来源:蜘蛛抓取(WebSpider)
时间:2016-05-20 14:05
标签:
银行卡被盗刷
支付宝被盗可做到全额赔付,为什么银行不行?_微信网页版
支付宝被盗可做到全额赔付,为什么银行不行?
支付宝和余额宝被盗都是阿里全额赔付的,为什么银行做不到这一点呢?是不是技术上的难题,还是经营理念的差异?@Ivony:1.银行...
支付宝和余额宝被盗都是阿里全额赔付的,为什么银行做不到这一点呢?是不是技术上的难题,还是经营理念的差异?@Ivony:1.银行也能做,例如信用卡,各个银行都有各自的全额赔付策略。2.银行懒得做。支付宝是个消费工具,支付宝希望你所有的消费都走支付宝,因为支付宝赚取的是消费过程中产生的手续费。银行最赚钱的是储蓄业务,赚取的是把你存款贷出去的利息差。(信用卡才是消费工具,所以银行愿意借钱给你消费)。3.银行没法做。银行有很多业务是存在极大的风险的,譬如说几千万的资金可以随意从银行账户之间划拨,而支付宝,你一次提几万出来看看?结论:1.消费领域,银行也能做,而且已经做了。甚至于借钱给你消费,这是支付宝都做不到的。2.储蓄领域,银行懒得做,而且会给你带来不方便,想一下,你从ATM上取个钱,结果一天超过200快了银行给你来个短信验证。你要转账汇款给你爸妈,结果超过一万块钱银行叫你到营业厅带身份证办理,你不会抓狂么?3.对公业务,银行做不了,支付宝也做不了,每分钟几亿的资金流转,支付宝你一天内取个几万就会直接阻止。@rayer:很多国家的银行被盗都是无条件给赔付的,应该不是技术问题吧。。。举个国外银行赔付的例子:前两天一同事法国银行卡短信提示被盗刷了一千多欧,在某家网店购买了东西,东西还没有发货,账户上钱也没有扣走。他打电话给网店,网店表示不能阻止发货;打电话给银行,银行表示没有办法阻止这笔账被划走,只能按照流程等到钱被划走了再赔付给他这笔金额。是不是迂腐的可爱?~重点是无论流程多麻烦,都会给赔~(解释一下,盗刷以后暂时没有扣钱是因为:国内银行和法国银行有个区别,国内银行小额划款是即时划走,消费记录当时在网上账单就可以看到。而在法国银行的账单一般都要1-3天才能看见记录,境外消费甚至可以一周多才显示在账单上。我感觉原理是扣款当时,这部分余额被冻结,把余额用完就不能刷了;但是记录中不会显示扣款记录,你也看不到真正的可用余额;直到该笔消费记录被验证以后,冻结款才被真正扣掉,才显示在记录中。)再说支付宝:支付宝和我们公司合作一个机票支付的项目,就因为国内外的银行卡机制不同而把两边的人都搞得焦头烂额~因为机票的购买付款和出票之间是有延时的,国外银行卡可以在购买机票时,先把一份余额“冻结”,完成机票的PNR建立、availability check之类的流程之后,确定出票了,再把款扣去;如果出票失败,余额解除冻结就可以了,相当于扣款交易没有完成。而支付宝扣款完全不是一回事,买机票当时就从银行卡把款扣了,一旦出票失败,就要把款退回去,相当于两笔交易,这中间的交易成本就需要支付宝自己承担。最后到底支付宝和我们的支付系统衔接问题怎么解决的,同事们还在辛勤工作着~可以确定的是,支付宝的人工作起来都特别拼命。。。让按部就班的法国人亚历山大……互联网公司做起金融支付来,的确很有竞争力啊……@jiakon:不是做不到,是不想做。我周围一个朋友支付宝的快捷支付被盗刷,虽然支付宝最终赔付了。但是她再也不在支付宝开通快捷支付了,更别说在上面放钱。周围的几个朋友知道了,也都差不多的行为。获取一个忠实用户难,失去很容易。只要有小小的安全事件,用户可能就跑到竞争对手那边去了。支付宝需要有个好名声,让用户知道,丢了钱也不用怕,支付宝赔。但银行根本不在乎流失一两个客户。钱被盗刷了,你还是得用银行的服务。看评论中几个朋友都想了解下原因。我就说说那个朋友跟我说的。她先是收到一条验证码的短信,没在意,直接删了,因为支付宝都好久没有用了。然后她收到银行的余额变动短信——钱少了500块钱。她就赶紧把所有银行卡全冻结,打电话找支付宝客服,发现她支付宝的密码、绑定的手机号等信息已经被修改成别人的。支付宝说会了解下情况,然后处理。@匿名用户:怎么说呢,一方面是主观上,支付宝愿意赔付。另外一方面是能力上,支付宝的安全风控体系可以把盗号控制在一定范围内,有底气,至少赔得起。