支付宝“花呗”网购骗局:缺乏安全验证或致泛滥?

25.03.2016  14:05

原标题: 支付宝“花呗”网购骗局:缺乏安全验证或致泛滥?

写在前面:

   各种创新,尤其涉及用户资金安全的创新,到底应该“又安全又快捷”,还是“又快捷又安全”?

   到底是安全在前,还是快捷在前, 对于大多数用户来说,在没有遭受损失或陷入骗局前,似乎觉得应该快捷优先,而一旦碰到一次被骗,则认为安全才是最重要的。

  对于支付机构来说,快捷当然好,但是,保障安全才是最基础最重要的,如果快捷支付不够安全,就需要尽早填补验证漏洞,让快捷变得更安全才行。

   文/李俊慧(微信公众号:lijunhui0507)

   3万亿元”。

  这是阿里巴巴在2016财年(2015年4月-2016年3月)的成交总额。这个数字已经是2015年中国社会消费品零售总额30万亿元的十分之一。

  从 0到3万亿 ,阿里巴巴用了 13年 时间,而从 3万亿到6万亿 ,阿里巴巴希望仅用 4年 时间里就完成。

  阿里巴巴的勃勃雄心由此可见一斑。

  只不过,在阿里巴巴常年高速增长、成交屡创新高、支付花样繁多的背后,用户的资金安全或支付安全保障是否也得到同等程度的加固或健全,则令人生疑。

  事实上,对于这“3万亿”的交易额中,有多少比例属于“刷单”造假的,还有多少比例属于“盗刷”骗钱的,阿里巴巴没公布,我们也不得而已。

  但是,我们必须看到,伴随电商交易蓬勃发展,以及类似“花呗”、“快捷支付”等各类创新支付手段的出现,让 以“刷单”方式刷信誉、以“盗刷”方式骗钱财 的不法交易或诈骗案例大幅激增。

   那么,在这些“虚假”交易或资金“黑洞”之中,包括阿里巴巴等在内的各大电商平台是否及时加固了支付安全防线?对于包括“盗刷”在内的各类交易骗局,各大平台又该如何帮助用户及时挽回损失?

   花呗”骗局:“一群骗子被另外一群骗子给骗了?

  按照“花呗”的官方介绍, 蚂蚁花呗 由蚂蚁金服提供给消费者“这月买、下月还”的 网购服务

  从字面看似乎是“网购服务”, 而从实际使用上则是类似信用卡的消费结算服务 ,只不过,不具备“取现”功能。

  而以“花呗被骗”为关键词进行QQ群查找,可找到数十个群。在这些群里面,聚集了大量使用支付宝“花呗”被骗的用户,被骗金额从几千元到几万元不等。

  通过观察,在这些被骗的用户中,主要分为三类: 1)“花呗”套现被骗的。 此部分用户原本是计划通过“花呗”支付变相套现,结果碰到骗子,支付完就被对方“拉黑”了; 2)“花呗”刷单被骗的。 此部分用户原本以为是帮人“刷钻”刷信用的刷单交易,结果付完款之后,发现被骗了。 3)支付宝被盗号后发生的消费付款。

  其中,就前两类用户来说,这些用户起初 主观上就有“变相套现”或“刷单赚钱”的不良目的或需求 ,所以被骗后,会让人感觉是一群“骗子”被另外一群骗子给骗了。

  而这些被骗用户的支付流程或步骤来看,不论是用户自行输入账号密码完成付款,还是被不法分子盗取账号密码后完成付款,抑或是不法分子远程操控用户电脑完成付款, 在这些所有支付的过程中,都欠缺输入短信验证码“二次确认”的环节。

   尤其是对于被盗号或远程操控的用户来说,由于没有“验证码”确认支付请求与用户本人支付的一致性和真实性,给用户的资金安全带来重大的隐患。

   当然,此环节的缺失,对那些“套现”或“刷单”的用户来说,也少了一次提示风险、避免被骗的机会。

   更重要的是,对于此“隐患”或“漏洞”,对于包括支付宝等在内的各类第三方支付来说,不仅是可以预见的,而且应该已收到过很多投诉。

  但在明知已有此“漏洞”或“缺陷”时,仅仅为了“支付快捷”的体验而牺牲“支付安全”的保障,支付宝为何不及时补上“验证码”缺失漏洞,则有点令人费解。

   即时付款:支付宝跨平台结算致安全机制“形同虚设

  作为支付工具或渠道,支付宝并不满足于仅在阿里巴巴体系内承担支付收款的角色,它不仅大力拓展线下支付场景,也在全面丰富在线支付的范围,比如包括 亚马逊、大众点评、美团 等在内的众多电商平台 均已支持使用支付宝进行结算。

  与此同时,最初定位为淘宝、天猫店铺等阿里巴巴体系内的信用消费结算的 花呗”支付结算 使用范围 也已拓展至大多数主流电商平台之中。

  而一旦脱离开阿里巴巴体系,在其他电商平台上提供支付结算服务时,支付宝则成为与银行卡等支付相并列的支付手段,其支付效果与银行卡转账类似, 属于“即时付款”,输完密码资金就立即转账至商家账户。

   而这个跨平台结算“即时付款”的特点,也恰恰成为各类不法分子借机设置骗局的绝佳场景。

  在这些骗局中,不法分子会选择QQ等工具,给支付宝用户发送一个短链接,而此类短链接或是钓鱼网站页面或是直接的支付宝结算页面,很多用户点开后输入账号密码,或被盗取账号密码或被误导支付。

