前車之覆后車之鑒 網(wǎng)絡(luò)支付八大風(fēng)險(xiǎn)案例

“據(jù)統(tǒng)計(jì)，2014年至今，人民銀行全系統(tǒng)金融消費(fèi)權(quán)益保護(hù)部門受理的網(wǎng)絡(luò)支付類投訴占互聯(lián)網(wǎng)金融類投訴的95.06%。”近日，央行有關(guān)人士向《第一財(cái)經(jīng)日?qǐng)?bào)》透露。

上述央行人士向《第一財(cái)經(jīng)日?qǐng)?bào)》介紹：今年1月，某支付機(jī)構(gòu)泄露了上千萬張銀行卡信息，涉及全國16家銀行，截至7月31日由于偽卡形成的損失已達(dá)3900多萬元。

非銀行支付機(jī)構(gòu)(下稱“支付機(jī)構(gòu)”)服務(wù)電子商務(wù)發(fā)展和為社會(huì)提供小額、快捷、便民的小微支付服務(wù)，適應(yīng)公眾日益增長(zhǎng)的個(gè)性化、差異化支付需求，近年來網(wǎng)絡(luò)支付服務(wù)得到快速發(fā)展。但支付機(jī)構(gòu)在迅速發(fā)展的過程中，相關(guān)問題和風(fēng)險(xiǎn)不斷顯現(xiàn)，消費(fèi)者未能得到有效保護(hù)。

“目前，支付賬戶普遍未落實(shí)賬戶實(shí)名制，挪用客戶資金事件時(shí)有發(fā)生，網(wǎng)絡(luò)支付疏于安全管理，消費(fèi)者缺乏權(quán)益保護(hù)意識(shí)。”上述央行人士提醒消費(fèi)者，在使用網(wǎng)絡(luò)支付等服務(wù)時(shí)應(yīng)提高自我保護(hù)意識(shí)和風(fēng)險(xiǎn)識(shí)別能力。

“在追求和享受支付便捷性的同時(shí)，消費(fèi)者忽視了自身金融信息的保護(hù)，對(duì)支付業(yè)務(wù)內(nèi)在風(fēng)險(xiǎn)的警惕性不足，風(fēng)險(xiǎn)不斷積累。伴隨著日益頻繁的支付活動(dòng)，個(gè)人支付信息泄露風(fēng)險(xiǎn)大大增加，消費(fèi)者面臨更大的資金被盜和欺詐風(fēng)險(xiǎn)。”該央行人士說。

近年來，通過非銀行支付機(jī)構(gòu)辦理支付業(yè)務(wù)的客戶資金風(fēng)險(xiǎn)案件頻發(fā)，暴露出部分支付機(jī)構(gòu)一味追求支付便捷而忽視支付安全、支付系統(tǒng)存在嚴(yán)重漏洞、客戶資金安全和信息安全難以得到有效保障等問題。

《第一財(cái)經(jīng)日?qǐng)?bào)》從權(quán)威人士處獲悉了近年來部分支付機(jī)構(gòu)風(fēng)險(xiǎn)事件案例，并匯總整理部分風(fēng)險(xiǎn)事件摘編如下：

1.利用黑客手段盜取支付寶客戶資金系列案

2015年6月，珠海市公安機(jī)關(guān)偵破一宗橫跨廣東、黑龍江、四川、上海和浙江等5省(市)的特大利用黑客手段盜取支付寶資金系列案件，打掉一個(gè)非法買賣公民個(gè)人信息、制作掃描探測(cè)軟件和實(shí)施網(wǎng)絡(luò)套現(xiàn)的犯罪團(tuán)伙，抓獲關(guān)鍵犯罪嫌疑人6名，繳獲作案計(jì)算機(jī)等工具一批。