再有就是,支付宝的体量,比起几家大行来说,还是太小,你让邮储这么干试试……爽歪歪。最后一点,银行这种传统金融公司,能把风险转嫁出去是绝对不会揽进来的;互联网公司,本来起步就晚,要获取用户就必须要有差异化竞争,做到其他人做不到的才行。敌无我有,敌有我强,要干成事,到哪去都是这个道理呀。接下来第二天,她竟然收到来自易信的支付宝的手机短信,让她把银行卡解冻,否则快捷支付用不了。很显然,骗子用了易信的免费短信服务,伪造成支付宝。我跟她说,这绝对是骗子的短信,不要理她。骗子先后发了好多次这样的短信。然后,就没有然后了。我个人猜测,那个朋友的手机被植入某些手机病毒,骗子能获取她的短信内容,骗子先后获取了她的支付宝帐号、身份证号码、银行卡号、常用密码等信息。然后骗子登录她的支付宝帐号,修改了绑定的手机号——那条短信应该就是修改绑定手机号码的验证码短信。支付宝修改绑定手机有一种方式是 通过“手机校验码+支付密码”。因此只要获取这个验证码和支付密码就能更换绑定的手机号了。 然后,骗子就可以为所欲为了,反正所有的短信验证都发到骗子自己设置的手机号码上。除了手机被植入病毒之外,我想不出来,骗子如何知道她的银行卡号,并要为银行卡开通快捷支付。@Sunnyquick:终于碰到个前两天感慨过然后能答的题目了,支付宝账户安全险收钱的好么,去年1块,今年2块钱一年好么,一年涨幅100%,支付宝你真的报国家物价局了么?各位用户,你钱放那买还是不买?我在银行从来不用担心需不需要买这个账户安全险,支付宝真心不敢不买,特别是前段时间总是被异地登录,修改了几次密码还出现这种情况,后来推断是可能是我用的关联密码次数多了,果断换了一个从来没用过的密码,目前没再出现过这种情况了。。。幸好那人不知道我支付密码。。。一个人2块,4亿用户8个亿,支付宝打的一手好算盘。。。万一明年收4块了呢,支付宝一年收入翻一番啊。。。@赵鸿远:借地讲个无关的小故事:大约十多年前,某个保险公司给一家企业办理团体火灾保险,每位员工都保了火灾险。有一天,一家失火了,保险公司理赔,勘查结束后问了下那家人,还有没有什么东西了。那家人想了想,有件貂皮大衣,不过发票烧了。保险公司没办法验证,于是理赔了。一个月之后,又有一家失火,很巧的是,也有一件貂皮大衣和发票一起烧了。之后每家着火都有一件跟发票一起烧了的貂皮大衣……@匿名用户:很简单,支付宝是私企,敢不全额赔付腾讯就会痛打落水狗。这就是自由市场的魅力!中国银行业是国企,垄断市场,就不赔你你咋滴?咋滴?咋滴?@匿名用户:后者(理念上)。而且说穿了,这种服务也算不上是银行的合同义务或是法律义务。本质上是由于银行业的竞争不够充分。因此银行业没有商业上的动机为普通客户提供这项服务。@匿名用户:实际上,支付宝的赔付是有条件的。起步阶段有一个宣传价值,时间长了不会持续的。相关的新闻报道可以百度搜索。目前主要还是小额的。很多行的信用卡也有赔付的,后端都是对接的保险公司。实际上,赔付流程也跟支付宝差不多。这一块,大家都是类似的,都是一个宣传+商业行为。而且,钱都不是自己出,事后它会找到接单的人,除了保险公司,多数还是商户买的单。支付宝不会比银行好到哪里去,尤其是它大了以后,不信我们拭目以待。@井六白:在某答主下面评论了一下,居然把我拉黑了,呵呵,那我就来答下题。1.中国的银行有一种与生俱来的小市民气和天生的防贼意识,表现在信用卡的所谓的盗刷全额赔付上面,随便搜一下,你就知道如果你被盗刷中国的银行们是怎么来处理的,首先,你的信用卡必须是签名无密码的,有密码的默认就是本人疏漏不赔,其次,你比较聪明,信用卡没设密码,好,要你去最近的atm取个款,证明你的信用卡还在身边。因为远在大洋彼岸的盗刷,你要在半夜2,3点起床,去找个开卡银行的atm,如果不幸你开了小众银行的信用卡,你还需要电话或者google最近的atm在哪里。比起外国银行一个电话人家先付再查的处理,中国银行们全是渣啊!2.储蓄帐户,本来应该是重中之重,银行没有储蓄,就是无本之木,能活多久?中国银行们全不在意,爱存不存。9几年在英国自动存款机就可以随便存,在存款机上拿个纸袋,把随便什么金额的钞票+随便什么金额的硬币都放进去,封好口丢进去,第二天就到帐。