼”鏈接實為釣魚網站
上述淘寶店主均是在千牛APP(淘寶賣家移動工作臺)中收到不法分子偽裝成淘寶小二發來的圖片或者鏈接,“假小二”以“淘寶店鋪支付寶認證未完善”為由,要求店主掃碼或點擊鏈接進入客服認證頁面,並表示如不認證店鋪將被降級或禁止交易。
圖為受訪者提供
圖為受訪者提供
“因為之前淘寶方面也經常會發來店鋪考核、認證的消息,所以這次也是正常去看是什麼情況,就掃了圖片上的二維碼跳轉進入了客服頁面。”怡同表示。
隨後,所謂的客服會提供一個點擊完成認證的入口,淘寶店主點擊後進入到顯示為“支付寶店鋪信用分”頁面。怡同看到跳轉後的頁面為支付寶,且頁面正確顯示了自己的用戶名、手機號等信息,於是便輸入了支付寶密碼完成最後認證。
圖為受訪者提供
輸入完成後,頁面顯示的不是“店鋪認證完成”等提示,而是“恭喜,支付寶代扣開通成功”,顯然,怡同在不知情的情況下已經為某項服務開通了支付寶免密代扣,隨後的5筆200元連續扣款也證實了這一點。
圖為受訪者提供
圖為受訪者提供
對於怡同這一類情況的舉報投訴,支付寶方面均反饋為“無法認定交易違規”,暢遊方面則表示充值成功無法退款,雖然目前部分受騙店主已進行登記報案,但因涉及金額過小難以單個立案。
誰的漏洞?
整個詐騙過程並不複雜,每一個鏈接的點擊和跳轉均沒有任何風險提示或攔截,那麼最後輸入密碼的界面是否真的為支付寶界面?支付寶為何不能判定交易違規?怡同對平臺和支付寶安全性也提出了自己的質疑。
財經網就以上情況和疑問聯繫了支付寶方面相關負責人,通過對怡同賬號盜刷交易記錄的技術分析,支付寶方面給出了相應的事件還原。
支付寶方面表示,不法分子在暢遊官網進行暢遊幣充值時可選定多種付款方式,在用支付寶進行綁定支付時,可以通過掃暢遊官網界面顯示的二維碼開通代扣服務,即“一鍵支付”,用戶可不輸入支付寶密碼自動扣款購買暢遊幣。
圖為支付寶提供
圖為支付寶提供
重點即在於上圖顯示的官方代扣開通二維碼,它被不法分子替換為“淘寶店鋪認證”的客服二維碼,並立刻發送給了大量千牛APP上的淘寶店主,一旦有人相信並用手機支付寶進行了掃描,事實上等同於用本人手機掃描登錄了自己的支付寶代扣開通頁面,不發分子利用了店主的信任讓其自行完成了支付寶登錄。
而怡同等人看到的客服、支付寶“淘寶網店鋪完善認證簽約”實際為假的釣魚頁面,為不法分子通過技術手段替換了真實的暢遊官網頁面,引導淘寶店主在掃描登錄支付寶後,再次自行輸入支付密碼,完成整個代扣交易開通。
左:支付寶提供 右:淘寶店主提供
開通成功後,不法分子利用支付寶免密支付代扣規則,每次充值200元或以下(免密支付額度可自行設置,大多情況下會默認為200元),多次充值直至達到該賬戶當日免密付款限額才會停手。
“實際上整個支付過程都是正常的,不存在違規交易,而這個釣魚的頁面只有店主點擊(自己)才會看到。”支付寶相關負責人表示,整個過程用戶並沒有跳轉進支付寶APP,而是進到了釣魚網站進行了輸密碼的確認操作,成功接入暢遊平臺之後按規則是可以正常進行代扣,這不是免密支付系統的漏洞。此外,該負責人還強調,這類詐騙是都是“廣撒網”的方式,他實際上並沒有掌握某個用戶的個人信息或者支付信息,支付寶並不存在信息洩露。
在千牛等平臺上大量散播的釣魚網站鏈接和圖片為何沒有被提示風險或攔截?
