阿里巴巴的野心由此可见一斑。
然而,在阿里巴巴常年高速增长、成交额破纪录、支付模式多样的背后,用户的财务安全或支付安全是否得到了同等程度的强化或提升,值得怀疑。
事实上,阿里巴巴并没有公布“3万亿”交易金额中有多少属于“开单”欺诈,有多少属于“窃取”欺诈,所以我们只能。
但必须看到,随着电商交易的蓬勃发展,以及“柏华”、“快捷支付”等各种创新支付方式的出现,利用“刷单”刷信用、“偷”骗钱的非法交易或诈骗案件急剧增加。
那么,在这些“虚假”交易或资本“黑洞”中,包括阿里巴巴在内的各大电商平台,是否及时加固了支付安全防线?对于各种交易骗局,包括“盗刷”,各大平台应该如何及时帮助用户挽回损失?
“柏华”骗局:“一群骗子被另一群骗子骗了?”
根据“花苑”的官方介绍,蚂蚁花苑是蚂蚁金服为消费者提供的一项网购服务,即“本月买,下月还”。
从字面上看似乎是“网购服务”,但实际上是类似信用卡的消费结算服务,只是不具备“取现”功能。
在搜索关键词为“花呗被骗”的QQ群时,可以找到几十个群。在这些群体中,有大量用户被支付宝“柏华”骗过,诈骗金额从几千元到几万元不等。[!- ]
通过观察,这些受骗用户主要分为三类:1)“柏华”套现被骗。这部分用户原本打算通过“花苞”变相支付现金。结果他们遇到了骗子,付款后被对方“黑掉”。2)“柏华”法案被骗。这部分用户原本以为是单笔交易,帮助人们“刷钻石”和信用,但交钱后发现被骗了。3)支付宝被黑后的消费支付。
其中,就前两类用户而言,这些用户一开始主观上有“变相套现”或“刷卡赚钱”的不良目的或需求,因此被骗后,人们会觉得一群“骗子”被另一群骗子骗了。
从这些受骗用户的支付过程或步骤来看,无论是用户输入自己的账户密码完成支付,还是犯罪分子窃取账户密码完成支付,或者犯罪分子远程控制用户电脑完成支付,这些支付过程都缺少通过输入短信验证码进行“二次确认”的环节。
特别是对于被盗或被远程控制的用户,由于没有“验证码”来确认支付请求与用户自身支付的一致性和真实性,给用户的财务安全带来重大隐患。
当然,这个链接的缺失也会给那些“套现”或“刷卡”的用户一个提醒风险、避免被骗的机会。
更重要的是,这个“隐患”或“漏洞”不仅是包括支付宝在内的各类第三方支付可以预见的,而且应该已经收到了不少投诉。
但明知这种“漏洞”或“缺陷”存在,“支付安全”的保障只是为了“快捷支付”的体验而牺牲。支付宝为什么没有及时补上“验证码”这个缺失的漏洞,多少有些令人费解。
即时支付:支付宝的跨平台结算使得安全机制“失效”。
作为支付工具或渠道,支付宝并不满足于只在阿里巴巴系统中承担支付和收款的角色。既大力拓展了线下支付场景,又全面丰富了线上支付的范围。比如很多电商公司包括亚马逊、大众点评、美团等。平台已经支持使用支付宝进行结算。
与此同时,原本在淘宝、天猫等阿里巴巴系统中定位为信用消费结算的“柏华”支付结算,也延伸到了平台大部分主流电商公司【!- ]
一旦脱离阿里巴巴系统,在其他电商的平台上提供支付结算服务,支付宝就成为了与银行卡和其他支付方式并列的支付手段。其支付效果类似银行卡转账,属于“即时支付”。密码丢失后,资金会立即转入商户账户。
跨平台结算的“即时支付”功能刚刚成为各类不法分子设置骗局的绝佳场景。
在这些骗局中,不法分子会选择QQ等工具向支付宝用户发送短链接。但是,这个短链接要么是钓鱼网站页面,要么是直接支付宝结算页面。许多用户点击它并输入帐户密码,或者他们被盗或误导支付。
特别是在这种跨平台结算支付场景下,用户只需输入支付宝用户名和支付密码即可完成支付确认操作,无需登录。
这使得支付宝最安全的“保底支付”成为泡沫。同时,免登录即时支付提高了支付效率,但同时也增加了用户的风险。
