文:第一财经日报 李德尚玉

“据统计,2014年至今,人民银行全系统金融消费权益保护部门受理的网络支付类投诉占互联网金融类投诉的95.06%。”近日,央行有关人士向《第一财经日报》透露。

上述央行人士向《第一财经日报》介绍:今年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,截至7月31日由于伪卡形成的损失已达3900多万元。

近年来,通过非银行支付机构办理支付业务的客户资金风险案件频发,暴露出部分支付机构一味追求支付便捷而忽视支付安全、支付系统存在严重漏洞、客户资金安全和信息安全难以得到有效保障等问题。

  

1、支付机构违规提供接口为赌博网站提供支付服务

  

非银行支付机构(下称“支付机构”)服务电子商务发展和为社会提供小额、快捷、便民的小微支付服务,适应公众日益增长的个性化、差异化支付需求,近年来网络支付服务得到快速发展。但支付机构在迅速发展的过程中,相关问题和风险不断显现,消费者未能得到有效保护。

2015年11月17日,媒体报道一家名为“博狗”的境外赌博网站可使用银联在线支付和支付宝支付进行赌博交易,经调查,该赌博网站利用支付机构对特约商户管理漏洞,通过非法连接支付机构正常商户支付接口实现涉赌资金网上收付。其中,该网站所显示的“银联在线支付”图标系冒用,支付宝通道由支付宝特约商户“深圳市乐华晟贸易有限公司”提供。实际的支付路径为支付宝、汇潮支付有限公司、上海汇付数据服务有限公司、宝付网络科技(上海)有限公司和智付电子支付有限公司收单后直送发卡行网银处理或由银联转接清算。至调查时,涉事收单机构已关闭了涉事商户的交易权限,进一步的风险处置正抓紧实施。该情况属于典型的支付机构对特约商户交易行为监控和管理不力,导致特约商户支付接口滥用,为赌博资金提供了便利。

“目前,支付账户普遍未落实账户实名制,挪用客户资金事件时有发生,网络支付疏于安全管理,消费者缺乏权益保护意识。”上述央行人士提醒消费者,在使用网络支付等服务时应提高自我保护意识和风险识别能力。

  

“在追求和享受支付便捷性的同时,消费者忽视了自身金融信息的保护,对支付业务内在风险的警惕性不足,风险不断积累。伴随着日益频繁的支付活动,个人支付信息泄露风险大大增加,消费者面临更大的资金被盗和欺诈风险。”该央行人士说。

2、支付机构对商户资质审核不严,导致接入欺诈类交易平台商户

  

日前,公安机关侦办了一起涉嫌利用虚假现货交易平台实施诈骗的案件,暴露出支付机构对商品现货交易平台类商户审核不到位、风险监测不力、支付账户设置和管理隐含法律风险等隐患。犯罪嫌疑人成立电子商务类公司,虚构“XXX大宗商品现货交易平台”等现货交易平台,通过征召多个一级代理商招揽群众参与平台交易。在被骗者刚开始投入小额资金试探阶段故意让其盈利,待其投入大额资金时,通过后台人为操纵造成被骗者亏损。虚拟现货交易平台通过与部分支付机构签订协议完成资金划转、虚假现货平台事先购买他人开立的多个银行卡账户并以他人名义参与交易。当其通过后台人为操纵造成被骗者亏损时,亏损金额通过支付机构从被骗者银行卡账户或支付账户转入犯罪嫌疑人控制的、事先购买并设置的银行卡账户。据统计,两个平台受害群众达到数千名,涉案金额过1亿元。

近年来,通过非银行支付机构办理支付业务的客户资金风险案件频发,暴露出部分支付机构一味追求支付便捷而忽视支付安全、支付系统存在严重漏洞、客户资金安全和信息安全难以得到有效保障等问题。

  

3、擅自开放代扣接口给外部平台,导致客户银行账户资金无端被扣划

《第一财经日报》从权威人士处获悉了近年来部分支付机构风险事件案例,并汇总整理部分风险事件摘编如下:

  

