支付寶“花唄”網(wǎng)購騙局：缺乏安全驗證或致泛濫？

寫在前面：

各種創(chuàng)新，尤其涉及用戶資金安全的創(chuàng)新，到底應該“又安全又快捷”，還是“又快捷又安全”？

到底是安全在前，還是快捷在前，對于大多數(shù)用戶來說，在沒有遭受損失或陷入騙局前，似乎覺得應該快捷優(yōu)先，而一旦碰到一次被騙，則認為安全才是最重要的。

對于支付機構(gòu)來說，快捷當然好，但是，保障安全才是最基礎最重要的，如果快捷支付不夠安全，就需要盡早填補驗證漏洞，讓快捷變得更安全才行。

文/李俊慧（微信公眾號：lijunhui0507）

“3萬億元”。

這是阿里巴巴在2016財年(2015年4月-2016年3月)的成交總額。這個數(shù)字已經(jīng)是2015年中國社會消費品零售總額30萬億元的十分之一。

從0到3萬億，阿里巴巴用了13年時間，而從3萬億到6萬億，阿里巴巴希望僅用4年時間里就完成。

阿里巴巴的勃勃雄心由此可見一斑。

只不過，在阿里巴巴常年高速增長、成交屢創(chuàng)新高、支付花樣繁多的背后，用戶的資金安全或支付安全保障是否也得到同等程度的加固或健全，則令人生疑。

事實上，對于這“3萬億”的交易額中，有多少比例屬于“刷單”造假的，還有多少比例屬于“盜刷”騙錢的，阿里巴巴沒公布，我們也不得而已。

但是，我們必須看到，伴隨電商交易蓬勃發(fā)展，以及類似“花唄”、“快捷支付”等各類創(chuàng)新支付手段的出現(xiàn)，讓以“刷單”方式刷信譽、以“盜刷”方式騙錢財的不法交易或詐騙案例大幅激增。

那么，在這些“虛假”交易或資金“黑洞”之中，包括阿里巴巴等在內(nèi)的各大電商平臺是否及時加固了支付安全防線？對于包括“盜刷”在內(nèi)的各類交易騙局，各大平臺又該如何幫助用戶及時挽回損失？

“花唄”騙局：“一群騙子被另外一群騙子給騙了？”

按照“花唄”的官方介紹，螞蟻花唄是由螞蟻金服提供給消費者“這月買、下月還”的網(wǎng)購服務。

從字面看似乎是“網(wǎng)購服務”，而從實際使用上則是類似信用卡的消費結(jié)算服務，只不過，不具備“取現(xiàn)”功能。

而以“花唄被騙”為關鍵詞進行QQ群查找，可找到數(shù)十個群。在這些群里面，聚集了大量使用支付寶“花唄”被騙的用戶，被騙金額從幾千元到幾萬元不等。

通過觀察，在這些被騙的用戶中，主要分為三類：1）“花唄”套現(xiàn)被騙的。此部分用戶原本是計劃通過“花唄”支付變相套現(xiàn)，結(jié)果碰到騙子，支付完就被對方“拉黑”了;2）“花唄”刷單被騙的。此部分用戶原本以為是幫人“刷鉆”刷信用的刷單交易，結(jié)果付完款之后，發(fā)現(xiàn)被騙了。3）支付寶被盜號后發(fā)生的消費付款。

其中，就前兩類用戶來說，這些用戶起初主觀上就有“變相套現(xiàn)”或“刷單賺錢”的不良目的或需求，所以被騙后，會讓人感覺是一群“騙子”被另外一群騙子給騙了。

而這些被騙用戶的支付流程或步驟來看，不論是用戶自行輸入賬號密碼完成付款，還是被不法分子盜取賬號密碼后完成付款，抑或是不法分子遠程操控用戶電腦完成付款，在這些所有支付的過程中，都欠缺輸入短信驗證碼“二次確認”的環(huán)節(jié)。