該案是比較常見的支付賬戶盜竊案件，犯罪嫌疑人通過網(wǎng)上購買他人提供的賬號(hào)、密碼信息，使用掃號(hào)軟件批量測(cè)試是否與支付機(jī)構(gòu)支付賬號(hào)、密碼一致，比對(duì)成功后實(shí)施盜竊。公安部門初步查明，犯罪嫌疑人涉嫌盜竊支付寶賬戶117個(gè)，涉案金額7萬余元。

此外，嫌疑人電腦硬盤中存儲(chǔ)各類公民個(gè)人信息40多億條，涉及支付寶、京東和Paypal等支付賬戶達(dá)1000多萬個(gè)，初步估算賬戶涉及資金近10億元。

2.內(nèi)鬼泄密20G海量用戶信息被盜賣

2013年11月27日，某支付公司內(nèi)部一員工因伙同他人多次以批量出售的方式泄露用戶信息被杭州當(dāng)?shù)鼐酱丁?/p>

據(jù)該涉案嫌疑人交代，他曾經(jīng)是該支付公司技術(shù)員工，利用工作之便，在2010年分多次在公司后臺(tái)下載了公司用戶的資料，資料內(nèi)容超20G。

隨后伙同兩名外部人員，以500元3萬條的價(jià)格將用戶信息多次出售予電商公司、數(shù)據(jù)公司。這些用戶資料，包括公民個(gè)人的真實(shí)姓名、手機(jī)、身份證號(hào)、電子郵箱、家庭住址、消費(fèi)記錄等。

據(jù)其供述，僅最大買家服裝類電商V公司就曾通過該團(tuán)伙一次性購買用戶資料1000萬條。不過V公司一位副總裁表示并不清楚此事。支付公司方面則承認(rèn)確有內(nèi)部員工盜賣用戶信息案，一名負(fù)責(zé)人稱：“不得不承認(rèn)，我們?cè)诠芾砩铣隽艘恍﹩栴}。”

3.支付公司未履行安全保障義務(wù)導(dǎo)致消費(fèi)者購物款被盜轉(zhuǎn)

2014年7月張先生在某購物網(wǎng)站上和賣家協(xié)商購買價(jià)值27500元的照相機(jī)一臺(tái)，雙方約定分多筆交易付款。后根據(jù)支付機(jī)構(gòu)網(wǎng)頁提示登錄到網(wǎng)上銀行進(jìn)行付款操作，收款方名稱為：XX支付科技有限公司。

付款后該購物網(wǎng)站顯示“等待買家付款中”，張先生到銀行查詢，被告知錢款已經(jīng)打到支付機(jī)構(gòu)。后張先生發(fā)現(xiàn)打入支付機(jī)構(gòu)的錢款被轉(zhuǎn)入另外一個(gè)工商銀行賬戶，而此賬號(hào)并非本次交易賣方的賬戶。

按照支付機(jī)構(gòu)交易規(guī)則，在買方?jīng)]有確認(rèn)收貨前，支付機(jī)構(gòu)不能將貨款轉(zhuǎn)出。張先生訴至人民法院，認(rèn)為該購物網(wǎng)站和支付機(jī)構(gòu)作為交易平臺(tái)的提供方和第三方資金管理方，未盡到安全管理義務(wù)，致使己方購物款被盜轉(zhuǎn)，要求法院判決該購物網(wǎng)站和支付機(jī)構(gòu)賠償其相應(yīng)損失。

經(jīng)法院查明，支付機(jī)構(gòu)未將貨款轉(zhuǎn)入賣方而轉(zhuǎn)入他人賬戶，法院認(rèn)定支付機(jī)構(gòu)未盡到安全注意義務(wù)。其經(jīng)營(yíng)的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器和程序的安全性不足，或他人利用網(wǎng)絡(luò)技術(shù)非法入侵，均有可能導(dǎo)致張先生的財(cái)產(chǎn)受到損失。最終法院判決支付機(jī)構(gòu)應(yīng)賠償張先生相應(yīng)損失，共計(jì)20129元。