有次感慨我还说呀,你们英国的确先进,这么杂的面额的纸币+硬币机器都能点的清清楚楚,比我们这边存款机只能接收100元面额的好多了,虽然入账迟了点,要第二天,结果人家大笑,这都是人工清点的,所以不能即时入账啊。连人工费这么高的欧洲都能做到,中国做不到?3.几千万转账支付宝做不了我只能呵呵了,全中国的银行都换成支付宝的话,电话诈骗就销声匿迹了,支付宝的实名认证比银行好多少都不知道。综上所述,我的观点就是银行,特别是中国的银行现在都是在靠长久一来的国家背景和惯性在运行,等到大家都习惯电子化后,银行必死。因为以后每个人都是自己的银行。再回答题主的问题,这个问题本身就是错的,银行当然可以赔,也赔得起,只是他不想赔,因为第一点我说的原因,银行,乃至于赔你的那个经办人,会觉得赔了你,就会有很多很多人来要赔了,防民如防贼,莫过于此。@橙子:作为一个在银行的从业者,随意聊聊:1.一是量的问题。这两年第三方支付被媒体报道地很凶猛,但据我之前看过的一个统计,整个第三方支付的交易量加起来不到金融交易的1%。。。所以支付宝现在的赔付,也是建立在个人用户,量整体比较小的基础上。2.二是思维方式确实有差异。传统金融行业的思维是防范风险第一,更何况有这么多监管机构,从上到下的第一反应是我不能出岔子,所以无论是理财还是其他产品,法律责任一定要拎清楚的。这也就是为什么银行确实有能力做到赔付,但是也不会大肆宣扬。而互联网公司的思维是什么?我先做,做了不行再改。所以你看到很多互联网理财产品的宣传语都是往大了放,不行了我就承认错误,改回来就是了。这也是基于金融机构目前对互联网金融的监管比较宽松的。银行敢做吗?最后吐嘈一下,互联网是面向大量的草根用户的,而银行,只有高净值的客户才算是上帝。。。嗯,我就是来自黑的。文章来源丨知 乎理财姐一直提醒着大家,理财是一辈子的事,你不理财财不理你!学习改变思想,思路决定出路,智慧创造财富。财富大管家,财富之路 !
微信热点文章当前位置:
微信扫一扫分享到朋友圈
点击标题下方文字链接“中国法律数字图书馆”,快速关注本微信,获取更多权威、深度、最新法律知识和信息。支付宝快捷支付与盗窃银行卡资金犯罪一、支付宝快捷支付的概述回顾电子商务历史,可以发现其初衷就是让用户足不出户、点击鼠标就能买到想要的商品,这一简单动机深远地影响了人民的新生活。网络购物作为电子商务的重要组成部分,在人民的生活中占据着重要的位置。据艾瑞数据显示,2013年第二季度中国网络购物市场交易规模达4371.3亿元,而据国家统计局发布的数据显示,2013年第二季度社会消费品零售总额达6.03万亿元,网络购物在社会消费品零售总额中的占比为7.3%。随着互联网的普及,第三方移动支付市场交易也在日益猛增,第二季度交易规模达1064.1亿元,占有的市场交易份额的比重也在不断的增大,地位逐渐突出。随着电子商务的不断发展,电商时代的付费方式正在升级换代,中国网上支付市场正加速从1.0的网银时代过渡 到2.0的快捷支付时代。作为第三方支付平台的代表——支付宝,也在电子商务支付方式的发展过程中不断的探寻自己的发展出路,试图为用户提供更为简便,快捷,安全的交易服务。第一,支付宝于2004年12月设立,最初主要是作为 “第三方” 来担保交易。用户的资金支付方式主要是靠支付宝到网上银行页面的跳转,输入用户名,密码,验证码,并通过 USB-key 或者动态口令牌等硬件设备进行身份认定,完成交易确认,划动资金。这就客观上要求需要在网上购物的用户,必须去银行开通网上银行业务,并且还得掌握繁琐的网上交易流程。第二,为了解决因用户办理网银门槛高,操作复杂等而导致的支付成功率低,用户流失的现象,支付宝与2006年底与建设银行合作推出了——卡通,开通卡通的用户在进行网上购物支付时,只需输入设定的网络交易密码即可支付账款。但是卡通产品的办理流程和支付流程是分开的,用户若想使用卡通,必须到建设银行申请办理建行与支付宝推出的支付宝龙卡,并提供需要绑定的支付宝账号,设定交易的额度限定。第三,2010年底,支付宝与中国银行,工商银行,建设银行等十家银行联手推出了升级换代产品——快捷支付,将开通流程和支付流程合二为一,最大限度的降低了用户的操作步骤,降低了用户的流失,使得支付的成功率从网银的B2C支付平均支付成功率65%提高到95%,打破了银行下调网银交易额度限制第三方支付平台发展的被动局面。