2015年发生多起用户银行存款莫名消失的情况,来自湖北的罗先生的银行卡先被存入1.61元,紧接着***收到的短信提示显示卡里剩余的近8万元被人悉数转走,几乎是1分钟转走1万元,10分钟全部转完。经过调查分析,发现这些交易是由于一些支付机构滥用跨行代扣接口导致的。按照行业惯例,代扣接口一般用于水电煤、保费等小额定期支出,不能用于投资理财之类的大额划账。但是,近几年一些支付机构在与商户建立“代收业务”合作关系时,不履行尽职调查义务,对商户准入资格,资金交易的真实背景、被扣款主体的意愿及身份信息疏于审核验证,导致不法分子通过伪造客户签名和委托扣款协议成功扣划客户银行存款,将风险从支付机构向商业银行扩散转移。

1.利用黑客手段盗取支付宝客户资金系列案

  

4、互联网金融平台借助第三方支付非法吸存

2015年6月,珠海市公安机关侦破一宗横跨广东、黑龙江、四川、上海和浙江等5省(市)的特大利用黑客手段盗取支付宝资金系列案件,打掉一个非法买卖公民个人信息、制作扫描探测软件和实施网络套现的犯罪团伙,抓获关键犯罪嫌疑人6名,缴获作案计算机等工具一批。

  

目前,根据公安机关反映,在利用p2p平台非法吸存或在未取得行政许可非法设立期货交易平台等犯罪案件中,犯罪分子将平台接入支付机构,在第三方支付机构开立支付账户,由支付机构为客户提供支付通道,资金汇集后仍由平台直接掌控账户资金。如德州公安机关侦办的“财益创投”非法吸存案件中,犯罪嫌疑人宣某注册成立乐陵市鑫广源投资管理咨询有限公司并建立P2P平台,该平台在多家第三方支付公司设立支付账户后非法吸存。菏泽公安机关侦办的“雅戈创投”P2P平台非法吸存案件中,接入宝付公司设立账户归集资金。此外部分P2P平台借助投资人追求资金安全的心理,大肆宣传与第三方支付机构开展资金托管、平台无法触碰项目投资资金、资金直接划转到借贷项目企业等虚假内容,而平台却通过制作虚假标的文书、转移截流投资资金。如济南公安机关侦办的上咸投资有限公司非法吸存案件中,该平台采用上述手段于2013年至2014年期间反复制作虚假投资标的非法吸存。

  

5.快捷支付系列风险案件

  

该案是比较常见的支付账户盗窃案件,犯罪嫌疑人通过网上购买他人提供的账号、密码信息,使用扫号软件批量测试是否与支付机构支付账号、密码一致,比对成功后实施盗窃。公安部门初步查明,犯罪嫌疑人涉嫌盗窃支付宝账户117个,涉案金额7万余元。

此外,嫌疑人电脑硬盘中存储各类公民个人信息40多亿条,涉及支付宝、京东和Paypal等支付账户达1000多万个,初步估算账户涉及资金近10亿元。

近年来快捷支付在网络支付业务中应用广泛。快捷支付仅需要客户的少量身份信息、卡号和***即可开通,之后凭借***短信验证即可实现资金快速的扣划。快捷支付的低门槛和便捷性同时带来了较高的风险,由于***病毒泛滥、客户个人信息自我保护意识不足,***码实名制管理有待加强,因此快捷支付成为不法分子盗取客户资金的重灾区。与此同时,支付机构违规在未取得银行授权、且客户未经银行核实真实意愿的情况下即与客户签订快捷协议,扣划客户资金,进一步加剧了快捷支付业务的风险。以下是一些由于客户主客观原因导致个人信息泄露后,支付机构没有严格履行监管要求从而导致客户资金被盗的典型案件:

2.内鬼泄密20G海量用户信息被盗卖

  

案件(1):假冒银行工作人员,获取银行卡信息

  

2013年11月27日,某支付公司内部一员工因伙同他人多次以批量出售的方式泄露用户信息被杭州当地警方逮捕。

据该涉案嫌疑人交代,他曾经是该支付公司技术员工,利用工作之便,在2010年分多次在公司后台下载了公司用户的资料,资料内容超20G。

随后伙同两名外部人员,以500元3万条的价格将用户信息多次出售予电商公司、数据公司。这些用户资料,包括公民个人的真实姓名、***、身份证号、电子邮箱、家庭住址、消费记录等。