4.網(wǎng)絡(luò)融資平臺(tái)用戶資金被盜案

2012年11月，上海陸家嘴國際金融資產(chǎn)交易市場(chǎng)股份有限公司(下稱“陸金所”)運(yùn)營(yíng)的“穩(wěn)贏”融資交易平臺(tái)，部分用戶600余萬元資金被盜。

經(jīng)初步查明，犯罪分子通過買來的某銀行600余萬條賬戶信息，將儲(chǔ)戶賬戶綁到“陸金所”交易平臺(tái)，并通過該平臺(tái)將資金轉(zhuǎn)移到用假軍官證開立的同名銀行賬戶，利用“穩(wěn)贏”網(wǎng)絡(luò)融資交易平臺(tái)綁定銀行賬戶時(shí)無需提供密碼且可一人同時(shí)綁定多個(gè)賬戶的漏洞，通過支付機(jī)構(gòu)以購物退款的方式將資金轉(zhuǎn)移到其實(shí)際控制的他名銀行“網(wǎng)絡(luò)賬戶”，以達(dá)到其轉(zhuǎn)移贓款的目的。

該案件暴露了以下幾方面的問題：一是銀行違反賬戶管理規(guī)定和實(shí)名審核要求，開立假名賬戶;二是支付機(jī)構(gòu)賬戶實(shí)名制落實(shí)不到位，對(duì)特約商戶管理不嚴(yán)，為洗錢犯罪提供了通道;三是部分網(wǎng)絡(luò)交易平臺(tái)存在安全漏洞，用戶在網(wǎng)絡(luò)融資平臺(tái)注冊(cè)的驗(yàn)證手續(xù)過于簡(jiǎn)單，且在綁定銀行賬戶時(shí)未經(jīng)銀行驗(yàn)證。

5.網(wǎng)店店主利用某支付公司漏洞制作營(yíng)業(yè)執(zhí)照盜取資金

2014年3月5日，兩名嫌犯張某、劉某利用某支付公司網(wǎng)上平臺(tái)在賬戶改密業(yè)務(wù)中的漏洞，盜刷數(shù)家企業(yè)在該支付公司支付賬戶內(nèi)的資金共20余萬元。因涉嫌盜竊罪，目前他們被海淀區(qū)檢察院批準(zhǔn)逮捕。

張某、劉某一起在某購物網(wǎng)站上開店。在開店過程中，二人發(fā)現(xiàn)修改其網(wǎng)店的支付賬戶用戶名和密碼時(shí)，只需在網(wǎng)上向該家支付公司客服提交電子版營(yíng)業(yè)執(zhí)照即可，由于客服對(duì)電子版營(yíng)業(yè)執(zhí)照的審核不嚴(yán)，很容易受理通過。二人發(fā)現(xiàn)這一漏洞后，就采取PS技術(shù)，偽造其他公司的電子版營(yíng)業(yè)執(zhí)照，提交修改密碼申請(qǐng)，進(jìn)而控制賬戶并盜竊資金。

6.快捷支付驗(yàn)證不足導(dǎo)致的客戶資金被盜案件

托人代辦信用卡的李先生由于將銀行預(yù)留手機(jī)號(hào)碼、身份證與儲(chǔ)蓄卡的高清照片都泄露給了騙子，盡管存款當(dāng)天便驚醒回神，迅速去銀行柜面關(guān)閉網(wǎng)銀并更改預(yù)留聯(lián)系方式，但仍未能避免三日后卡內(nèi)現(xiàn)金被悉數(shù)盜刷而空的命運(yùn)。更讓李先生氣憤的是，此番快捷支付扣除他的款項(xiàng)，竟無需經(jīng)過他銀行卡支付密碼的驗(yàn)證。