  尤其值得注意的是,在此类跨平台结算支付场景下, 用户无需登录,只需要输入支付宝用户名和支付密码就完成了付款确认操作。

  而这使得支付宝最有保障力度的“担保支付”成为泡影,同时, 免登陆式即时付款虽提高了支付效率,却同时给用户增加了风险。

   事实上,在前述“花呗”被骗的案例中,由于缺少手机验证码“二次确认”支付,很多用户因此上当受骗,并认为支付宝需要承担一定的责任。

  而由于“花呗”属于预消费模式,这些被骗的用户在确认被骗后,一方面,希望支付宝及时“止付”或“撤回”,减少损失;另一方面,如果支付宝无法“追回资金”,他们大都陷入“拒绝还款”的僵局中。

   奇葩设计:支付快捷,但关闭“花呗”功能需二次确认

  诚如前述,当前使用支付宝“花呗”跨平台支付结算时,仅需要支付宝账号和密码即可完成支付,无需手机验证码“二次确认”,非常简单、快捷。

  而当用户要关闭“花呗”功能时,则需要用户二次确认才能彻底关闭“花呗”功能。

   简单说,对于用户资金安全至关重要的支付环节,支付宝不给用户提供“二次确认”,反倒是用户要关闭服务对自己资金安全没有任何影响时,还需要用户“二次确认”。

  这种“奇葩设计”也多少说明了在 资金安全保障 用户开通使用服务 之间, 支付宝似乎更看重后者。

  与此同时,在《支付宝服务协议》中存在很多“霸王条款”,让用户在发生被盗刷、盗号时无法及时获得救济,并增加了用户维权沟通的难度。

   比如,对于“未发送验证短信”等,支付宝约定免责 支付宝服务协议》约定 ,本公司会以网站公告、电子邮件、发送到该手机的短信、电话、站内信或客户端通知等方式向您发送通知,例如通知您交易进展情况,或者提示您进行相关操作,您应及时予以关注。但 本公司不保证您能够收到或者及时收到该等通知,且对此不承担任何后果。

   再比如,对于“密码被他人破解”等明显不属于客户原因的盗号,支付宝也约定免责。 支付宝服务协议》还约定,“不按照交易、支付提示操作,未及时进行交易操作,遗忘或泄漏密码、校验码等, 密码被他人破解 您使用的计算机或其他硬件、终端等被他人使用、被他人侵入或丢失 ,或您使用的软件被他人侵入,或者您的生物特征被他人利用” 都属于用户过错或过失,因此导致的任何损失由用户自行承担。

  事实上,根据《非银行支付机构网络支付业务管理办法》第十九条规定,“ 支付机构应当 建立健全风险准备金制度和 交易赔付制度 并对不能有效证明因客户原因导致的资金损失及时先行全额赔付 ,保障客户合法权益。”

   简单说,对于不能确认因客户自行泄露用户名、登录密码及以及密码导致被账户被盗刷或消费支付的,即使用户没有购买所谓支付安全保险,支付宝作为支付机构也是“先行赔付”第一责任人。

  这使得发生盗刷后,即使投诉到支付宝,被骗用户还是处于劣势地位,很容易被拒绝赔付。

  此外,对于使用支付宝进行跨平台即时付款被骗的用户来说, 急需支付宝与各大平台建立异常交易确认及撤回的跨平台协作处理机制。

   因为这些跨平台结算被骗的情形,大多数付款人与收货人信息不一致且付款人被骗后会第一时间向支付宝或电商平台投诉,而这只需要几个平台联合建异常交易立大数据分析机制,就可以辨别出来那些交易是异常的,进而帮助用户挽回损失。

   不过,很可惜的是,在发生上述问题时,包括支付宝在内的各类平台,都会装无辜说自己“不是司法机关,无法单方面下定论谁是盗用者并动用强制手段”,然后极力将压力或责任推给公安机关,希望等公安机关立案或破案才予以救济。

  但实际情况是,与公安机关相比,各大平台的技术能力更强,在保护用户资金安全方面,可以做的更多,对于各类支付或购物骗局,其实,通过不区分支付方式增加“验证码”短信验证,以及对异常交易建立跨平台撤回合作机制等,就能大幅提升用户资金安全保障水平。

  近日,据媒体报道,深圳警方称,今年深圳将加强互联网社交平台软件QQ、微信的安全防范工作,主动研发有效的智能拦截系统, 对盗取QQ、微信号码实施诈骗的采取立即停号。 同时对使用虚拟IP登录的QQ和微信号码, 进行关键字限制,一旦发现涉及诈骗关键字的即时聊天信息,立即暂停其对话功能。

  如今,连公关机关都这么努力了,顶着“互联网+”先锋旗号的各大支付及电商平台还有什么理由观望?

  否则,明知有漏洞而不及时堵上,一方面,涉嫌为不法分子持续行骗提供帮助,另一方面,也会刺激更多不法分子利用此验证缺失行骗,致使受害用户越来越多。

  (中国政法大学知识产权研究中心特约研究员李俊慧,首发iDoNews专栏,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。邮箱:lijunhui0602#163.com,微信号:lijunhui0602,微信公号:lijunhui0507)

阅读(0)