支付宝快捷支付是指通过移动设备或者网站等途径订购商品的用户,无需开通网上银行和购买U盾等密保设备,在首次使用时,只需输入真实姓名,身份证号,储蓄卡号,银行卡开卡时预留的手机号,手机验证码等相关信息即可开通快捷支付服务,而在以后的使用过程,则只需要直接输入支付宝支付密码和手机动态密码即可便捷、快速的完成支付。(一) 支付宝快捷支付的优点支付宝简化了交易流程,提高了用户体验。1. 支付宝快捷支付一次开通、重复使用,并绕开了网银支付的限额。支付宝快捷支付的两种开通方式: 一是进入支付宝快捷支付申请页面开通, 二是在支付交易的过程中开通。此项业务开通后,再次使用不需要重复首次申请时较为繁琐的身份认证环节。支付宝快捷支付绕开了以上的网银支付限额,快捷支付的限额以开通快捷支付的信用卡的信用额度或者储蓄卡的卡内余额为限。2. 支付宝快捷支付在一定程度上降低了被“钓鱼 ”和木马攻击的可能性,拥有良好的保障措施。支付宝快捷支付网页跳转次数的减少,大大降低了用户被“木马攻击”和“钓鱼”的风险。用户在使用快捷支付的过程中,支付宝和银行在后台会通过专线进行对用户的信息、手机号码与银行卡拼配,手机动态口令等的严格的校验,用户的交易信息、交易密码、账户信息等重要信息都会被硬件加密,采用特殊线路进行指令的传输。另外,用户因使用快捷支付发生资金损失的,支付宝都将72小时内进行全额赔付,这无疑给予用户较高的安全保障。3. 支付宝快捷支付打破了操作系统的局限,提供多渠道的支付服务。之前的网银支付由于浏览器不兼容、页面跳转等问题,使得网银支付的成功率低,用户流失。而“支付宝 ”为了解决这些问题,不断研究发展自身技术,使得支付宝快捷支付可以跨操作系统,跨游览器,跨终端使用。支付宝同时在手机客户端、WAP、SMS及语音支付等方面完成布局,在推出客户端的同时,还与终端厂商、银行、移动运营商等进行合作,提供多渠道的支付服务(诸如二维码支付,超级转账等)。(二) 支付宝快捷支付的安全性问题支付宝快捷支付在为用户带来简便,快捷支付体验的同时,也给我们带来一些安全性的考虑。1. 支付宝的安全保护措施存在漏洞,用户在支付环节认证强度较弱。支付宝的SSL安全控件虽然能够在一定程度上防止木马侵袭,但是账号和密码仍有很大的被盗风险,因为支付的账户和密码都是静态数据,在验证的过程中需要在计算机的内存和网络中进行传输,很容易被驻留在计算机中的木马病毒或者网络中的窃取设备窃取;支付宝的数字证书的安装也是与手机短信的验证相关联,支付宝只是检验用户输入的验证码与发出的验证码是否一致,而不再进行其他方式的身份验证,极易造成不法分子通过复制SIM或者窃取手机等途径进行验证码的获取;支付宝的手机动态口令对用户而言是重要的安全保护措施,但是在实际运用的过程中也是存在漏洞的,正如支付宝手机动态口令协议中写的,基于短信校验码由电信运营商发送,支付宝不对短信到达的不及时和不准确所产生的任何后果承担责任;支付宝快捷支付对于首次认证较为严格,但是在用户支付环节认证强度较弱。用户只需简单的输入支付密码和手机动态口令即可完成身份认证,由支付宝向银行下达支付指令完成交易,而不再进行其他的身份认证,无法深层次上确定操作者是否为用户本人。从信用卡快捷支付测试上看,京东的快捷支付比支付宝快捷支付多了一个输入卡验证码的步骤,但安全性却大大提高。 因为信用卡号很容易被不法分子获取,但是卡验证码在记住后可以销毁。2. 支付宝的移动客户端应用的安全性问题突出。无论在互联网终端还是个人移动终端,支付应用的安全性都需要得到有效保障。在互联网支付领域,支付机构通常用浏览器/服务器(Browser/Service)模式为用户提供支付服务,用户只要正确输入支付应用的网址,即可有效避免钓鱼网站,防止支付账户及密码等敏感信息被盗取。而在移动支付领域,支付应用往往是以应用软件的形式发布在某个应用平台上,用户通过移动互联网从应用平台上将软件下载到个人终端上使用。常见应用发布平台如苹果的AppStore、谷歌的Coogle Play Store对于软件的安全性的审查较为严格,一定程度保障了交易的安全性,但是像苹果园、华军软件联盟、绿色软件园等非官方软件下载平台,一些恶意软件和山寨应用在一定范围内普遍存在,有的软件是挂马的支付宝软件,程序图标和操作流程和官方支付宝软件无异,很容易迷惑用户使用,造成账户和支付密码的泄露。