“第四方支付”的漏洞在哪儿?
2017/12/19 9:21:31

经常在外就餐的刘新(化名)发现,餐厅前台的付款二维码发生了变化。

“以前可能只支持支付宝或微信支付,现在就统一一个二维码,把所有支付方式都包括进去了,方便了很多,就是不知道是否安全。”刘新告诉《瞭望东方周刊》。

他感受到的便利,是由“第四方支付”或称聚合支付机构提供的。这些机构将各种第三方支付方式集成在自身平台之上,在线上为电商提供聚合网络支付,在线下为实体商家提供聚合移动支付。

据前瞻产业研究院发布的《2017-2022年中国聚合支付行业市场与投资战略规划分析报告》不完全统计,目前中国聚合支付机构已有上百家,包括钱方好近、收银宝、PingPong、Paymax、收钱吧、Ping++、盒子支付等机构。

然而,在聚合支付为商户降低技术成本、财务对账成本,并为消费者提供多元化支付选择的同时,它仍存在不少漏洞和风险:欺诈、盗刷、洗钱、信息泄露等违法违规事件屡禁不止。

2017年11月13日,中国人民银行下发了《关于进一步加强无证经营支付业务整治工作的通知》(以下简称《通知》),要求坚决切断无证机构的支付业务渠道,遏制支付服务市场乱象,整肃支付服务市场的违规行为。

在2017年11月16日举办的第六届中国支付清算论坛上,中国人民银行党委委员、副行长范一飞表示,支付业务属于重要的金融业务,无论是国有经营主体、民营主体还是外资机构,不管从事哪种业务,一律实行准入制,一律纳入监管。

业内人士普遍认为,在强监管的背景下,支付行业漏洞将得以补上,而包括“第四方支付”在内的支付市场,也将面临一场大洗牌。

盗刷容易查处难

刘新之所以对聚合支付心存担忧,是因为他曾遇到过支付盗刷的事情。

“我网购了一件衣服,还没发货,店家说后台出现了问题,要我提供收钱二维码给他,他把钱退给我。”刘新告诉本刊记者,退款是收到了,但是随后这个第三方支付里的几百元钱,却一并被盗刷了。

像这种盗刷,并非偶然事件。

2017年8月,浙江绍兴警方查获一起“第四方支付机构”涉嫌诈骗的案件。

办案民警黄警官告诉《瞭望东方周刊》,诈骗方开设网店,利用网购退款获得消费者收款二维码,并通过一家名为普尔云的聚合支付公司获得扫码枪等设备,直接用扫码枪提取消费者账户里的余额。

“有些收钱码和付款码是集成在同一个二维码里的,这就给不法分子留下了可乘之机。”黄警官说。

据他介绍,由于不同第三方支付机构有每笔额度199元、499元等限制,聚合支付公司在后台是可以看到客户每次刷最高额度的异常资金流动情况的。

“但普尔云只是象征性地冻结诈骗方的账户,并且坐地起价要求诈骗方支付20%的手续费,这相当于‘黑吃黑’。”黄警官说。

此外,他还向本刊记者透露,一些“第四方支付机构”也会提供非法线上支付服务,比如给黄色网站提供支付服务收取8%的手续费,对赌博网站则是10%。

“像这样的‘第四方支付机构’很难查处。一方面,受害者与机构可能不在同一个地方,那么警方存在管辖权的困难;另一方面,因为他们有大量正常业务的掩盖,不好从头查起。”黄警官说,最后的取证也颇为凑巧,是通过普尔云员工与诈骗方未删除的聊天记录完成的。

国家信息中心网安研究院副院长叶红告诉《瞭望东方周刊》,钻互联网金融监管空子的事件频现,也与相关法律和规范不完善有关。

“在进行互联网金融违法犯罪行为调查时,因电子证据有效性和合法性尚有缺陷,造成了对违法犯罪事实认定的困难。我们要加强电子证据方面的研究,并在立法上推动电子证据的进一步完善。”她说。

“黑钱洗白”的秘密通道

当诈骗构成规模的时候,不法分子考虑的重点则是将黑钱洗白。在这个过程中,也出现了“第四方支付”的身影,不过他们凭借的介质不再是二维码,而是点卡、充值卡的密码。

需要了解的是,消费者通过微信支付、支付宝等第三方支付平台在线充话费,实际上是从消费者到第三方支付机构到聚合支付再到三大运营商。聚合支付在这一链条中,一面聚合第三方支付平台,一面聚合三大运营商,通过运营商提供的在线直冲程序接口实现充值。