据其供述,仅最大买家服装类电商V公司就曾通过该团伙一次性购买用户资料1000万条。不过V公司一位副总裁表示并不清楚此事。支付公司方面则承认确有内部员工盗卖用户信息案,一名负责人称:“不得不承认,我们在管理上出了一些问题。”

2015年8月,陆先生接到一个号称平安银行工作人员的***,说可以给他的信用卡提高额度,按照他们提示把***收到的动态密码告知了“平安银行工作人员”,结果该银行卡内资金被扣刷,后陆先生和银行取得联系,发现该笔资金已通过某支付公司网站扣划。该案中支付机构未取得银行授权即与客户签订快捷协议,不符合监管规定。

  

案件(2):伪造银行短信,利用虚假网站扣划持卡人资金

3.支付公司未履行安全保障义务导致消费者购物款被盗转

  

2014年7月张先生在某购物网站上和卖家协商购买价值27500元的照相机一台,双方约定分多笔交易付款。后根据支付机构网页提示登录到网上银行进行付款操作,收款方名称为:XX支付科技有限公司。

2015年7月,孙女士收到95533的短信提示,提示内容为积分兑换,后孙女士根据短信提示的***网站(GOQCFR.COM),输入身份证号码、银行卡号、姓名、银行卡密码,之后就收到银行的扣款短信。后持卡人通过银行得知钱是由某支付公司扣取,经公安查明,孙女士是登陆的是一个虚假网站,不法分子利用孙女士填写的信息开通快捷支付将资金转移。

  

案件(3):植入***木马盗取客户资金

  

2015年11月,席女士名下建设银行储蓄卡,在某支付机构开通快捷支付,向该支付账户中充值5000元,并在充值成功后5分钟之内发起多笔向他人银行卡转账的操作尝试。席女士在交易发生前***收到一条“10086”发来的短信,内容为“预存话费,存100返300,详情点击链接......”客户点击链接后导致***中木马无法收到短信而被盗刷。经查在签约快捷支付时有***校验码发送记录,且客户***详单中显示当时客户***有往陌生号码转发短信的记录,该案件是典型的客户***中木马后短信被转移的案件。

  

案件(4):通过贷款获取持卡人信息,盗取资金

付款后该购物网站显示“等待买家付款中”,张先生到银行查询,被告知钱款已经打到支付机构。后张先生发现打入支付机构的钱款被转入另外一个工商银行账户,而此账号并非本次交易卖方的账户。

  

按照支付机构交易规则,在买方没有确认收货前,支付机构不能将货款转出。张先生诉至人民法院,认为该购物网站和支付机构作为交易平台的提供方和第三方资金管理方,未尽到安全管理义务,致使己方购物款被盗转,要求法院判决该购物网站和支付机构赔偿其相应损失。

2015年10月,四川吴先生致电某支付公司客服反映自己名下农业银行借记卡,在该平台发生2笔1999元的快捷支付交易;经查该银行卡签约快捷预留的***归属地为北京,与客户实际生活居住地不一致,吴先生表示自己在银行卡被盗刷之前从网上申请了贷款,按照对方提示办理了一张农行借记卡,将对方提供的***码预留在银行系统,并将身份信息、银行卡信息均提供给了对方。诈骗分子利用替客户完成贷款或信用卡审核等为借口,诱骗持卡人在银行预留其指定的***码,成功开通快捷支付并完成盗刷。

  

案件(5):客户***码被替换导致客户银行卡被盗刷

经法院查明,支付机构未将货款转入卖方而转入他人账户,法院认定支付机构未尽到安全注意义务。其经营的网络系统、服务器和程序的安全性不足,或他人利用网络技术非法入侵,均有可能导致张先生的财产受到损失。最终法院判决支付机构应赔偿张先生相应损失,共计20129元。

4.网络融资平台用户资金被盗案

  

近日,务工人员小张在网络上看到某代办信用卡的信息,联系到代办人刘某,并按刘某要求提供了个人身份证号、银行卡号等信息,随后,其银行卡内的10000元资金被转走。经查询,资金是通过某支付平台转出的。不法分子作案手法如下:第一步,以代办信用卡需要证明申请人的“财力”为由,要求小张新办理一张借记卡,并至少存入15000元;第二步,以方便“验资”等借口,要求小张在办理借记卡时填写指定的***为预留号码,并要求提供办卡人的身份证号和银行卡号;第三步,不法分子巧妙利用某支付平台的交易规则,根据小张提供的银行卡号、身份证号等信息申请绑定银行卡,并通过指定的***码接收验证码,完成支付账户对银行卡的绑定,盗取资金。