有的软件是具有支付功能的软件,将支付页面跳转至设定的“钓鱼” 页面,窃取用户的账号和密码;再者,移动设备的安全性低,很容易被以彩信、邮件等形式感染木马病毒,官方的支付宝软件在移动终端上的安全措施少之又少,对于新开发的二维码支付和超级转账等应用的安全认证也不足,用户在应用支付宝软件进行操作时,很容易造成个人财产的损失。3. 支付宝快捷支付缺乏有效的监管,敏感信息存在泄漏风险。支付宝快捷支付的使用不需要开通网银,其依靠的是支付宝公司与银行的内部专线进行身份的认证、指令的传达以及交易信息的传输,不受网银的自身发展的限制。然而支付宝就法律地位来说属于是非金融支付机构,提供非金融机构支付服务,很少受到银行、银监会和各种安全政策监管,因此支付宝快捷支付的运营受到的外部监管强度弱。基于快捷支付的业务流程,支付宝和商业银行在进行快捷支付签约时,银行将通过银行网点面签获取的客户真实资料和敏感信息发送给支付机构,两者共同完成实名身份核验。在获得海量银行的完整客户和账户信息之后,支付宝如果在未经客户授权的情况下将信息挪作他用或者被不法分子侵入支付宝系统获取,将带来严重的法律风险和用户信息泄露隐患。二、利用支付宝快捷支付进行盗刷银行卡犯罪的手段由于支付宝快捷支付的安全性问题尚未有效解决,一些不法分子开始通过各种途径获取被害人的相关信息,然后通过支付宝快捷支付服务进行银行卡资金的盗刷,对持卡人的资金安全构成了极大的威胁。目前的主要犯罪手段有以下几种:(一) 通过使受害人的银行卡与自己掌握的支付宝账号关联窃取银行卡资金目前案件中不法分子获取受害人的身份证件、银行卡、手机的途径有以下几种情形:一是通过盗窃手段或者拾得他人的遗失物来获取;二是以招工为谎等欺骗手段获取受害人以上物品;三是利用工作或朋友关系的便利接触或者获得同事或朋友的以上物品。不法分子在获取了以上物品之后,可以重新申请支付宝账号,也可以应用自己已有的支付宝账号,然后进入支付宝快捷支付页面,输入银行卡号码,真实姓名,身份证号,手机动态口令即可完成申请,至此,新申请的支付宝账号就和此银行卡建立起了支付关系。如果是同事、朋友等有机会接触以上物品,而又不愿意被受害人发觉的情况下,那么其在经过以上的操作还不能用此银行卡进行网购,因为购物的系统提醒短信会发到同事、朋友等的手机上。其必须进入支付宝账号,将于支付宝绑定的手机号改成自己的手机号,此时支付宝密码是自己设置的,支付的动态口令和验证码都是发到自己的手机上了,这样就不会被受害人发觉了。然后不法分子即可使用银行卡内的资金进行消费,或者购买货物后退货,把资金退到支付宝账号,然后再提现,通过以上的途径窃取银行卡资金。(二) 使用受害人的手机或者手机号窃取银行卡资金手机绑定支付宝时,有三种情况可能存在隐患:一是被害人在银行预留的手机号已经不用,而后被不法分子申请使用此号码;二是手机或手机卡被不法分子借用或盗用;三是手机号被不法分子挂失补办。不法分子经过以上三种可能获取绑定支付宝快捷支付的手机或手机号码时,即可通过以下三种方式窃取银行卡资金。第一种是被害人的手机号即为支付宝登陆账号或关联登陆账号,不法分子利用计算机网页的形式窃取银行卡资金:第一步,不法分子通过支付宝登录页面输入支付宝账号(即手机号),点击“忘记密码”进入找回密码页面, 输入手机号码和验证码,然后选择“手机号码找回”。输入手机上的短信验证码,然后设置新的登录密码。第二步,不法分子通过新的登录密码登录支付宝账号,然后选择“找回支付密码”,再选择用“用手机号码找回”,接收短信输入验证码,然后设置新的支付密码。第三步,点击 “安装数字证书”,然后输入手机短信上的验证码,安装数字证书。经过以上三个步骤,不法分子即可以选择商品,然后输入新设置的支付密码和手机动态口令就可盗刷银行卡资金,对于被害人未绑定手机号码的情形直接输入新设置的支付密码就可以盗刷银行卡内的资金了;第二种是手机号即为支付宝登陆账号或关联登陆账号,通过支付宝客户端的形式盗窃银行卡资金:不法分子打开支付宝客户端,输入手机号,选择手机找回密码进行密码重置,然后利用新设置的密码登陆进支付宝账号,选择商品,直接输入手机接收的验证码即可盗刷银行卡内资金;第三种是不法分子利用支付宝手机版网页的形式窃取银行卡资金:不法分子可以用获取的手机或手机号码登录支付宝的手机版网页,输入手机号码,然后使用“短信登录”的功能就能登录支付宝,然后通过手机重置支付密码,通过以上的步骤即可窃取卡内资金。