網絡支付危機:財付通賬號屢被盜或存安全漏洞
責編:admin |2014-06-24 19:23:4810個月過去了,劉亮(化名)還是沒有等到財付通的正面回應,而那天早晨的驚心一幕他卻一直難以忘記。
那是一個周二的早晨,他像往常一樣打開電腦,立刻登錄QQ,“錢袋子”標志在右下角一閃一閃,這是騰訊財付通特有的標志,預示著這是一條關于資金的消息。往日,這里也常常彈出財付通推廣業務的廣告。劉亮不耐煩地雙擊鼠標后,彈出的消息讓他大吃一驚,“您申請的信用卡還款已經到賬。”此前,他并沒有通過財付通還過信用卡。通過一連串的緊急查詢后發現,前一天晚上7點,財付通賬戶余額被用以為開戶名為張杰的平安銀行信用卡還款。
技術的進步給人們的生活帶來了便利,然而伺機已久的黑客們也抓住了這送上門的機會,通過支付體系將黑手伸進網絡錢包甚至銀行賬戶里面。來自國內幾大互聯網安全巨頭的最新報告顯示,針對支付的病毒正在呈幾何倍數增長,黑客盜取用戶資金和個人信息手段更隱蔽。
《中國第三方網絡支付安全調研報告》顯示,網絡支付為人們帶來巨大的便利,但它的安全性也一直飽受關注。數據顯示,目前在網民面臨的各類安全問題中,“賬戶密碼被盜”和“遭遇木馬釣魚”造成資金損失的占比分別達到33.9%和24%,成為網民的頭號大敵。
“身份證可以造假,銀行卡可以用假身份證去開戶,U盾開戶就能轉賬,手機的SIM卡可以被復制,有時候突然手機沒信號,趕緊去看看錢還在不,人過得好緊張。”有網友則戲稱這種感覺就像在裸奔。
誰的責任?
當用戶在使用第三方支付導致資金損失,最終只能用戶認倒霉?發現財付通賬號資金被盜后,劉亮立即與騰訊客服進行了緊急溝通,客服只做出了修改密碼并報警等建議性處理措施,對于提出的款項攔截、凍結對方信用卡賬戶等要求,騰訊客服給出的回應是,平安銀行信用卡還款是即時到賬無法進行攔截,凍結對方信用卡進行進一步調查需要報警,警方立案來處理。而劉亮與當地警方聯系后,對方告知因數額較低,不夠立案標準。
劉亮不甘心就此罷休,他聯系了相關媒體反饋該情況,并通過微博等渠道繼續取證。微博搜索發現,在那一周內,就有數個網友在微博中稱自己財付通賬號被盜。被盜賬戶金額多數來源于開通快捷支付的銀行卡和賬戶余額;被盜金額多為幾百上千元,用于還銀行信用卡和購買騰訊虛擬產品。
在隨后的媒體報道中,財付通運營方回應,財付通一直非常重視用戶的資金安全,當用戶發生資金損失后,財付通客服會第一時間指引用戶處理并積極協助用戶尋求銀行、公安機關等外部資源協助。
事發3天后,騰訊通過中國新聞網、新華網、光明網等強勢媒體渠道散發聲明稱“騰訊回應稱財付通近期未發現批量用戶被盜現象”,理由是客服咨詢量平穩。
“多大量用戶是批量?不是批量就無需采取措施?丟錢的不是財付通,完全把責任推給用戶,這太不負責任。”劉亮說。在他看來,財付通小額被盜,正是犯罪分子抓住小額立案難,單個用戶勢單力薄,忍氣吞聲這一特點開展盜竊活動,可能幕后涉案資金數額無法想象。財付通理應通過后臺記錄,查詢小額資金流向,最終主動報案解決。
幾個月來,他多次通過客服渠道反饋這一訴求,但財付通至今沒有任何回應。
瘋狂木馬
如果說支付密碼被盜,因金額小而最終只能不了了之,那么另一樁因網絡支付遭受損失的案例更具有代表性。
周小琴(化名)是辦公室同事中最早開通網銀并開始網購的人,而2013年11月的一次幫同事網購經歷使她損失慘重。2013年11月18日早上,她通過騰訊旗下第三方支付財付通幫同事支付了拍拍網上購買的2件衣服的款項。當天下午,她接到來自廣州的電話,電話稱上午購買衣服的訂單“卡單”,需要立刻進行退款操作。隨后在電話中指引接收QQ傳來的名稱為“taobao.exe”的文件,并遠程退出了360安全衛士等殺毒軟件。
