当前位置:首页 > 全部文章 2017年10月28日
赎罪新娘支付宝免密代扣存漏洞:68人损失超18万,扣款均被购买游戏币-e埔商院

支付宝免密代扣存漏洞:68人损失超18万,扣款均被购买游戏币-e埔商院


近日,财经网报道了多名淘宝店主在开通支付宝免密代扣后,在不知情的情况下,短时间内金额被接连多次从支付宝划走,而划走的钱款均被用来购买了一家公司的游戏币。
据了解,被骗店主们自发统计总人数超过百人,目前登记能确认被盗刷具体金额的有68人,总计超18万元,大部分店主损失多为1000-3000元不等,但也有个别店主被骗金额较高。
“盗刷发生之后我们向支付宝申诉很多次,但均未成功,理由是支付宝无法认定交易违规,而我们到现在也不清楚不法分子是如何获取了我们的信息华娱高手,并开通了我们支付宝免密代扣的。”一位被骗淘宝店主表示。
据了解,上述淘宝店主均是在千牛APP(淘宝卖家移动工作台)中收到不法分子伪装成淘宝小二发来的图片或者链接祝凌霄,“假小二”以“淘宝店铺支付宝认证未完善”为由,要求店主扫码或点击链接进入客服认证页面,并表示如不认证店铺将被降级或禁止交易。
随后陈亦然,所谓的客服会提供一个点击完成认证的入口,淘宝店主点击后进入到显示为“支付宝店铺信用分”页面。淘宝店主看到跳转后的页面为支付宝,且页面正确显示了自己的用户名、手机号等信息,于是毫无防备之心便输入了支付宝密码完成最后认证。
输入完成后,页面显示的不是“店铺认证完成”等提示,而是“恭喜,支付宝代扣开通成功”,某个店主表示,被开通代扣后,随后就在不知情的情况下赎罪新娘,5笔200元扣款在不到一分钟内从支付宝划走马恩岛猫。
一位被骗店主对支付宝的安全规则提出了质疑:每一个链接的点击和跳转均没有任何风险提示或拦截,那么最后输入密码的界面是否真的为支付宝界面?支付宝为何不能判定交易违规?支付平台开通多种支付功能虽然更便捷张越简历,但用户财产风险增加妙手荣华,目前的风险拦截措施显然不够。游戏充值平台常被不法分子利用做充值途径赖昌兴,支付宝也应该对游戏类商户支付增加风险预警和监控。
针对这一事件,支付宝方面表示,不法分子在畅游官网进行畅游币充值时可选定多种付款方式,在用支付宝进行绑定支付时,可以通过扫畅游官网界面显示的二维码开通代扣服务,即“一键支付”,用户可不输入支付宝密码自动扣款购买畅游币。
重点即在于上图显示的官方代扣开通二维码,它被不法分子替换为“淘宝店铺认证”的客服二维码,并立刻发送给了大量千牛APP上的淘宝店主,一旦有人相信并用手机支付宝进行了扫描,事实上等同于用本人手机扫描登录了自己的支付宝代扣开通页面邹丹阳,不发分子利用了店主的信任让其自行完成了支付宝登录。
而被骗店主看到的客服、支付宝“淘宝网店铺完善认证签约”实际为假的钓鱼页面,为不法分子通过技术手段替换了真实的畅游官网页面,引导淘宝店主在扫描登录支付宝后安小乐,再次自行输入支付密码,完成整个代扣交易开通。
开通成功后,不法分子利用支付宝免密支付代扣规则寻秦记连晋,每次充值200元或以下(免密支付额度可自行设置,大多情况下会默认为200元),多次充值直至达到该账户当日免密付款限额才会停手。
“实际上整个支付过程都是正常的,不存在违规交易,而这个钓鱼的页面只有店主点击(自己)才会看到。”支付宝相关负责人表示,整个过程用户并没有跳转进支付宝APP,而是进到了钓鱼网站进行了输密码的确认操作招聘狗,成功接入畅游平台之后按规则是可以正常进行代扣,这不是免密支付系统的漏洞。此外,该负责人还强调,这类诈骗是都是“广撒网”的方式,他实际上并没有掌握某个用户的个人信息或者支付信息刘杰毅,支付宝并不存在信息泄露宋骧。
在千牛等平台上大量散播的钓鱼网站链接和图片为何没有被提示风险或拦截?
上述人士表示,章慕良这个部分确实需要用户的反馈,平台才能反向对相关链接或图片做识别汉风1276,再去屏蔽相关风险的内容。和微信等软件一样,在对话中每天会有大量的链接和图片被发送,但不是每一条信息都能立刻去做风险识别。
针对此类情况的举报投诉,今日,支付宝方面表示,针对此类新型电信诈骗,支付宝将先行补偿用户损失,同时配合警方,对诈骗分子进行打击。您对这件事情怎么看呢?欢迎在评论区留言!