此种情形中不法分子不需要知道支付宝账号和密码。(三) 通过木马病毒或者恶意应用程序窃取银行卡资金懂黑客技术的不法分子先盗取买家的支付宝账号、密码和支付密码,随后,通过向被害人的手机植入木马病毒窃取动态口令,然后购买游戏点卡、充值卡等虚拟商品并用支付宝快捷支付进行交易,最后交由专人销赃的窃取银行卡资金的“洗宝” 犯罪过程。首先,不法分子要先盗取买家的支付宝账号、登陆密码和支付密码:一是不法分子提前通过电子邮件,QQ通讯,挂马链接等向不特定的计算机植入木马病毒(此时的计算机称为 “肉机”),专门窃取用户的支付宝账号、登陆密码等相关信息;二是不法分子作为商家与被害人进行交易时,通过通讯软件或者阿里旺旺改价窗口,发送虚假的“钓鱼网站”链接,用户打开网页进行支付时,其交易的账号,密码等信息即被记录窃取;三是不法分子对移动设备的支付宝应用程序进行篡改挂马,并发布在各大手机网站供用户下载,如果用户使用这些程序并进行了支付交易,不法分子即可获得支付宝账号、密码等等信息。其次,不法分子要获取手机的验证码,用来开通支付宝快捷支付或者用于交易口令:一是不法分子可以向手机发送挂马彩信,也可以在各大软件网站发布一些恶意或者挂马的应用程序,用户若下载以上彩信或者程序,手机即被植入木马,木马会检测手机短信中的一些特殊字符(如 “支付宝”、“验证码” 等),然后将含有这些字符的短信自动发送给不法分子;二是不法分子应用来电随意显软件向被害人的手机拨打电话,冒充支付宝客服或者其他方式骗取被害人手机接收的验证码;三是有些被害人的支付宝登录密码或支付密码和手机的网上营业厅的密码是一致的,不法分子通过之前获取的密码登录网上营业厅,开通短信转移服务,即可获取所需验证码;再次,不法分子经过以上的步骤,即可盗刷银行卡的资金购买容易变现的物品进行销赃,或者购买物品退货,把盗刷的资金退到支付宝账号然后提现。除了以上三种主要的犯罪手段,近期还出现了通过网络购买或者支付宝内部员工获取用户的个人身份、银行账号等信息,补办SIM卡或者通过SIM卡复制器借机复制SIM卡等等一些新型 的犯罪手段,窃取资金后变现迅速或者销赃途径畅通,对广大银行卡持有人的资金安全构成了极大的威胁,打击和防范此类犯罪是目前亟待解决的一个问题。三、打击和防范对策利用支付宝快捷支付的安全漏洞,盗刷持卡人银行卡资金的犯罪案件日益高发,犯罪手段日益专业化、科技化,给人民群众的合法财产造成了严重的损害。打击犯罪分子的嚣张气焰,防范此类犯罪的发生,及时挽回或避免财产的损失,需要多方的共同努力才能予以解决。(一) 支付宝平台建立健全风险防控对策不法分子在利用支付宝快捷支付进行盗刷银行卡犯罪时,其犯罪实施的过程都是在支付宝平台进行的,其反映着支付宝平台的安全漏洞,同时也会在支付宝平台留下交易信息,注册信息,资金流动信息等相关的信息。因此支付宝平台应当建立健全风险防控机制,构筑打击和预防此类犯罪的第一道屏障。1. 强化用户身份认证机制和完善相关的支付安全措施。 针对快捷支付业务中用户名加密码的身份认证方式,建议采用双因子认证机制以增加认证强度。双因子认证(2FA)是指结合密码以及实物(包括手机短信,令牌或指纹等生物标志)两种条件对用户进行认证的方法;对于以信用卡作为快捷支付卡的用户,在支付时增加输入信用卡验证码的认证步骤;现今流行的SAAS(软件即服务)软件应用模式也可以作为支付宝平台安全控件的开发模式;作为支付服务渠道提供方,支付机构与商业银行通信过程中,也应完善有效的安全措施。一方面,支付机构与商业银行双方应对支付指令的数据格式与接口进行规范,保证信息的完整可靠,减少数据二次解析的成本;另一方面,可考虑在支付机构与商业银行专用的数据传输线路上部署硬件加密设备,以保证数据的安全传输,确保大量用户信息的安全保密。2. 完善风险防范系统建设。