柳州信息港

当前位置: 首页 >旅游

支付宝花呗网购骗局缺乏安全验证或致泛滥

来源: 作者: 2019-05-14 20:19:05

写在前面:

各种创新,尤其涉及用户资金安全的创新,到底应当又安全又快捷,还是又快捷又安全?

到底是安全在前,还是快捷在前,对大多数用户来说,在没有遭受损失或陷入骗局前,仿佛觉得应当快捷优先,而一旦碰到一次被骗,则认为安全才是重要的。

对于支付机构来说,快捷固然好,但是,保障安全才是基础重要的,如果快捷支付不够安全,就需要尽早填补验证漏洞,让快捷变得更安全才行。

文/李俊慧(公众号:lijunhui0507)

3万亿元。

这是阿里巴巴在2016财年(2015年4月-2016年3月)的成交总额。这个数字已是2015年中国社会消费品零售总额30万亿元的十分之一。

从0到3万亿,阿里巴巴用了13年时间,而从3万亿到6万亿,阿里巴巴希望仅用4年时间里就完成。

阿里巴巴的勃勃雄心由此可见一斑。

只不过,在阿里巴巴终年高速增长、成交屡创新高、支付花样繁多的背后,用户的资金安全或支付安全保障是不是也得到同等程度的加固或健全,则令人生疑。

事实上,对这3万亿的交易额中,有多少比例属于刷单造假的,还有多少比例属于盗刷骗钱的,阿里巴巴没公布,我们也不得而已。

但是,我们必须看到,伴随电商交易蓬勃发展,以及类似花呗、快捷支付等各类创新支付手段的出现,让以刷单方式刷信誉、以盗刷方式骗钱财的不法交易或欺骗案例大幅激增。

那么,在这些虚假交易或资金黑洞之中,包括阿里巴巴等在内的各大电商平台是否及时加固了支付安全防线?对包括盗刷在内的各类交易骗局,各大平台又该如何帮助用户及时挽回损失?

花呗骗局:一群骗子被另外一群骗子给骗了?

依照花呗的官方介绍,蚂蚁花呗是由蚂蚁金服提供给消费者这月买、下月还的购服务。

从字面看似乎是购服务,而从实际使用上则是类似信用卡的消费结算服务,只不过,不具备取现功能。

而以花呗被骗为关键词进行群查找,可找到数十个群。在这些群里面,聚集了大量使用支付宝花呗被骗的用户,被骗金额从几千元到几万元不等。

通过视察,在这些被骗的用户中,主要分为三类:1)花呗套现被骗的。此部分用户原本是计划通过花呗支付变相套现,结果碰到骗子,支付完就被对方拉黑了;2)花呗刷单被骗的。此部分用户原本以为是帮人刷钻刷信誉的刷单交易,结果付完款之后,发现被骗了。3)支付宝被盗号后产生的消费付款。

其中,就前两类用户来说,这些用户起初主观上就有变相套现或刷单赚钱的不良目的或需求,所以被骗后,会让人感觉是一群骗子被另外一群骗子给骗了。

而这些被骗用户的支付流程或步骤来看,不论是用户自行输入账号密码完成付款,还是被不法分子盗取账号密码后完成付款,抑或是不法分子远程操控用户电脑完成付款,在这些所有支付的过程中,都欠缺输入短信验证码二次确认的环节。

尤其是对被盗号或远程操控的用户来说,由于没有验证码确认支付请求与用户本人支付的一致性和真实性,给用户的资金安全带来重大的隐患。

固然,此环节的缺失,对那些套现或刷单的用户来说,也少了一次提示风险、避免被骗的机会。

更重要的是,对于此隐患或漏洞,对包括支付宝等在内的各类第三方支付来讲,不仅是可以预见的,而且应该已收到过很多投诉。

但在明知已有此漏洞或缺点时,仅仅为了支付快捷的体验而牺牲支付安全的保障,支付宝为何不及时补上验证码缺失漏洞,则有点令人费解。

即时付款:支付宝跨平台结算致安全机制形同虚设

作为支付工具或渠道,支付宝其实不满足于仅在阿里巴巴体系内承担支付收款的角色,它不仅大力拓展线下支付场景,也在全面丰富支付的范围,比如包括亚马逊、大众点评、美团等在内的众多电商平台均已支持使用支付宝进行结算。

与此同时,初定位为淘宝、天猫店铺等阿里巴巴体系内的信誉消费结算的花呗支付结算使用范围也已拓展至大多数主流电商平台当中。

而一旦脱离开阿里巴巴体系,在其他电商平台上提供支付结算服务时,支付宝则成为与银行卡等支付相并列的支付手段,其支付效果与银行卡转账类似,属于即时付款,输完密码资金就立即转账至商家账户。

