网络支付危机:财付通账号屡被盗或存安全漏洞

  10个月过去了,刘亮(化名)还是没有等到财付通的正面回应,而那天早晨的惊心一幕他却一直难以忘记。

  那是一个周二的早晨,他像往常一样打开电脑,立刻登录QQ,“钱袋子”标志在右下角一闪一闪,这是腾讯财付通特有的标志,预示着这是一条关于资金的消息。往日,这里也常常弹出财付通推广业务的广告。刘亮不耐烦地双击鼠标后,弹出的消息让他大吃一惊,“您申请的信用卡还款已经到账。”此前,他并没有通过财付通还过信用卡。通过一连串的紧急查询后发现,前一天晚上7点,财付通账户余额被用以为开户名为张杰的平安银行信用卡还款。

  技术的进步给人们的生活带来了便利,然而伺机已久的黑客们也抓住了这送上门的机会,通过支付体系将黑手伸进网络钱包甚至银行账户里面。来自国内几大互联网安全巨头的最新报告显示,针对支付的病毒正在呈几何倍数增长,黑客盗取用户资金和个人信息手段更隐蔽。

  《中国第三方网络支付安全调研报告》显示,网络支付为人们带来巨大的便利,但它的安全性也一直饱受关注。数据显示,目前在网民面临的各类安全问题中,“账户密码被盗”和“遭遇木马钓鱼”造成资金损失的占比分别达到33.9%和24%,成为网民的头号大敌。

  “身份证可以造假,银行卡可以用假身份证去开户,U盾开户就能转账,手机的SIM卡可以被复制,有时候突然手机没信号,赶紧去看看钱还在不,人过得好紧张。”有网友则戏称这种感觉就像在裸奔。

  谁的责任?

  当用户在使用第三方支付导致资金损失,最终只能用户认倒霉?发现财付通账号资金被盗后,刘亮立即与腾讯客服进行了紧急沟通,客服只做出了修改密码并报警等建议性处理措施,对于提出的款项拦截、冻结对方信用卡账户等要求,腾讯客服给出的回应是,平安银行信用卡还款是即时到账无法进行拦截,冻结对方信用卡进行进一步调查需要报警,警方立案来处理。而刘亮与当地警方联系后,对方告知因数额较低,不够立案标准。

  刘亮不甘心就此罢休,他联系了相关媒体反馈该情况,并通过微博等渠道继续取证。微博搜索发现,在那一周内,就有数个网友在微博中称自己财付通账号被盗。被盗账户金额多数来源于开通快捷支付的银行卡和账户余额;被盗金额多为几百上千元,用于还银行信用卡和购买腾讯虚拟产品。

  在随后的媒体报道中,财付通运营方回应,财付通一直非常重视用户的资金安全,当用户发生资金损失后,财付通客服会第一时间指引用户处理并积极协助用户寻求银行、公安机关等外部资源协助。

  事发3天后,腾讯通过中国新闻网、新华网、光明网等强势媒体渠道散发声明称“腾讯回应称财付通近期未发现批量用户被盗现象”,理由是客服咨询量平稳。

  “多大量用户是批量?不是批量就无需采取措施?丢钱的不是财付通,完全把责任推给用户,这太不负责任。”刘亮说。在他看来,财付通小额被盗,正是犯罪分子抓住小额立案难,单个用户势单力薄,忍气吞声这一特点开展盗窃活动,可能幕后涉案资金数额无法想象。财付通理应通过后台记录,查询小额资金流向,最终主动报案解决。

  几个月来,他多次通过客服渠道反馈这一诉求,但财付通至今没有任何回应。

  疯狂木马

  如果说支付密码被盗,因金额小而最终只能不了了之,那么另一桩因网络支付遭受损失的案例更具有代表性。

  周小琴(化名)是办公室同事中最早开通网银并开始网购的人,而2013年11月的一次帮同事网购经历使她损失惨重。2013年11月18日早上,她通过腾讯旗下第三方支付财付通帮同事支付了拍拍网上购买的2件衣服的款项。当天下午,她接到来自广州的电话,电话称上午购买衣服的订单“卡单”,需要立刻进行退款操作。随后在电话中指引接收QQ传来的名称为“taobao.exe”的文件,并远程退出了360安全卫士等杀毒软件。