  

以上案件均是客户信息被盗取后资金被迅速转移,如果支付机构能够严格按照监管规定,在客户开通快捷支付时,分别取得客户和银行的授权,同时要求客户在与支付机构签约的同时,与商业银行独立签约,在客户信息泄露的情况下,依然能够避免大部分资金损失的状况,更好的保护客户资金安全。

2012年11月,上海陆家嘴国际金融资产交易市场股份有限公司(下称“陆金所”)运营的“稳赢”融资交易平台,部分用户600余万元资金被盗。

  

6、支付账户“被关联”,网友表示“有点慌”

  

经初步查明,犯罪分子通过买来的某银行600余万条账户信息,将储户账户绑到“陆金所”交易平台,并通过该平台将资金转移到用假军官证开立的同名银行账户,利用“稳赢”网络融资交易平台绑定银行账户时无需提供密码且可一人同时绑定多个账户的漏洞,通过支付机构以购物退款的方式将资金转移到其实际控制的他名银行“网络账户”,以达到其转移赃款的目的。

2015年10月10日,新浪微博某网友发布长微博,反映他无意间发现自己在2010年完成了身份证信息、银行卡信息认证的支付机构实名账户下,多出了5个未知账户。作为账户主体,他完全不知道是在什么时候出现了这5个绑定账户,也完全没收到任何形式的确认或是告知信息。而通过实名认证的支付账户可以进行保险、贷款等多项服务,危险系数较高。他马上联系了该支付机构线上客服及官方客服***反映情况,客服回应称该机构下支付账户绑定功能没有短信、邮件、站内通知等形式的实时通知,需要用户自己登录查看实名账户绑定情况,个人账户被他人绑定了子账户,需要申诉解除绑定,目前解绑功能的开发尚在研究中。该网友对此回应表示难以接受,在尝试使用自助服务申请解绑的过程中被告知“暂不能进行身份占用申诉”。因此在长微博的最后,他提出该支付机构实名认证系统存在重大漏洞,在当前仅凭身份信息就认定账户所属且不发出通知的行为“难免太儿戏了”。此次事件马上在网络上引起热议,网友们纷纷表示:“有点慌,吓得我赶紧打开支付账号检查一下。”经了解,不少用户表示“中招”了,已***联系该支付机构要求进行解绑,用户朱小姐提出“希望能尽快提供自助解绑的功能”。随后该支付机构微博发布声明:已对所有认证账户进行系统核查,对可能存在的异常关联认证情况进行了释放处理。

该案件暴露了以下几方面的问题:一是银行违反账户管理规定和实名审核要求,开立假名账户;二是支付机构账户实名制落实不到位,对特约商户管理不严,为洗钱犯罪提供了通道;三是部分网络交易平台存在安全漏洞,用户在网络融资平台注册的验证手续过于简单,且在绑定银行账户时未经银行验证。

5.网店店主利用某支付公司漏洞制作营业执照盗取资金

  

2014年3月5日,两名嫌犯张某、刘某利用某支付公司网上平台在账户改密业务中的漏洞,盗刷数家企业在该支付公司支付账户内的资金共20余万元。因涉嫌盗窃罪,目前他们被海淀区检察院批准逮捕。

7、乌云平台曝支付机构系统漏洞,客户信息面临风险

张某、刘某一起在某购物网站上开店。在开店过程中,二人发现修改其网店的支付账户用户名和密码时,只需在网上向该家支付公司客服提交电子版营业执照即可,由于客服对电子版营业执照的审核不严,很容易受理通过。二人发现这一漏洞后,就采取PS技术,伪造其他公司的电子版营业执照,提交修改密码申请,进而控制账户并盗窃资金。