事实上,在前述“柏华”被骗案中,由于缺乏手机验证码的“二次确认”支付,导致很多用户上当受骗,认为支付宝应该承担一定的责任。
由于“花苞”属于预消费模式,在确认被骗后,这些受骗用户希望支付宝及时“停付”或“撤单”,减少损失;另一方面,如果支付宝不能“收回资金”,大多陷入“拒不还款”的僵局。
精彩设计:付款快捷,但关闭“花苑”功能需要二次确认。
如上所述,使用支付宝“柏华”进行跨平台支付结算时,只需支付宝账号和密码即可完成支付,无需手机验证码“二次确认”,非常简单快捷。
当用户想要关闭“花呗”功能时,需要用户第二次确认才能完全关闭“花呗”功能。
简单来说,支付宝并没有为用户提供对于用户资金安全至关重要的支付环节的“二次确认”。相反,它需要用户在想关闭服务时“二次确认”,而不会对自己的资金安全造成任何影响。
这种“奇葩设计”也说明,支付宝是介于资金的安全和用户对服务的开通和使用之间。
似乎更看重后者。与此同时,在《支付宝服务协议》中存在很多“霸王条款”,让用户在发生被盗刷、盗号时无法及时获得救济,并增加了用户维权沟通的难度。[!----]
比如,对于“未发送验证短信”等,支付宝约定免责
。《支付宝服务协议》约定,本公司会以网站公告、电子邮件、发送到该手机的短信、电话、站内信或客户端通知等方式向您发送通知,例如通知您交易进展情况,或者提示您进行相关操作,您应及时予以关注。但本公司不保证您能够收到或者及时收到该等通知,且对此不承担任何后果。
再比如,对于“密码被他人破解”等明显不属于客户原因的盗号,支付宝也约定免责。
《支付宝服务协议》还约定,“不按照交易、支付提示操作,未及时进行交易操作,遗忘或泄漏密码、校验码等,密码被他人破解,您使用的计算机或其他硬件、终端等被他人使用、被他人侵入或丢失,或您使用的软件被他人侵入,或者您的生物特征被他人利用”都属于用户过错或过失,因此导致的任何损失由用户自行承担。
事实上,根据《非银行支付机构网络支付业务管理办法》第十九条规定,“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。”
简单说,对于不能确认因客户自行泄露用户名、登录密码及以及密码导致被账户被盗刷或消费支付的,即使用户没有购买所谓支付安全保险,支付宝作为支付机构也是“先行赔付”第一责任人。
这使得发生盗刷后,即使投诉到支付宝,被骗用户还是处于劣势地位,很容易被拒绝赔付。
此外,对于使用支付宝进行跨平台即时付款被骗的用户来说,急需支付宝与各大平台建立异常交易确认及撤回的跨支付宝买东西安全吗平台协作处理机制。
因为这些跨平台结算被骗的情形,大多数付款人与收货人信息不一致且付款人被骗后会第一时间向支付宝或电商平台投诉,而这只需要几个平台联合建异常交易立大数据分析机制,就可以辨别出来那些交易是异常的,进而帮助用户挽回损失。
不过,很可惜的是,在发生上述问题时,包括支付宝在内的各类平台,都会装无辜说自己“不是司法机关,无法单方面下定论谁是盗用者并动用强制手段”,然后极力将压力或责任推给公安机关,希望等公安机关立案或破案才予以救济。
但实际情况是,与公安机关相比,各大平台的技术能力更强,在保护用户资金安全方面,可以做的更多,对于各类支付或购物骗局,其实,通过不区分支付方式增加“验证码”短信验证,以及对异常交易建立跨平台撤回合作机制等,就能大幅提升用户资金安全保障水平。[!----]
近日,据媒体报道,深圳警方称,今年深圳将加强互联网社交平台软件QQ、微信的安全防范工作,主动研发有效的智能拦截系统,对盗取QQ、微信号码实施诈骗的采取立即停号。同时对使用虚拟IP登录的QQ和微信号码,进行关键字限制,一旦发现涉及诈骗关键字的即时聊天信息,立即暂停其对话功能。
如今,连公关机关都这么努力了,顶着“互联网+”先锋旗号的各大支付及电商平台还有什么理由观望?
