明明显示为支付宝“淘宝网店铺完善认证签约”页面,输入密码确认后却收到“恭喜,支付宝代扣开通成功”的通知,随后接连5笔200元扣款在不到一分钟内从支付宝划走,均被用来购买北京畅游时代数码技术有限公司(下简称“畅游公司”)的畅游币(虚拟游戏货币),怡同这时才明白自己被骗了。
和怡同有着同样经历的淘宝店主不在少数,据被骗店主们自发统计总人数超过百人,目前登记能确认被盗刷具体金额的有68人,总计超18万元,大部分店主损失多为1000-3000元不等,但也有个别店主被骗金额较高。
表格内容为受访者提供
“盗刷发生之后我们向支付宝申诉很多次,但均未成功,理由是支付宝无法认定交易违规,而我们到现在也不清楚不法分子是如何获取了我们的信息,并开通了我们支付宝免密代扣的。”怡同对财经网(博客,微博)表示。
在她看来,免密代扣功能被不法分子利用,支付宝是否应该加强此类功能的安全等级验证和风险监控?而且短时间出现数量如此众多的同类型诈骗,支付宝是否应该配合商户追回损失?另一方面,为什么所有被骗资金流向畅游公司,而畅游公司却不处理、不调查,是谁推卸责任?
“被骗店主组成的微信群里每天都有新的人加入,事实上直到今天,这些不法分子也没有停止诈骗行为。”另一位被骗店主刘恰恰也表示了她的担忧。
“李鬼”链接实为钓鱼网站
上述淘宝店主均是在千牛App(淘宝卖家移动工作台)中收到不法分子伪装成淘宝小二发来的图片或者链接,“假小二”以“淘宝店铺支付宝认证未完善”为由,要求店主扫码或点击链接进入客服认证页面,并表示如不认证店铺将被降级或禁止交易。
图为受访者提供
图为受访者提供
“因为之前淘宝方面也经常会发来店铺考核、认证的消息,所以这次也是正常去看是什么情况,就扫了图片上的二维码跳转进入了客服页面。”怡同表示。
随后,所谓的客服会提供一个点击完成认证的入口,淘宝店主点击后进入到显示为“支付宝店铺信用分”页面。怡同看到跳转后的页面为支付宝,且页面正确显示了自己的用户名、手机号等信息,于是便输入了支付宝密码完成最后认证。
图为受访者提供
输入完成后,页面显示的不是“店铺认证完成”等提示,而是“恭喜,支付宝代扣开通成功”,显然,怡同在不知情的情况下已经为某项服务开通了支付宝免密代扣,随后的5笔200元连续扣款也证实了这一点。
图为受访者提供
图为受访者提供
对于怡同这一类情况的举报投诉,支付宝方面均反馈为“无法认定交易违规”,畅游方面则表示充值成功无法退款,虽然目前部分受骗店主已进行登记报案,但因涉及金额过小难以单个立案。
谁的漏洞?
整个诈骗过程并不复杂,每一个链接的点击和跳转均没有任何风险提示或拦截,那么最后输入密码的界面是否真的为支付宝界面?支付宝为何不能判定交易违规?怡同对平台和支付宝安全性也提出了自己的质疑。
财经网就以上情况和疑问联系了支付宝方面相关负责人,通过对怡同账号盗刷交易记录的技术分析,支付宝方面给出了相应的事件还原。
支付宝方面表示,不法分子在畅游官网进行畅游币充值时可选定多种付款方式,在用支付宝进行绑定支付时,可以通过扫畅游官网界面显示的二维码开通代扣服务,即“一键支付”,用户可不输入支付宝密码自动扣款购买畅游币。
图为支付宝提供
图为支付宝提供
质检
推荐
