警惕！支付宝免密代扣被利用 68人损失超18万

本篇文章3238字，读完约8分钟

明明显示为支付宝的“淘宝店完美认证签约”页面，但在输入密码确认后，我收到了“恭喜，支付宝预扣和开通成功”的通知，之后在不到一分钟的时间内，支付宝连续五次被扣掉200元，全部用于购买北京畅游时代数码科技有限公司(以下简称“畅游公司”)的畅游货币(虚拟游戏货币)，易通意识到自己此时被骗了。

不少淘宝店主都有和易通一样的经历。根据受骗店主的统计，他们的总数超过100人。目前，已有68人登记确认失窃画笔的具体金额，总计超过18万元。大多数店主损失了1000-3000元，但一些店主被骗了更高的金额。

表格的内容是提供给被调查者的

“失窃后，我们多次向支付宝投诉，但都没有成功。原因是支付宝无法识别交易违规，我们仍然不知道犯罪分子是如何获得我们的信息并公开我们的支付宝秘密扣款的。”易通告诉《财经》。

在她看来，秘密扣压功能被犯罪分子所利用。支付宝应该加强这类功能的安全级别验证和风险监控吗？而且在短时间内有如此多的同类欺诈，支付宝应该与商家合作挽回损失吗？另一方面，为什么所有被骗的资金都流向了畅游公司，而畅游公司却没有处理或调查？谁推卸了责任？

“每天都有新人加入由受骗店主组成的微信群。事实上，直到今天，这些不法分子还没有停止欺诈。”另一位受骗的店主刘茶茶也表达了她的担忧。

“李鬼”链接实际上是一个钓鱼网站

上述淘宝店主均收到牛倩应用中伪装成淘宝小二的犯罪分子的图片或链接，“假冒小二”以“淘宝店支付宝认证不完善”为由，要求店主扫描代码或点击链接进入客服认证页面，并表示如果该店未通过认证，将被降级或禁止交易。

图为受访者

图为受访者

“因为淘宝以前经常发店铺评估和认证的消息，这次看情况很正常。我扫描了图片上的二维码，然后跳进了客户服务页面。”易通说道。

然后，所谓的客服会提供一个入口，通过点击完成认证，淘宝店主点击后会进入显示为“支付宝商店信用评分”的页面。易通看到跳转的页面是支付宝，页面上正确显示了他的用户名、手机号码等信息，于是他输入了支付宝密码，完成了最终的认证。

图为受访者

输入完成后，页面不显示“店铺认证完成”等提示，但显示“恭喜，支付宝预扣已成功打开”。显然，伊通在不知情的情况下为某项服务开出了支付宝保密免扣款，随后连续五次扣款200元也证实了这一点。

图为受访者

图为受访者

对于伊通的投诉，支付宝表示“无法识别交易违规”，畅游则表示充值成功，没有退款。虽然一些受骗的店主已经登记并报案，但由于涉案金额太小，很难单独立案。

谁的漏洞？

整个欺诈过程并不复杂，每个链接点击和跳转都没有任何风险警告或拦截，那么输入密码的界面真的是支付宝界面吗？支付宝为什么不能判断交易违规？伊通也对平台和支付宝的安全性提出了质疑。

《财经》。com就上述情况和问题联系了支付宝相关负责人。通过对伊通账户被盗交易记录的技术分析，支付宝给出了相应的事件恢复。

支付宝表示，犯罪分子在畅游官方网站充值畅游币时，可以选择多种支付方式。使用支付宝进行捆绑支付时，可以通过扫描畅游官方网站界面显示的二维码，即“一键式支付”，打开预扣服务，用户无需输入支付宝密码，即可自动扣钱购买畅游硬币。

图为支付宝

图为支付宝

关键是，上图所示的官方扣发和开通二维码被犯罪分子用“淘宝店认证”的客服二维码代替，并立即通过大量牛倩应用发送给淘宝店主。一旦有人认为自己已经用手机支付宝进行了扫描，实际上就相当于用自己的手机扫描并登录了自己的支付宝预扣和开通页面，而非发件人则利用店主的信任，让他们自己完成支付宝登录。

然而，客服和支付宝的“淘宝网店改进认证签约”，实际上是一个假冒的钓鱼页面，通过技术手段取代了真正的畅游官方网站页面，引导淘宝店主扫描登录支付宝后再次输入支付密码，从而完成了整个扣款交易的开通。

左边:支付宝提供右边:淘宝店主提供

成功开通后，犯罪分子使用支付宝的扣款规则进行无密支付，每次充值200元以下(无密支付金额可自行设定，多数情况下默认为200元)，并多次充值，直至当天达到账户无密支付限额。