記者獲悉，開通快捷支付業(yè)務(wù)并不繁瑣，只需在支付機(jī)構(gòu)快捷支付頁面提供本人的姓名、身份證號(hào)碼、銀行卡號(hào)以及銀行預(yù)留手機(jī)號(hào)等有效個(gè)人信息，即可快速開通，而后期支付時(shí)也無需經(jīng)過原有銀行卡的支付密碼驗(yàn)證，只需在支付頁面上輸入支付密碼或關(guān)聯(lián)銀行卡信息即可完成資金交易。

而對(duì)于為何支付轉(zhuǎn)賬等走款流程要越過銀行卡支付密碼的環(huán)節(jié)，支付機(jī)構(gòu)方面則對(duì)記者表示：“這是國際上的規(guī)定和慣例，不允許在網(wǎng)上支付的時(shí)候輸入銀行卡密碼。”

快捷支付業(yè)務(wù)模式里，銀行的服務(wù)界面被屏蔽在客戶的支付流程之外，銀行從用戶支付結(jié)算的前臺(tái)，退到了代理第三方清算的后臺(tái)，只扮演‘賬房先生’的角色，被動(dòng)地處理來自支付機(jī)構(gòu)的指令，不再認(rèn)證用戶的身份，不再掌握用戶的支付行為。當(dāng)用戶的銀行卡忽然在不知情的某天被綁上了別人的快捷支付，且未經(jīng)自己銀行卡支付密碼的驗(yàn)證便被刷走卡內(nèi)所有現(xiàn)金，這種驚心動(dòng)魄的切身體驗(yàn)是否還會(huì)讓你繼續(xù)一往無前地依賴那種“方便”與“快捷”?

7.利用網(wǎng)絡(luò)支付平臺(tái)盜劃銀行卡資金案

2015年3月，中國人民銀行四川省射洪縣支行相繼接到商業(yè)銀行金融重大事項(xiàng)報(bào)告，稱其客戶趙某個(gè)人銀行結(jié)算賬戶大額資金被盜劃。

2015年3月11日，趙某分別向銀行反映其5個(gè)銀行卡存款賬戶資金在2015年3月7日至9日期間遭到連續(xù)盜劃二十余次，盜劃金額累計(jì)達(dá)到21.9萬元，期間被屏蔽了手機(jī)動(dòng)賬短信提示。

通過查詢趙某5個(gè)銀行卡個(gè)人銀行結(jié)算賬戶交易流水，發(fā)現(xiàn)其資金通過上海某網(wǎng)絡(luò)支付機(jī)構(gòu)劃至北京一家公司賬戶，系客戶個(gè)人身份信息被不法分子盜取，不法分子冒用客戶在網(wǎng)上注冊(cè)三方理財(cái)公司所致。該盜劃事件的特點(diǎn)在于屏蔽了銀行客戶手機(jī)動(dòng)賬短信提示功能，并關(guān)聯(lián)客戶所有銀行卡個(gè)人結(jié)算賬戶。

經(jīng)各方努力，截至5月，客戶被盜資金全部被追回。

8.不法分子利用支付平臺(tái)從事虛假交易實(shí)施詐騙

廣東省公安機(jī)關(guān)經(jīng)偵部門在偵辦一起涉嫌合同詐騙案件時(shí)發(fā)現(xiàn)，犯罪嫌疑人吳某、文某、曾某等人虛構(gòu)現(xiàn)貨交易平臺(tái)，通過第三方支付機(jī)構(gòu)將被騙群眾賬戶的虧損資金轉(zhuǎn)移至犯罪嫌疑人所控制賬戶非法牟利。

初步統(tǒng)計(jì)兩個(gè)平臺(tái)涉及受害群眾近4000名，涉案金額1億余元。與以往虛假大宗現(xiàn)貨交易平臺(tái)直接收取被害人資金、修改數(shù)據(jù)侵吞錢款的手法相比，這種方式更加隱蔽和難以打擊，應(yīng)予關(guān)注。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。