而这个跨平台结算即时付款的特点,也恰恰成为各类不法分子借机设置骗局的场景。

在这些骗局中,不法分子会选择等工具,给支付宝用户发送一个短链接,而此类短链接或是钓鱼站页面或是直接的支付宝结算页面,很多用户点开后输入账号密码,或被盗取账号密码或被误导支付。

尤其值得注意的是,在此类跨平台结算支付场景下,用户无需登录,只需要输入支付宝用户名和支付密码就完成了付款确认操作。

#FormatImgID_4#

而这使得支付宝有保障力度的担保支付成为泡影,同时,免登陆式即时付款虽提高了支付效力,却同时给用户增加了风险。

事实上,在前述花呗被骗的案例中,由于缺少验证码二次确认支付,很多用户因此上当受骗,并认为支付宝需要承当一定的。

而由于花呗属于预消费模式,这些被骗的用户在确认被骗后,一方面,希望支付宝及时止付或撤回,减少损失;另一方面,如果支付宝无法追回资金,他们大都堕入拒绝还款的僵局中。

奇葩设计:支付快捷,但关闭花呗功能需二次确认

诚如前述,当前使用支付宝花呗跨平台支付结算时,仅需要支付宝账号和密码即可完成支付,无需验证码二次确认,非常简单、快捷。

而当用户要关闭花呗功能时,则需要用户二次确认才能完全关闭花呗功能。

简单说,对于用户资金安全至关重要的支付环节,支付宝不给用户提供二次确认,反倒是用户要关闭服务对自己资金安全没有任何影响时,还需要用户二次确认。

这种奇葩设计也多少说明了在资金安全保障与用户开通使用服务之间,支付宝似乎更看重后者。

与此同时,在《支付宝服务协议》中存在很多霸王条款,让用户在发生被盗刷、盗号时没法及时取得救济,并增加了用户维权沟通的难度。

比如,对于未发送验证短信等,支付宝约定免责。《支付宝服务协议》约定,本公司会以站公告、电子邮件、发送到该的短信、、站内信或客户端通知等方式向您发送通知,例如通知您交易进展情况,或者提示您进行相干操作,您应及时予以关注。但本公司不保证您能够收到或者及时收到该等通知,且对此不承当任何后果。

再比如,对于密码被他人破解等明显不属于客户缘由的盗号,支付宝也约定免责。《支付宝服务协议》还约定,不依照交易、支付提示操作,未及时进行交易操作,遗忘或泄漏密码、校验码等,密码被他人破解,您使用的计算机或其他硬件、终端等被他人使用、被他人侵入或丢失,或您使用的软件被他人侵入,或者您的生物特征被他人利用都属于用户错误或过失,因此致使的任何损失由用户自行承担。

事实上,根据《非银行支付机构络支付业务管理办法》第十九条规定,支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户缘由导致的资金损失及时先行全额赔付,保障客户合法权益。

简单说,对不能确认因客户自行泄露用户名、登录密码及和密码导致被账户被盗刷或消费支付的,即便用户没有购买所谓支付安全保险,支付宝作为支付机构也是先行赔付人。

这使得发生盗刷后,即使投诉到支付宝,被骗用户还是处于劣势地位,很容易被谢绝赔付。

此外,对使用支付宝进行跨平台即时付款被骗的用户来说,急需支付宝与各大平台建立异常交易确认及撤回的跨平台协作处理机制。

因为这些跨平台结算被骗的情形,大多数付款人与收货人信息不一致且付款人被骗后会时间向支付宝或电商平台投诉,而这只需要几个平台联合建异常交易立大数据分析机制,就可以辨别出来那些交易是异常的,进而帮助用户挽回损失。

不过,很可惜的是,在产生上述问题时,包括支付宝在内的各类平台,都会装无辜说自己不是司法机关,没法单方面下定论谁是盗用者并动用强制手段,然后极力将压力或推给公安机关,希望等公安机关立案或破案才予以救济。

但实际情况是,与公安机关相比,各大平台的技术能力更强,在保护用户资金安全方面,可以做的更多,对各类支付或购物骗局,其实,通过不区分支付方式增加验证码短信验证,以及对异常交易建立跨平台撤回合作机制等,就能大幅提升用户资金安全保障水平。

近日,据媒体报道,深圳警方称,今年深圳将加强互联社交平台软件、的安全防范工作,主动研发有效的智能拦截系统,对盗取、号码实施诈骗的采取立即停号。同时对使用虚拟IP登录的和号码,进行关键字限制,一旦发现涉及诈骗关键字的即时聊天信息,立即暂停其对话功能。

如今,连公关机关都这么努力了,顶着互联+先锋旗号的各大支付及电商平台还有什么理由观望?

否则,明知有漏洞而不及时堵上,一方面,涉嫌为不法分子持续行骗提供帮助,另一方面,也会刺激更多不法分子利用此验证缺失行骗,致使受害用户越来越多。

经期延长吃中药可以吗
月经不调而且腰酸疼
益母颗粒一盒多少钱

相关推荐