【文匯網訊】消費不用帶現金,只需打開二維碼輕輕一刷。微信、支付寶等推出二維碼支付給人們的生活帶來了極大的便捷。不過,在享受這種便捷體驗性的同時,二維碼支付也暴露出一些風險。近日,在重慶就發生了消費者使用二維碼支付時資金被盜的案件。雖然用戶被盜資金多為幾百元,警方也成功破了案,被盜刷錢也退還給受害者,但案件仍然引發用戶對二維碼支付的擔憂。
騰訊方面5月27日回復記者稱,對盜刷案件深表歉意,並表示微信支付在持續通過對商戶入駐的嚴格審核及風控額度限制,保障用戶資金安全。
偷掃用戶付款碼盜刷資金
據央視新聞5月26日報道,近日,重慶江北公安分局成功破獲了一起在超市收銀處專門盜刷微信資金案件。4月21日至5月4日之間,四名受害人手持微信二維碼在超市等待付款,被人從背後通過手機掃碼,盜刷500到900元不等的資金。民警已於5月13日將嫌疑人彭某抓獲。
據報道,本案中,作案者專門在超市收銀台附近遊逛,尋找提前拿出付款二維碼準備付款的顧客,再用手機遠程掃瞄一下顧客的付款碼,隨後立即轉身離開,全部過程用時僅十幾秒時間。
據重慶江北公安分局吳警官向記者透露,嫌疑人的盜刷過程是利用一個手機APP,通過這個APP手機就變成了掃碼槍,嫌疑人掃完顧客的二維碼後輸入收款金額,資金立即被盜刷,扣款方名稱顯示為「一站式24小時便利店」,而不是顧客所處的超市名稱。
負責承辦該案件的江北區觀音橋商業區派出所接連接到多起類似報案,後警方通過調取監控錄像,鎖定了嫌疑人,並將其抓獲。吳警官介紹,該嫌疑人一共掃了三筆,每筆都不到1000元,盜竊罪是1000元以上立案,2000元以上處理。「雖然單筆金額不夠刑事處罰,但一年內三次作案就構成了。」
騰訊回應:如被盜可追溯商戶信息
5月27日,騰訊方面針對該案回復記者稱,「對於本次盜刷案件的發生我們深表歉意,目前該案件犯罪嫌疑人已被警方抓獲,並將盜刷費用退還給受害者」。
「為保障支付的安全性,微信支付付款碼時效性限制為1分鐘且僅有一次有效性」,騰訊方面還表示,若不幸遭遇資金被盜,用戶可以通過微信支付的「百萬保障」,申請被盜賠付,或在賬單詳情中投訴,會有專業客服團隊進行處理,確認被盜情況屬實,微信支付會對被盜金額進行全額賠付。
二維碼支付接入商戶的約束方面,騰訊稱,支持付款碼功能的商戶需經過平台嚴格審核篩選並簽訂相關協議,如不幸被盜可通過商戶相關信息追溯,請用戶第一時間報警,微信支付會協助警方進行調查。微信支付在持續通過對商戶入駐的嚴格審核及風控額度限制,保障用戶資金安全。
4問二維碼盜刷
1 二維碼盜刷是怎麼做到的?
上述案件中,嫌疑人是利用一個第三方支付軟件去盜刷別人的付款碼,達到盜刷資金的目的。在該軟件上以商戶身份註冊,即可成為收款商戶。需要收款時,只要掃瞄顧客的微信或支付寶付款碼,然後輸入金額,即可實現收款。在上述案例中,受害者被收款的賬戶名稱均顯示為「一站式24小時便利店」。
由於二維碼免密限額一般為1000元,超過此限額需驗證密碼,因此該案嫌疑人每筆掃碼的金額均在1000元以下。
吳警官表示,在作案過程中,嫌疑人掃完之後馬上就走了,受害人即使當場發現被扣款也來不及了,反應過來的時候周圍就只有排隊的人了。」
在該軟件上註冊商戶需要經過一定資質驗證過程。吳警官介紹,據嫌疑人自述,其註冊的店舖系偽造,正規流程需要商戶提供身份證明、店內照片等,嫌疑人在他人店舖中,趁店主不注意拿著身份證拍了照片,假裝自己是店主,然後用這些照片在軟件上註冊。「軟件的審核流程沒有那麼細,嫌疑人自述的信息裡沒有提到營業執照的問題,只表示很簡單就通過了。」
2 普通用戶掃付款碼能收錢嗎?