支付宝平台作为打击和预防利用支付宝快捷支付盗刷银行卡犯罪的第一道屏障:首先,应建立健全支付宝的备忘录制度,记录和保留用户的开户信息,交易信息,交易双方的IP地址,资金流动的账号等等信息。将以上信息进行整合建立支付宝综合信息查询系统,并对公安机关设立网络端口,便于公安机关以权限及时查询;其次,建立严格的内部监管制度,设置专职监察人员,涉及用户信息的重要业务双人操作,职责分离,严格落实保密责任,杜绝用户信息泄露;再次,建立完善的异常可疑交易监控机制,对于一次性大额购入商品,短时间内多次购买小额虚拟商品,短时间内大额购入商品又退货变现的可疑交易进行严密的监控,对于发现的可疑情形可以暂停交易,涉及犯罪的及时移送公安机关。3. 支付应用提供方与发布方之间协作配合。针对快捷支付业务应用与移动智能终端的情况,一些恶意、挂马支付应用软件对用户的账户资金构成了极大的威胁,支付应用的提供方与发布方之间应当加强协作配合,保障应用的安全可信。一方面,应用发布方将具有支付宝快捷支付支付应用软件纳入发布平台之前,应先采取技术手段对支付应用软件进行安全性检测,判断其是否携带木马程序或者程序已经被篡改,还应对应用提供方的合法身份予以鉴别,并保留发布着的身份信息,IP 地址等信息;另一方面,支付应用发布方也应根据实际情况,针对手机用户开发并发布基于各类操作系统的安全控件,支付宝平台也要加强移动平台的交易支付方身份认证的强度,保障移动互联网环境下的用户资金安全。(二) 公安机关建立针对性打击对策公安机关是打击利用支付宝快捷支付盗窃银行卡资金犯罪的最有力的打击力量,是维护持卡人资金安全的坚强后盾,同时也是挽回经济损失的最后的一道防线。面对不断出现的新型的犯罪手段,公安机关要不断的强化侦办此类犯罪的能力。1. 公安机关的网安部门通过技术手段或者公安机关的经侦部门通过支付宝平台查询系统,对涉案的账户信息、用户身份信息,交易信息,操作方的IP 地址等相关信息进行及时的查询和拓展应用。查询涉案的支付宝账号,获取其注册时的身份资料,联系方式等信息,并通过公安机关的户籍信息系统、犯罪前科信息系统等综合查询系统拓展查询,综合获取不法分子的身份信息,户籍信息,犯罪记录等相关信息;查询交易信息,获取交易的资金数额信息,购买的商品信息,收货方的姓名、地址和联系方式等信息。如果商品是虚拟商品(主要为Q币,充值卡等商品)的情形,依据商品的具体的用途进一步查询商品具体的销赃途径 (如Q币具体的充值账号,充值卡充值的手机号码等信息)。对于查询到收货方联系方式,可以通过技侦部门查询手机的通讯信息并甄别虚伪,进行话单分析,关联联系人,实时定位;通过网安部门查询操作方的IP地址,对于计算机的IP地址(包括动态和静态的IP地址),公安机关获取后,可以通过网安部门或者“”、“www.apnic.net”等定位网站进行IP地址的定位查询。对于查获的手机IP地址手机(一般固定的IP地址),公安机关可以借助技侦部门对手机定位,辅助抓捕工作。2. 公安机关建立利用支付宝快捷支付盗刷银行卡的涉案资金快速查询、冻结机制。公安机关对于受害人的举报或者支付宝平台移交的案件,及时的进行侦查,查询涉案的资金情况,分情况进行处理。第一种情况是支付宝平台暂存最为担保的交易资金。不法分子利用盗窃的资金进行购买实物商品时,从商品发货到最终的确认收货会有一定的时间差,公安机关应及时联系支付宝公司冻结涉案资金,通过支付宝客服联系卖家暂停交易并及时退回商品;第二种情形是支付宝账号中的账面资金。有些不法分子利用盗窃的银行卡资金为自己的支付宝账号进行充值,此时公安机关在查获涉案的支付宝账号的基础上,及时联系支付宝公司, 请求对涉案账号进行临时冻结,禁止账号内的资金进行交易。第三种情形是盗窃资金转入其他的银行账号。一些不法分子在利用盗窃的银行卡资金进行购物支付货款后,然后申请退款,资金退到支付宝账号,再通过支付宝提现功能把涉案资金转到其他的银行账号。对于这种情形,公安机关及时通过支付宝公司查询资金提现后转移的银行账号,并及时的通过目前已有的警银协作,利用银联JASS系统等对涉案资金进行快速的查询,通过专线下达指令进行冻结。3. 公安机关建立高危人群和高危地区的信息库,协助支付宝平台建立黑名单制度。