  最终问题出现在验证这一流程,“taobao.exe”名义为验证使用,实为木马程序。随后对方要求通过网银支付2块钱验证账户所有权。当2元钱验证通过建设银行(4.14,0.00,0.00%)进行完成的同时对方挂断电话。随后,建设银行短信提醒,账户内的资金被分别支付4200元和630元,这时她才如梦初醒,自己账户被盗了。随后她立刻联系中国建设银行,可惜为时已晚,对方称资金已经划拨,他们无能为力,只能提供资金流向。中国建设银行提供的信息显示,钱已经到第三方支付汇付天下和汇元银通。后经过汇付天下市场部公关经理陆奋芬查询,该笔钱已经达到深圳神机网络科技有限公司账下,汇元银通客服查询的结果也指向这家企业。

  深圳神机网络科技有限公司运营一家名为“开天网”的充值卡及游戏点卡销售网站,网站备案注册在深圳,公司办公地址却在厦门。该公司客服在接到问询后称,钱已经购买了中国移动[微博]充值卡,对方已经通过预留的邮箱提走卡密码,所涉款是其合法收入来源。

  至此,一个密码盗取账户金额、销赃的流程构成一个完成闭环。而在该网站上一处明显的声明中称,“本网站不希望出现任何人利用本网站或因使用本网站而侵犯他人合法权益的行为,但并不保证不会发生此类行为或类似行为。对于因此类行为产生的各类纠纷之任何责任和后果,由相关责任方承担,本网站及其所有者不承担任何责任及后果。”显然,这样的事情并不是个案。

  堵截无望,而另一个渠道也同时进行。北京市通州区某派出所立案警官当场就表示,此类案件太多了,鉴于警力和异地作案等因素,侦破没有多大希望,只能靠未来团伙可能被抓、如有这笔钱才能追回。

  事情已经过去半年,警方没有任何反馈。

  亡羊补牢

  面对遭遇支付安全带来的损失,刘亮当天注销了在腾讯财付通的所有快捷支付银行卡,决定从此告别这一支付渠道。而周小琴则下决心不再帮人支付,甚至放弃网银的使用。可这样的日子并没有持续多久,刘亮在关闭财付通后还继续依赖另一家第三方支付运营商支付宝[微博]。而众所周知的是,支付宝也一直深受账户被盗的困扰,不法分子通过木马病毒截留“快捷支付”时收到的短信,从而对绑定的银行卡进行盗刷,常常见诸报端。周小琴在决心放弃网银后不足10天,就因为要购买回家的火车票而再次使用网上支付。显然,互联网支付已经成为他们生活的一部分。

  国家显然已经开始重视网络支付安全隐患。一个最明显的例子是,3月在财付通和支付宝两家如火如荼地推行二维码支付时,中国人民银行[微博]支付结算司下发暂停函,要求支付宝财付通全面暂停线下条码(二维码)支付。函件中提到,为防范支付风险,相关支付指令验证方式的安全性尚存质疑。

  或者是央行[微博]的暂停让腾讯幡然悔悟,意识到无保障的支付不仅仅给用户带来损失,还将给其业务带来巨大风险。“安全就像水和电一样是移动互联网的基石,尤其在移动支付领域更加重要。”腾讯安全负责人、腾讯公司副总裁丁珂表示。

  最新的消息是,腾讯投入不少于5亿元资金,用于支持“移动支付安全联合守护计划”及腾讯安全实验室运营。

  支付宝则除了不断提高后台的安全防范级别以外,近两年为了增加客户的信任度和黏性,使其服务更加人性化,支付宝也一直在损失补偿上下工夫。

  支付宝2011年推出了快捷支付全额补偿服务,会员账户在不知情的情况下被他人盗用,资金被使用快捷支付方式支出,支付宝将向会员补偿被盗款项。

  2012年支付宝又宣布,只要会员账户进行了实名认证,并绑定手机或者使用了数字证书等安全产品,如因支付宝账号被盗造成账户余额损失,都将由支付宝给予补偿。今年4月份,支付宝引入平安财产保险,建立由保险公司保障第三方支付用户资金的安全机制。财付通也推出全额包赔的服务,并引入中国人保财险[微博]等保险公司进行合作,但只限于快捷支付交易的损失。

  数据显示,2013年第三方支付企业互联网收单交易额规模为59666亿元,2014年第一季度第三方支付企业互联网收单交易额规模为19600亿元,环比增长率为5.1%。2014年第一季度中国第三方支付企业互联网收单交易额份额排名:支付宝、财付通和银联商务分别以47.63%、18.88%和14.07%%占据市场前三位,前三家支付厂商占据超过整个市场80%的市场份额,

  业内专家李烨认为,没有一种支付是100%安全的,互联网及移动支付规模的增长,其交易的安全性需要银行、支付公司、商户、用户等参与各方更加重视。互联网以及移动支付的第三方平台在安全性建设上可以借鉴银行经验。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:震撼攻击视频!6月19日Facebook遭到大量DDoS攻击