2017年7月,江苏省宿迁市公安部门破获一起以手机充值卡的数字卡密为媒介的诈骗案件,发现手机充值卡所涉及的上游销售商、下游寄售商、耗卡商均有涉案嫌疑。

本刊记者了解到,2017年1月,江苏宿迁居民李刚(化名)做了份网络兼职,在“任信数卡商城”以110元价格购买一张100元面值的手机充值卡数字卡密,将卡密发给“商家”,获得返现115元。

李刚试了一把,立马收到了115元,顿时觉得“商家”可信,便以同样的价格购买了4840元手机充值卡数字卡密发给“商家”。而这次却没有收到返现,李刚发现被骗,于是报警。

这些诈骗而来的手机充值卡卡密急于变现,福建厦门人王军(化名)从中发现了“商机”,以96元、97元、97.5元的低价专门回收诈骗所得的100元面值的电信、联通、移动手机充值卡,然后再加价出售给聚合支付机构江苏欧飞网络公司(以下简称欧飞公司),由其消耗卡密。当然,这些卡密的售价还是低于正常渠道购买卡密的价格。

公安部门调查发现,月末、月初充值高峰期间,三大运营商服务器响应速度较慢,为确保充值质量,欧飞公司的系统会调用卡库里的密码为客户充值。这就给“黑钱洗白”提供了可乘之机。

公安部门了解到,欧飞公司从王军手中回收的卡密,不但不入卡库,且从回收到消耗至多2分钟,与平常10日左右的在库时长不匹配。公安部门进而调查发现,王军卖给欧飞公司的卡密金额总计9700余万元。

阿里巴巴集团安全部总监虞煜军向《瞭望东方周刊》透露,卡号和密码交易诈骗,占“第四方支付”整体犯罪的80%以上。

2017年8月,“浙江丽水615专案”收网,捣毁涉及全国12个省份的电信网络诈骗窝点40处,抓获涉案人员540人,刑拘犯罪嫌疑人414人,查封冻结涉案资金资产3035万余元,现场查扣现金567万元。经初步查明,全国近万人受害,涉案总额达1.6亿元。

个人信息贩卖成黑产

刘新对聚合支付的另一个担心在于,通过“第四方支付”,个人隐私是否会被泄露?

目前,业界对市场上的聚合支付大致分为四大类:只做技术整合的技术集成类平台;涉及信息“二清”的机构转接类平台;有相关牌照的、做信息和资金清算的机构直清类平台;以及主要做资金“二清”类的平台。

事实上,2017年1月,央行下发《关于开展违规“聚合支付”服务清理整治工作的通知》,将聚合支付严格定位于“收单外包机构”,明确规定聚合支付不得采集、留存特约商户和消费者的敏感信息。

遗憾的是,仍存在一些聚合支付的灰色地带。有业内人士向本刊记者透露,在聚合支付平台上发生交易,要想获取消费者信息并不困难,甚至有不法机构贩卖获得的消费者信息。

阿里巴巴集团安全部总监连斌也观察到,随着互联网金融的迅速发展,不少线上互联网金融公司采取注册返现的形式吸引用户,让倒卖身份信息有利可图。

“一些不法分子抓住实名认证技术和制度上的漏洞,倒卖实名身份信息、利用实名认证进行欺诈等违法违规行为和事件频出。”连斌告诉《瞭望东方周刊》。

据他介绍,以前的安全防护主要是针对账号的管理,比如淘宝账户、支付宝账号、银行账号等,但账号跟本人的对应有时会出问题,就有了让人钻的“空子”,即便不是本人也能利用身份信息注册获利。

阿里巴巴集团身份认证部门相关负责人林晶晶告诉《瞭望东方周刊》,一般的实名认证采取本人持身份证照像上传的模式,这甚至衍生了专门收取持证照的黑色产业链。

“这条黑色产业链已经逐渐深入到农村地区。相关人员打着赠送保健品或者提供免费咨询的旗号,要求农村老人拿着自己身份证照相做记录,转身拿到网上卖钱,量极大,并且价格已从几十元一份卖到几百元一份。”林晶晶说。

虞煜军还向本刊记者透露,不少诈骗分子还会锁定学生群体,以兼职的形式骗取他们做认证,成本极低。

本刊记者了解到,互联网公司有几种进行身份管理的技术和措施,皆已成熟:一是通过大数据和云计算,进行身份风险的管控;二是利用人脸、虹膜、声纹、活体认证等生物识别技术,实现精准度更高的认证;三是进行生命周期的动态管理,以剔除“僵尸”身份认证。

“只有从实名认证转向实人认证,才能堵住漏洞,彻底解决隐私泄露、信息贩卖的难题。”阿里巴巴集团副总裁余伟民对《瞭望东方周刊》说。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消