公安机关要加强利用支付宝快捷进行盗刷银行卡资金的高危人群和高危地区信息库,广泛收集上传、及时更新涉案账户信息,交易信息,资金数额信息,涉案人员信息,银行账户信息等等与案件有关的信息,方便公安机关及时的查询和掌握犯罪信息,研判犯罪动态,掌握案件规律,探索侦查模式,协作侦破案件。公安机关开设端口或者上传高危人员名单,协助支付宝平台对高危人员进行身份鉴别,建立黑名单制度,对于此类人员的账号申请进行限制,并对账户资金流动情况加强监控,发现可疑交易及时鉴别,涉嫌犯罪的及时移送公安机关。(三) 支付宝用户确保资金安全对策支付宝用户由于资金安全意识的缺失,防范对策的缺少等等原因,致使不法分子极易利用现有的窃取手段通过支付宝快捷支付盗刷银行卡内的资金,支付宝用户发现账号、资金异常时又不知如何冻结,防范资金流失。因此通过以下资金安全对策,确保支付宝用户资金安全。1. 支付宝用户安全预防对策。对于支付密码不定期的进行修改;避免工资卡或存有大量现金的银行卡开通快捷支付功能;网上购物时,尽量使用具有恶意病毒链接屏蔽功能的阿里旺旺软件,避免使用QQ通讯工具进行交易商谈,避免打开QQ聊天发来的可疑支付链接;避免向其他人员甚至支付宝客服人员(不法分子可利用改号软件冒充客服人员)透漏银行卡信息,账号密码,手机验证码等相关信息;开通支付宝快捷支付功能绑定的手机号码不用时,由于原有绑定并不会因更换或注销而消除,手机用户应及时申请解除绑定服务;避免支付宝登陆账号和手机号码关联,已经关联的可以取消设置;银行卡持卡人最好对绑定快捷支付的银行卡进行限额设定;对于开通网上银行的银行卡,设置“网上支付”限额,间接限定快捷支付限额;对于应用的计算机设备和移动设备及时的进行杀毒;使用支付宝时尽量安装完全支付宝安全措施(包括安全控件、数字证书);可将不经常使用的银行卡内的资金转为定期存款。2. 支付宝用户发现支付宝、银行账户异常情况下防止资金流失对策。用户发现自己的支付宝账号发生异常交易时,可以先通过支付宝登陆页面,输入账号,“三次”输入错误密码进行账户的临时冻结。然后联系支付宝客服确定账户的资金情况,并申请冻结该资金。也可先把绑定支付宝快捷支付的银行卡内的余额取现或转账至其他银行卡,然后联系支付宝客服确认账号的买卖交易情况,申请中止交易;对于发现银行卡账户发现异常资金交易时,开通网银或者电话银行的用户可以事先通过网上银行或电话银行业务“三次”输入错误的密码进行账户和资金的临时冻结,并致电所属银行客服,申请账户一定期限的冻结。没有开通网银或电话银行的用户最先做的是联系银行客服冻结账户内余额或者进行挂失,然后带有身份证件等资料到银行柜台取现。(河北公安警察职业学院学报 2014年3月 第14卷 第1期 中国人民公安大学 李星廷)中国法律数字图书馆是中国知网旗下的动态法律知识服务平台,提供法律法规查询、裁判文书、指导案例查询、法律论文查询,内容来源于161种政报公报、6800多种期刊杂志、198种法律专业期刊、500多种报纸、300多家法律院校、40余类法律学术团体,访问地址:ki.net。 点击标题下方文字链接“中国法律数字图书馆”,或扫描下方二维码,快速关注本微信,获取更多权威、深度、最新法律知识和信息。
分享给好友
分享到微信朋友圈:
第一步 打开微信底部扫一扫
第二步 扫下面的文章二维码
第三步 右上角点击转发
相关文章Relevant
■ 点击上面蓝字一键关注 ▲QIBU生活微刊建议在WIFI下观看,土豪请随意~~1、每一次接吻 会消耗体内至少12个卡路里科学家指出:...
我是主播 贝妮~(微信号:Voaoao)每天提供最热门、最火爆、最精彩的视频!口味有点儿重喔~笑死!笑死!笑死!如果觉得这些还...
【最费脑力的14部电影】《盗梦空间》、《记忆裂痕》、《生死停留》、《死亡幻觉》、《禁闭岛》、《穆赫兰道》、《蝴蝶效应》、...
现如今,飞机以舒适、方便与节省时间等原因成为出行首选的交通方式之一.可你是否知道,为何不能喝飞机上的冲泡茶饮,又为何在...
感知CG,感触创意,感受艺术,感悟心灵 在CG世界的一期中我们展示了 Vince Low的一部分作品,今天再次翻看CG网站时发现他的...
因女儿未出世便患肿瘤,柴静离职后首发雾霾调查.雾霾是什么?它从哪儿来?我们怎么办?看完这些,才知道雾霾的真相.震撼!震...