在正常的手機支付過程中,顧客出示微信或支付寶的付款碼,商家需要使用掃碼槍或POS一體機等硬件設備來掃碼,才能實現收款。「微信個人間轉賬與商戶付款時出示的二維碼並非同一個,且入口不同」。一位接近卡組織的人士告訴記者,在商戶付款時出示的二維碼是「被掃碼」,「被掃碼」只有商戶的機具可以掃。
記者通過多人間互測也發現,普通手機掃瞄他人的「被掃碼」,頁面會跳轉至空白頁。
一家支付公司人士表示,不排除的一種可能性是商戶管理不嚴,移動POS機被人拿去盜用了。「但是移動POS機要掃碼很困難,那麼大的一個東西,而且必須要很近才能掃到。不排除惡意分子,借助支持微信二維碼的收款APP或者變造設備進行掃碼收款進行盜刷。」
那麼,是否存在把掃碼軟件內嵌在手機中這樣變造設備的可能?上述接近卡組織人士表示,理論上有點難,因為密鑰罐裝是有專門的廠商才有資質的,全國沒有幾個廠商有資質。「如果犯罪分子有這個技術,絕對是黑客級。」
對於警方透露的嫌疑人盜刷二維碼一事暴露出的漏洞,上述卡組織人士認為,可能是第三方商戶管理不嚴所致。一位支付分析人也認為,有些小型支付機構確實存在審核不嚴的問題,這種行為主要是為爭搶商戶。
3 通過二維碼盜刷資金的情況多嗎?
發生二維碼盜刷的概率大嗎?記者通過對周圍的二維碼支付用戶採訪得知,他們沒有經歷過二維碼被盜刷的情況,也沒有聽過說身邊有人被盜刷。
騰訊方面5月27日提供給記者的一份材料稱,二維碼被「隔空盜刷」是出現概率極低的事件,在消費者不知情的情況下,「隔空」盜刷數萬元,基本上不存在。而且在實際生活中,入侵商戶視頻監控設備,是一件技術門檻很高,實際操作起來難度很大。
不過,在現實中,不時有二維碼盜刷的案件見諸報道。本案中盜刷的方式是利用軟件假冒商家,在線下找機會掃他人的付款碼,二維碼盜刷還有其他方式。
一種較為典型的盜刷方式是偷換商家收款二維碼來盜刷。據央視2016年12月報道,廣東佛山發生一起偷換商家二維碼盜刷案件,作案團伙在商家原本的收款二維碼上貼上一個更小的二維碼,這樣顧客掃瞄二維碼付的錢就轉移到了作案團伙的賬戶上。
除了普通商戶可能被偷換收款二維碼之外,常見的還有交通罰單、水電繳費單等二維碼被偷換的案例,甚至包括共享單車上的二維碼。
還有一種方式不屬於直接的二維碼盜刷,而是以二維碼為入口傳播木馬病毒或惡意軟件。2017年就有媒體曾報道過類似案例,作案者發出一張二維碼圖片,稱其中為商品信息或優惠信息,用戶掃瞄之後,二維碼中隱藏的木馬病毒被植入用戶手機中,可能會盜取相關手機上的銀行賬號、支付密碼等信息,造成財產損失。
4 用戶如何保護手機賬戶資金安全?
對於經常使用二維碼支付的用戶來說,怎麼才能保護自己的資金安全?
騰訊在給記者的回復中提醒到,微信支付用戶在付款前可以留意周邊環境,不要提前打開付款碼,付款時再打開付款碼完成支付。
上述接近卡組織的人士也提醒到,一方面用戶可以調低免密支付限額或關掉免密支付,另一方面理論上建議大家改變支付習慣,「不要在排隊的時候就去打開付款碼,而是等快輪到自己交易的時候在做。」此外,建議打開指紋驗證,這樣安全性更高一些。
5月27日,江蘇網警也通過微博發佈提醒:使用二維碼付款時,應注意觀察身後有無可疑人員。同時,廣大市民也可以關閉「免密支付」功能,降低支付安全風險。
如果發生二維碼盜刷造成資金損失,用戶該怎麼辦?
微信方面表示,若不幸遭遇資金被盜,用戶可以通過「我-支付-錢包-安全保障-百萬保障」,點擊「進入賠付流程」申請被盜賠付,或在賬單詳情中投訴,會有專業客服團隊進行處理,確認被盜情況屬實,微信支付會對被盜金額進行全額賠付。
騰訊在提供給記者資料中也提到,支持小額免密功能的商戶經過平台嚴格審核篩選並簽訂了相關協議。如果不幸發生資金被盜,可通過商戶相關信息追溯資金去向。
(來源:新京報)
責任編輯:張岩