2015年10月24日,乌云平台发布某第三方支付机构系统漏洞,发现只需一个***即可查到账户资金变动信息(包括余额、工资、资金明细、转账验证码等)。此漏洞主要涉及银行卡交易短信日志风险,目前已得到涉事支付机构的确认。业内人士评论称,尽管从目前情况看该漏洞主要涉及对已发送短信的查看而不是实时账务,但账户余额、***及卡片尾号后四位数据泄露有可能会引发针对性诈骗。

6.快捷支付验证不足导致的客户资金被盗案件

托人代办信用卡的李先生由于将银行预留***码、身份证与储蓄卡的高清照片都泄露给了骗子,尽管存款当天便惊醒回神,迅速去银行柜面关闭网银并更改预留联系方式,但仍未能避免三日后卡内现金被悉数盗刷而空的命运。更让李先生气愤的是,此番快捷支付扣除他的款项,竟无需经过他银行卡支付密码的验证。

记者获悉,开通快捷支付业务并不繁琐,只需在支付机构快捷支付页面提供本人的姓名、身份证号码、银行卡号以及银行预留***等有效个人信息,即可快速开通,而后期支付时也无需经过原有银行卡的支付密码验证,只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。

而对于为何支付转账等走款流程要越过银行卡支付密码的环节,支付机构方面则对记者表示:“这是国际上的规定和惯例,不允许在网上支付的时候输入银行卡密码。”

来源:中金在线

支付百科-坚持原创、央行解密、支付小道!

选择右上角●●●选分享或者订阅!支付百科是WeMedia成员,全体覆盖用户3000万!每周一篇调查、深度、曝光、八卦、知识没你想不到,有你看不到!您觉得不错就分享吧!亲的分享是我们的动力喔!

请长按下图选识别二维码订阅

快捷支付业务模式里,银行的服务界面被屏蔽在客户的支付流程之外,银行从用户支付结算的前台,退到了代理第三方清算的后台,只扮演‘账房先生’的角色,被动地处理来自支付机构的指令,不再认证用户的身份,不再掌握用户的支付行为。当用户的银行卡忽然在不知情的某天被绑上了别人的快捷支付,且未经自己银行卡支付密码的验证便被刷走卡内所有现金,这种惊心动魄的切身体验是否还会让你继续一往无前地依赖那种“方便”与“快捷”?

盘点:部分支付机构网络支付风险案例看看网络支付八大风险案例 长点心吧!(图1)

7.利用网络支付平台盗划银行卡资金案

2015年3月,中国人民银行四川省射洪县支行相继接到商业银行金融重大事项报告,称其客户赵某个人银行结算账户大额资金被盗划。

2015年3月11日,赵某分别向银行反映其5个银行卡存款账户资金在2015年3月7日至9日期间遭到连续盗划二十余次,盗划金额累计达到21.9万元,期间被屏蔽了***动账短信提示。

通过查询赵某5个银行卡个人银行结算账户交易流水,发现其资金通过上海某网络支付机构划至北京一家公司账户,系客户个人身份信息被不法分子盗取,不法分子冒用客户在网上注册三方理财公司所致。该盗划事件的特点在于屏蔽了银行客户***动账短信提示功能,并关联客户所有银行卡个人结算账户。

经各方努力,截至5月,客户被盗资金全部被追回。

8.不法分子利用支付平台从事虚假交易实施诈骗

广东省公安机关经侦部门在侦办一起涉嫌合同诈骗案件时发现,犯罪嫌疑人吴某、文某、曾某等人虚构现货交易平台,通过第三方支付机构将被骗群众账户的亏损资金转移至犯罪嫌疑人所控制账户非法牟利。

初步统计两个平台涉及受害群众近4000名,涉案金额1亿余元。与以往虚假大宗现货交易平台直接收取被害人资金、修改数据侵吞钱款的手法相比,这种方式更加隐蔽和难以打击,应予关注。



选择右上角●●●选分享或选择订阅!

坚持原创、海外资讯、央行解密

支付百科是WeMedia成员,全覆盖3000万

每周一篇调查、一篇深度、一篇曝光、一篇八卦、一篇知识,没你想不到,有你看不到,如果您觉得不错,请分享到朋友圈或群中,亲的分享是我们持续的动力!

请长按下图选识别二维码订阅

盘点:部分支付机构网络支付风险案例看看网络支付八大风险案例 长点心吧!(图2)