最終問題出現在驗證這一流程,“taobao.exe”名義為驗證使用,實為木馬程序。隨后對方要求通過網銀支付2塊錢驗證賬戶所有權。當2元錢驗證通過建設銀行(4.14,0.00,0.00%)進行完成的同時對方掛斷電話。隨后,建設銀行短信提醒,賬戶內的資金被分別支付4200元和630元,這時她才如夢初醒,自己賬戶被盜了。隨后她立刻聯系中國建設銀行,可惜為時已晚,對方稱資金已經劃撥,他們無能為力,只能提供資金流向。中國建設銀行提供的信息顯示,錢已經到第三方支付匯付天下和匯元銀通。后經過匯付天下市場部公關經理陸奮芬查詢,該筆錢已經達到深圳神機網絡科技有限公司賬下,匯元銀通客服查詢的結果也指向這家企業。
深圳神機網絡科技有限公司運營一家名為“開天網”的充值卡及游戲點卡銷售網站,網站備案注冊在深圳,公司辦公地址卻在廈門。該公司客服在接到問詢后稱,錢已經購買了中國移動[微博]充值卡,對方已經通過預留的郵箱提走卡密碼,所涉款是其合法收入來源。
至此,一個密碼盜取賬戶金額、銷贓的流程構成一個完成閉環。而在該網站上一處明顯的聲明中稱,“本網站不希望出現任何人利用本網站或因使用本網站而侵犯他人合法權益的行為,但并不保證不會發生此類行為或類似行為。對于因此類行為產生的各類糾紛之任何責任和后果,由相關責任方承擔,本網站及其所有者不承擔任何責任及后果。”顯然,這樣的事情并不是個案。
堵截無望,而另一個渠道也同時進行。北京市通州區某派出所立案警官當場就表示,此類案件太多了,鑒于警力和異地作案等因素,偵破沒有多大希望,只能靠未來團伙可能被抓、如有這筆錢才能追回。
事情已經過去半年,警方沒有任何反饋。
亡羊補牢
面對遭遇支付安全帶來的損失,劉亮當天注銷了在騰訊財付通的所有快捷支付銀行卡,決定從此告別這一支付渠道。而周小琴則下決心不再幫人支付,甚至放棄網銀的使用。可這樣的日子并沒有持續多久,劉亮在關閉財付通后還繼續依賴另一家第三方支付運營商支付寶[微博]。而眾所周知的是,支付寶也一直深受賬戶被盜的困擾,不法分子通過木馬病毒截留“快捷支付”時收到的短信,從而對綁定的銀行卡進行盜刷,常常見諸報端。周小琴在決心放棄網銀后不足10天,就因為要購買回家的火車票而再次使用網上支付。顯然,互聯網支付已經成為他們生活的一部分。
國家顯然已經開始重視網絡支付安全隱患。一個最明顯的例子是,3月在財付通和支付寶兩家如火如荼地推行二維碼支付時,中國人民銀行[微博]支付結算司下發暫停函,要求支付寶財付通全面暫停線下條碼(二維碼)支付。函件中提到,為防范支付風險,相關支付指令驗證方式的安全性尚存質疑。
或者是央行[微博]的暫停讓騰訊幡然悔悟,意識到無保障的支付不僅僅給用戶帶來損失,還將給其業務帶來巨大風險。“安全就像水和電一樣是移動互聯網的基石,尤其在移動支付領域更加重要。”騰訊安全負責人、騰訊公司副總裁丁珂表示。
最新的消息是,騰訊投入不少于5億元資金,用于支持“移動支付安全聯合守護計劃”及騰訊安全實驗室運營。
支付寶則除了不斷提高后臺的安全防范級別以外,近兩年為了增加客戶的信任度和黏性,使其服務更加人性化,支付寶也一直在損失補償上下工夫。
支付寶2011年推出了快捷支付全額補償服務,會員賬戶在不知情的情況下被他人盜用,資金被使用快捷支付方式支出,支付寶將向會員補償被盜款項。
2012年支付寶又宣布,只要會員賬戶進行了實名認證,并綁定手機或者使用了數字證書等安全產品,如因支付寶賬號被盜造成賬戶余額損失,都將由支付寶給予補償。今年4月份,支付寶引入平安財產保險,建立由保險公司保障第三方支付用戶資金的安全機制。財付通也推出全額包賠的服務,并引入中國人保財險[微博]等保險公司進行合作,但只限于快捷支付交易的損失。
數據顯示,2013年第三方支付企業互聯網收單交易額規模為59666億元,2014年第一季度第三方支付企業互聯網收單交易額規模為19600億元,環比增長率為5.1%。2014年第一季度中國第三方支付企業互聯網收單交易額份額排名:支付寶、財付通和銀聯商務分別以47.63%、18.88%和14.07%%占據市場前三位,前三家支付廠商占據超過整個市場80%的市場份額,
業內專家李燁認為,沒有一種支付是100%安全的,互聯網及移動支付規模的增長,其交易的安全性需要銀行、支付公司、商戶、用戶等參與各方更加重視。互聯網以及移動支付的第三方平臺在安全性建設上可以借鑒銀行經驗。