尤其是對于被盜號或遠程操控的用戶來說，由于沒有“驗證碼”確認支付請求與用戶本人支付的一致性和真實性，給用戶的資金安全帶來重大的隱患。

當然，此環(huán)節(jié)的缺失，對那些“套現(xiàn)”或“刷單”的用戶來說，也少了一次提示風險、避免被騙的機會。

更重要的是，對于此“隱患”或“漏洞”，對于包括支付寶等在內(nèi)的各類第三方支付來說，不僅是可以預見的，而且應該已收到過很多投訴。

但在明知已有此“漏洞”或“缺陷”時，僅僅為了“支付快捷”的體驗而犧牲“支付安全”的保障，支付寶為何不及時補上“驗證碼”缺失漏洞，則有點令人費解。

即時付款：支付寶跨平臺結(jié)算致安全機制“形同虛設”

作為支付工具或渠道，支付寶并不滿足于僅在阿里巴巴體系內(nèi)承擔支付收款的角色，它不僅大力拓展線下支付場景，也在全面豐富在線支付的范圍，比如包括亞馬遜、大眾點評、美團等在內(nèi)的眾多電商平臺均已支持使用支付寶進行結(jié)算。

與此同時，最初定位為淘寶、天貓店鋪等阿里巴巴體系內(nèi)的信用消費結(jié)算的“花唄”支付結(jié)算使用范圍也已拓展至大多數(shù)主流電商平臺之中。

而一旦脫離開阿里巴巴體系，在其他電商平臺上提供支付結(jié)算服務時，支付寶則成為與銀行卡等支付相并列的支付手段，其支付效果與銀行卡轉(zhuǎn)賬類似，屬于“即時付款”，輸完密碼資金就立即轉(zhuǎn)賬至商家賬戶。

而這個跨平臺結(jié)算“即時付款”的特點，也恰恰成為各類不法分子借機設置騙局的絕佳場景。

在這些騙局中，不法分子會選擇QQ等工具，給支付寶用戶發(fā)送一個短鏈接，而此類短鏈接或是釣魚網(wǎng)站頁面或是直接的支付寶結(jié)算頁面，很多用戶點開后輸入賬號密碼，或被盜取賬號密碼或被誤導支付。

尤其值得注意的是，在此類跨平臺結(jié)算支付場景下，用戶無需登錄，只需要輸入支付寶用戶名和支付密碼就完成了付款確認操作。

#FormatImgID_4#

而這使得支付寶最有保障力度的“擔保支付”成為泡影，同時，免登陸式即時付款雖提高了支付效率，卻同時給用戶增加了風險。

事實上，在前述“花唄”被騙的案例中，由于缺少手機驗證碼“二次確認”支付，很多用戶因此上當受騙，并認為支付寶需要承擔一定的責任。

而由于“花唄”屬于預消費模式，這些被騙的用戶在確認被騙后，一方面，希望支付寶及時“止付”或“撤回”，減少損失;另一方面，如果支付寶無法“追回資金”，他們大都陷入“拒絕還款”的僵局中。

奇葩設計：支付快捷，但關閉“花唄”功能需二次確認

誠如前述，當前使用支付寶“花唄”跨平臺支付結(jié)算時，僅需要支付寶賬號和密碼即可完成支付，無需手機驗證碼“二次確認”，非常簡單、快捷。

而當用戶要關閉“花唄”功能時，則需要用戶二次確認才能徹底關閉“花唄”功能。

簡單說，對于用戶資金安全至關重要的支付環(huán)節(jié)，支付寶不給用戶提供“二次確認”，反倒是用戶要關閉服務對自己資金安全沒有任何影響時，還需要用戶“二次確認”。

