理财 消费

显示 收起

支付宝代扣被利用 68人损失超18万用户需注意

支付宝推出来之后的确是很方便的,现在人人都会使用支付宝的,因为支付宝也有红包领取。但是在日常使用支付宝,你会设置免密支付吗?现在支付宝代扣被利用了,已经有68人被骗了!

支付宝免密支付漏洞

支付宝代扣被利用?很多人都不敢相信,毕竟一直以来支付宝在各方面来说都是最安全的。现在被利用了,用户纷纷担心自己的钱财损失,目前68人被骗损失超过了18万元,究竟是怎么回事呢?我们来了解一下!

支付宝安全吗

明明显示为支付宝“淘宝网店铺完善认证签约”页面,输入密码确认后却收到“恭喜,支付宝代扣开通成功”的通知,随后接连5笔200元扣款在不到一分钟内从支付宝划走,均被用来购买北京畅游时代数码技术有限公司(下简称“畅游公司”)的畅游币(虚拟游戏货币),怡同这时才明白自己被骗了。

和怡同有着同样经历的淘宝店主不在少数,据被骗店主们自发统计总人数超过百人,目前登记能确认被盗刷具体金额的有68人,总计超18万元,大部分店主损失多为1000-3000元不等,但也有个别店主被骗金额较高。

“盗刷发生之后我们向支付宝申诉很多次,但均未成功,理由是支付宝无法认定交易违规,而我们到现在也不清楚不法分子是如何获取了我们的信息,并开通了我们支付宝免密代扣的。”怡同对财经网表示。

在她看来,免密代扣功能被不法分子利用,支付宝是否应该加强此类功能的安全等级验证和风险监控?而且短时间出现数量如此众多的同类型诈骗,支付宝是否应该配合商户追回损失?另一方面,为什么所有被骗资金流向畅游公司,而畅游公司却不处理、不调查,是谁推卸责任?“被骗店主组成的微信群里每天都有新的人加入,事实上直到今天,这些不法分子也没有停止诈骗行为。”另一位被骗店主刘恰恰也表示了她的担忧。

“李鬼”链接实为钓鱼网站

上述淘宝店主均是在千牛App(淘宝卖家移动工作台)中收到不法分子伪装成淘宝小二发来的图片或者链接,“假小二”以“淘宝店铺支付宝认证未完善”为由,要求店主扫码或点击链接进入客服认证页面,并表示如不认证店铺将被降级或禁止交易。“因为之前淘宝方面也经常会发来店铺考核、认证的消息,所以这次也是正常去看是什么情况,就扫了图片上的二维码跳转进入了客服页面。”怡同表示。

随后,所谓的客服会提供一个点击完成认证的入口,淘宝店主点击后进入到显示为“支付宝店铺信用分”页面。怡同看到跳转后的页面为支付宝,且页面正确显示了自己的用户名、手机号等信息,于是便输入了支付宝密码完成最后认证。

输入完成后,页面显示的不是“店铺认证完成”等提示,而是“恭喜,支付宝代扣开通成功”,显然,怡同在不知情的情况下已经为某项服务开通了支付宝免密代扣,随后的5笔200元连续扣款也证实了这一点。对于怡同这一类情况的举报投诉,支付宝方面均反馈为“无法认定交易违规”,畅游方面则表示充值成功无法退款,虽然目前部分受骗店主已进行登记报案,但因涉及金额过小难以单个立案。

谁的漏洞?

整个诈骗过程并不复杂,每一个链接的点击和跳转均没有任何风险提示或拦截,那么最后输入密码的界面是否真的为支付宝界面?支付宝为何不能判定交易违规?怡同对平台和支付宝安全性也提出了自己的质疑。

财经网就以上情况和疑问联系了支付宝方面相关负责人,通过对怡同账号盗刷交易记录的技术分析,支付宝方面给出了相应的事件还原。支付宝方面表示,不法分子在畅游官网进行畅游币充值时可选定多种付款方式,在用支付宝进行绑定支付时,可以通过扫畅游官网界面显示的二维码开通代扣服务,即“一键支付”,用户可不输入支付宝密码自动扣款购买畅游币。

重点即在于上图显示的官方代扣开通二维码,它被不法分子替换为“淘宝店铺认证”的客服二维码,并立刻发送给了大量千牛App上的淘宝店主,一旦有人相信并用手机支付宝进行了扫描,事实上等同于用本人手机扫描登录了自己的支付宝代扣开通页面,不发分子利用了店主的信任让其自行完成了支付宝登录。

而怡同等人看到的客服、支付宝“淘宝网店铺完善认证签约”实际为假的钓鱼页面,为不法分子通过技术手段替换了真实的畅游官网页面,引导淘宝店主在扫描登录支付宝后,再次自行输入支付密码,完成整个代扣交易开通。

开通成功后,不法分子利用支付宝免密支付代扣规则,每次充值200元或以下(免密支付额度可自行设置,大多情况下会默认为200元),多次充值直至达到该账户当日免密付款限额才会停手。

“实际上整个支付过程都是正常的,不存在违规交易,而这个钓鱼的页面只有店主点击(自己)才会看到。”支付宝相关负责人表示,整个过程用户并没有跳转进支付宝App,而是进到了钓鱼网站进行了输密码的确认操作,成功接入畅游平台之后按规则是可以正常进行代扣,这不是免密支付系统的漏洞。此外,该负责人还强调,这类诈骗是都是“广撒网”的方式,他实际上并没有掌握某个用户的个人信息或者支付信息,支付宝并不存在信息泄露。

在千牛等平台上大量散播的钓鱼网站链接和图片为何没有被提示风险或拦截?上述人士表示,这个部分确实需要用户的反馈,平台才能反向对相关链接或图片做识别,再去屏蔽相关风险的内容。和微信等软件一样,在对话中每天会有大量的链接和图片被发送,但不是每一条信息都能立刻去做风险识别。

针对此类情况,支付宝方面认为,这是一次针对淘宝店主的群体性诈骗,不法分子通过骗取店主信任,引导其自行完成了支付开通的流程,支付宝无法对此类“被骗”的情况做赔付。如果是出现被“盗刷”情况,例如用户账号被在本人完全不知情的情况下被盗走、或支付宝出现问题导致用户财产损失,支付宝会为此承担责任。

点击展开全文
↓ 往下拉,下面的文章更精彩 ↓