“事实上，整个支付过程是正常的，不存在非法交易，只有所有者(本人)点击才能看到此网络钓鱼页面。”支付宝相关负责人表示，在整个过程中，用户没有跳转到支付宝应用，而是去钓鱼网站确认密码输入。成功进入畅游平台后，可以按照规定正常扣款，这不是无秘密支付系统的漏洞。此外，该负责人还强调，这种欺诈是一种“广泛传播网络”的方式。事实上，他没有掌握某个用户的个人信息或支付信息，支付宝也没有信息泄露。

为什么在牛倩等平台上广泛传播的网络钓鱼网站链接和图片没有被警告或拦截？

上述人士表示，这部分内容确实需要用户反馈，以便平台能够反向识别相关链接或图片，进而屏蔽相关风险的内容。像微信和其他软件一样，对话中每天都会发送大量的链接和图片，但并非每条信息都能立即被识别。

针对这种情况，支付宝认为这是针对淘宝店主的集体欺诈。通过欺骗店主信任他们，犯罪分子引导他们自己完成付款开立过程，而支付宝不能为这种“欺骗”的情况付款。在被盗的情况下，例如用户的账户在我不知情的情况下被盗，或者支付宝出现问题导致用户财产损失，支付宝将对此承担责任。

然而，怡庭淘宝的所有者不承认支付宝的声明。

易通表示，支付宝的回复是在推卸责任。她向支付宝上诉了三次，其中一次是通过人工判断的，欺诈是真实的，但没有一次上诉成功。什么是非法的？虽然支付平台开通多种支付功能更加方便，但用户财产风险增加，目前的风险拦截措施明显不足。游戏充值平台经常被犯罪分子用作充值渠道，支付宝也应该增加对游戏商家支付的风险预警和监控。

中央财经大学法学院副教授刘全认为，犯罪分子可以通过欺骗用户扫描代码并代其开启支付，轻易地从用户那里窃取大量资金，这表明“无保密支付”存在一定的安全隐患。支付宝的“无秘密支付”功能应该是空，比如设置持续无秘密支付的异常风险预警，或者设置一定的功能约束机制，比如如果在短时间内连续进行几次无秘密支付，可以降低支付金额，或者重启密码支付。必要时，“无秘密支付”可以设置“延迟到达”和“快速恢复”等功能，重点是平衡支付的便利性和资金的安全性。

此外，《财经》。com联系了畅游的官方客服人员，询问用户是否被骗充值，或者平台是否查封了交易账户。畅游表示，如果报警不是我的操作建议，公司将配合警方追回被盗资金并查询被盗账户。

简单地说，只要用户不报警，畅游即使收到这样的投诉也不会做任何相应的处理。

当被《财经》问到。有很多关于被骗或被偷去充值畅游币的投诉吗？如果单个用户的损失金额不足以立案，我该怎么办？畅游客服说，“幸好建议玩家报警。”

关于畅游的处理态度，几位淘宝店主告诉Caijing.com，许多游戏充值平台似乎是此类欺诈犯罪的温床和保护伞，被用作重要的交易渠道。但事实上，公司并不关注这种情况，在接到投诉时也不会主动消除这些混乱的情况。这是一个缺乏社会责任感的企业。

一家游戏公司的业务人员告诉《财经》。网上游戏充值或虚拟游戏货币目前不能直接退款或实现，因为一旦虚拟货币可以退款，就很容易涉及“德州扑克”等赌博问题。然而，虚拟货币和虚拟武器装备并非不可能交易。许多玩家或拥有大量预付卡、虚拟货币和武器装备的人会通过微信、qq、淘宝等渠道在游戏线下进行折价交易。这种欺诈性充值也可能通过这些游戏的“黑市”进行分销。

一名一线办案人员告诉《财经》。昨天收到了类似的欺诈报告，但在实践中，不同的地方可能有不同的备案标准。例如，如果他们(江苏)的人数少于6000人，他们将不会立案调查，因为单个案件中的欺诈金额太小。目前，如果诈骗总额较高，建议几位代表去当地经济调查部门咨询立案，看看如何明确管辖范围以及是否可以合并。

易对等已关闭所有支付宝相关的保密扣款服务。“如果平台和企业联合起来，我相信他们可以抓住这背后的团伙，因为今天他们没有停止欺诈，他们也希望更多的人保持警惕，没有新的人应该加入该集团(欺骗店主)。”

来源：搜狐微门户