這種“奇葩設計”也多少說明了在資金安全保障與用戶開通使用服務之間，支付寶似乎更看重后者。

與此同時，在《支付寶服務協(xié)議》中存在很多“霸王條款”，讓用戶在發(fā)生被盜刷、盜號時無法及時獲得救濟，并增加了用戶維權溝通的難度。

比如，對于“未發(fā)送驗證短信”等，支付寶約定免責。《支付寶服務協(xié)議》約定，本公司會以網(wǎng)站公告、電子郵件、發(fā)送到該手機的短信、電話、站內(nèi)信或客戶端通知等方式向您發(fā)送通知，例如通知您交易進展情況，或者提示您進行相關操作，您應及時予以關注。但本公司不保證您能夠收到或者及時收到該等通知，且對此不承擔任何后果。

再比如，對于“密碼被他人破解”等明顯不屬于客戶原因的盜號，支付寶也約定免責。《支付寶服務協(xié)議》還約定，“不按照交易、支付提示操作，未及時進行交易操作，遺忘或泄漏密碼、校驗碼等，密碼被他人破解，您使用的計算機或其他硬件、終端等被他人使用、被他人侵入或丟失，或您使用的軟件被他人侵入，或者您的生物特征被他人利用”都屬于用戶過錯或過失，因此導致的任何損失由用戶自行承擔。

事實上，根據(jù)《非銀行支付機構(gòu)網(wǎng)絡支付業(yè)務管理辦法》第十九條規(guī)定，“支付機構(gòu)應當建立健全風險準備金制度和交易賠付制度，并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時先行全額賠付，保障客戶合法權益。”

簡單說，對于不能確認因客戶自行泄露用戶名、登錄密碼及以及密碼導致被賬戶被盜刷或消費支付的，即使用戶沒有購買所謂支付安全保險，支付寶作為支付機構(gòu)也是“先行賠付”第一責任人。

這使得發(fā)生盜刷后，即使投訴到支付寶，被騙用戶還是處于劣勢地位，很容易被拒絕賠付。

此外，對于使用支付寶進行跨平臺即時付款被騙的用戶來說，急需支付寶與各大平臺建立異常交易確認及撤回的跨平臺協(xié)作處理機制。

因為這些跨平臺結(jié)算被騙的情形，大多數(shù)付款人與收貨人信息不一致且付款人被騙后會第一時間向支付寶或電商平臺投訴，而這只需要幾個平臺聯(lián)合建異常交易立大數(shù)據(jù)分析機制，就可以辨別出來那些交易是異常的，進而幫助用戶挽回損失。

不過，很可惜的是，在發(fā)生上述問題時，包括支付寶在內(nèi)的各類平臺，都會裝無辜說自己“不是司法機關，無法單方面下定論誰是盜用者并動用強制手段”，然后極力將壓力或責任推給公安機關，希望等公安機關立案或破案才予以救濟。

但實際情況是，與公安機關相比，各大平臺的技術能力更強，在保護用戶資金安全方面，可以做的更多，對于各類支付或購物騙局，其實，通過不區(qū)分支付方式增加“驗證碼”短信驗證，以及對異常交易建立跨平臺撤回合作機制等，就能大幅提升用戶資金安全保障水平。

近日，據(jù)媒體報道，深圳警方稱，今年深圳將加強互聯(lián)網(wǎng)社交平臺軟件QQ、微信的安全防范工作，主動研發(fā)有效的智能攔截系統(tǒng)，對盜取QQ、微信號碼實施詐騙的采取立即停號。同時對使用虛擬IP登錄的QQ和微信號碼，進行關鍵字限制，一旦發(fā)現(xiàn)涉及詐騙關鍵字的即時聊天信息，立即暫停其對話功能。

如今，連公關機關都這么努力了，頂著“互聯(lián)網(wǎng)+”先鋒旗號的各大支付及電商平臺還有什么理由觀望?

否則，明知有漏洞而不及時堵上，一方面，涉嫌為不法分子持續(xù)行騙提供幫助，另一方面，也會刺激更多不法分子利用此驗證缺失行騙，致使受害用戶越來越多。