否则,明知有漏洞而不及时堵上,一方面,涉嫌为不法分子持续行骗提供帮助,另一方面,也会刺激更多不法分子利用此验证缺失行骗,致使受害用户越来越多。
原文-03-
第一热点
你关注的才是热点!
支付宝推出“回短信即充值” 加密软件用无忧
盗窃银行卡案件。
支付宝“快捷支付”作为一种新型的在线支付方式,为网民提供了快捷高效的服务,但也存在一定的安全漏洞。由于支付宝直接绑定银行卡,在第一次“快捷支付”时,只提供姓名、卡号、有效期、手机号等信息,然后输入支付宝发给手机的校验码,即可激活快捷支付功能。再次交易时,以上信息无需全部填写,只需满足两个条件,一个是支付宝密码,一个是手机校验码,即可快速付款。因此,别有用心的人只能通过骗取受害者很少的信息来犯罪。
在此前的一起案件中,受害人周的支付宝支付密码被盗,小偷从其账户中获取其手机号码信息,并利用其手机网上营业厅与支付宝共享密码的漏洞,登录手机网上营业厅开通短信转账业务。在成功获得6位验证码后,他迅速通过支付宝的“快捷支付”平台刷了自己的银行卡1000元人民币
记者还咨询了股份制银行信用卡中心的专业人士张先生。就他而言,只要不披露信息,“快钱”没有错。但也不能排除一些平时警惕性较低或者粗心大意的客户,没有保管好支付密码,最后被他人使用,造成经济损失的情况。
“通过网银支付,其实原理和快速支付差不多,但是会有一个反复验证信息的过程,从卡号和支付密码到手机动态码和支付密码,还有一些需要u盾等加密工具,虽然真的很麻烦。但是,这些加密工具实际上提高了账户的安全级别,也是为了客户资金的安全。”张先生说,“我觉得张小姐把这条短信处理得很好。首先,她必须确认消息的真实性,这将大大降低被骗的概率。另外,我个人认为在日常支付过程中要注意保护个人账户的安全。虽然快速支付真的很快,但还是建议大家使用安全系数更高的渠道进行网购交易。"
光棍节疯狂网购安全小贴士。
“1111光棍节”的由来我们一直无法考证,但每年的1111肯定会点燃一场电商大战,这似乎是一个定律。明天,一年一度的网购盛宴将重燃。大家在疯狂网购的同时,也要注意网络诈骗的出现。
首先,不要点击不熟悉的网站。网购交易中,不要点击卖家包括朋友通过QQ或邮件发送的网站和文件,以免进入钓鱼网站被诈骗钱财。
其次,看清楚上锁的标志。对于所有涉及支付交易的金融网站,如各大银行的网上银行,地址栏的前面(即“http”之前)通常会出现一个外观锁定的标志。
第三,不要泄露个人信息。很多不法分子会在网店,冒充店主,欺骗顾客获取顾客信息进行退款和转账。因此,银行卡号、密码、手机验证码、身份证号、手机号等个人信息要妥善保管。
四是维护计算机系统安全,及时打补丁,及时安装更新杀毒软件,定期扫描计算机,有效防止木马等病毒入侵,个人账户数据等敏感信息被黑客窃取。
记住正确的银行地址和客户服务电话号码。准确记住银行的网址。此外,银行的客服电话号码很容易识别,大部分是九个字符开头的五位数。
还需要提醒的是,用户千万不要在电脑或手机上设置自动登录。如今,许多人通过网上银行和手机银行支付。为了方便支付,一些用户设置了自动登录。如果别人用电脑或者手机被盗,可能会带来损失。
此外,开通短信通知服务也是保障账户安全的方式之一。当个人账户中的资金发生变化时,银行会发送短信提醒帮助
网友评论
当前共有2条评论