上述人士表示,這個部分確實需要用戶的反饋,平臺才能反向對相關鏈接或圖片做識別,再去屏蔽相關風險的內容。和微信等軟件一樣,在對話中每天會有大量的鏈接和圖片被髮送,但不是每一條信息都能立刻去做風險識別。
針對此類情況,支付寶方面認為,這是一次針對淘寶店主的群體性詐騙,不法分子通過騙取店主信任,引導其自行完成了支付開通的流程,支付寶無法對此類“被騙”的情況做賠付。如果是出現被“盜刷”情況,例如用戶賬號被在本人完全不知情的情況下被盜走、或支付寶出現問題導致用戶財產損失,支付寶會為此承擔責任。
但怡同等淘寶店主卻並不認可支付寶的說法。
怡同表示,支付寶的回覆是在推卸責任。她向支付寶進行過3次申訴,其中1次還是人工判定,詐騙事實成立但均未申訴成功,到底怎樣才算是違規不正常?支付平臺開通多種支付功能雖然更便捷,但用戶財產風險增加,目前的風險攔截措施顯然不夠。遊戲充值平臺常被不法分子利用做充值途徑,支付寶也應該對遊戲類商戶支付增加風險預警和監控。
中央財經大學法學院副教授劉權則認為,不法分子可以輕易通過騙取用戶掃碼開通代付等方式,盜刷用戶多筆錢款,說明“免密代付”存在一定的安全隱患。支付寶“免密代付”功能應當是有進一步提升安全性的空間,例如設定連續免密代付異常風險提示,也可設定一定的功能限制機制,如短時間內連續免密代付幾筆,可以設定支付金額降低限制,或重新啟動密碼支付。必要時,“免密代付”可設定 “延遲到賬”、“快速追回”等功能,重點是實現支付便捷性與資金安全性的平衡。
此外,財經網聯繫暢遊公司官方客服人員,詢問用戶被騙進行充值交易是否可退款或平臺查封該交易賬號?暢遊方面則表示,非本人操作建議報警,需要北京網監局出示協查函,公司才會配合警方追回被盜資金並查詢盜刷賬戶。
簡單來說,只要用戶不報警,暢遊即便接到此類投訴也不會做任何相應的處理。
而當財經網詢問,此類被騙、盜刷充值暢遊幣的投訴是否很多?目前單個用戶損失額度不夠立案該怎麼辦?暢遊客服則表示,“還好了,都是建議玩家報警的。”
對於暢遊公司的處理態度,多位淘寶店主向財經網表示,很多遊戲充值平臺目前似乎成為此類詐騙犯罪的溫床和保護傘,被利用作為交易的重要渠道。但事實上公司並不重視此類情況,接到投訴也根本不會主動肅清這些混亂的狀況,是缺乏社會責任心的企業。
一家遊戲公司業務人士對財經網表示,目前網遊充值、或者說虛擬遊戲幣肯定是無法直接退款或者變現的,因為虛擬幣一旦可退現就容易涉及到類似“德州撲克”等涉賭的問題。但是虛擬貨幣、虛擬武器裝備並非不能交易,有很多玩家群主、或者手裡有大量充值卡、虛擬貨幣、武器裝備的人會在遊戲線下折價交易,通過微信、QQ、淘寶等渠道。此類詐騙充值也有可能會通過這些遊戲“黑市”分銷掉。
一位一線辦案人員告訴財經網,類似的詐騙報案就在昨天他們還有接到,但從實際操作上來講,各個地方可能會有不一樣的立案標準,例如他們(江蘇地區)不夠六千,是不會立案調查的,因為單個案件詐騙金額太少。目前如果被騙總額度較高,建議由幾個人代表去當地經偵部門諮詢立案,看具體怎樣指定管轄、能否併案等等。
怡同等人目前已經關閉了所有支付寶相關的免密代扣服務,“如果平臺、企業各方聯合,相信是可以抓住這個背後的團伙,因為到今天他們還沒有停止詐騙行為,另外也希望更多人提高警惕,群裡(被騙店主群)不要再有新的人加入。”
(文中怡同、劉恰恰均為化名)
閱讀更多 財經網科技 的文章
