经常外出就餐的刘鑫(化名)发现餐厅前台的支付二维码发生了变化。
“以前可能只支持支付宝或者微信支付,现在统一了二维码,囊括了所有支付方式,方便了很多,但不知道安全不安全。” 刘鑫告诉《瞭望东方周刊》。
他感受到的便利是由“第四方支付”或者聚合支付机构提供的。 这些机构在自有平台上整合各种第三方支付方式,为线上电商提供聚合网络支付,为线下实体商户提供聚合移动支付。
据前瞻产业研究院发布的《2017-2022年中国聚合支付行业市场及投资战略规划分析报告》不完全统计,目前国内聚合支付机构有上百家,包括钱房好金、收银宝、、、等机构如水钱吧、Ping++、。
然而,聚合支付虽然为商户降低了技术成本和财务对账成本,为消费者提供了多元化的支付选择,但仍然存在诸多漏洞和风险:欺诈、盗窃、洗钱、信息泄露等违法事件。 屡禁不止。
2017年11月13日,中国人民银行发布《关于进一步加强无证支付业务整治工作的通知》(以下简称《通知》),要求坚决切断无证机构支付业务渠道,遏制无证支付业务。打击支付服务市场乱象,严厉打击支付服务市场违规行为。
2017年11月16日举行的第六届中国支付清算论坛上,中国人民银行党委委员、副行长范一飞表示,支付业务是重要的金融业务,无论是国有企业经营实体、私营实体或外资机构。 无论从事何种业务,一律实行准入制度,接受监管。
业内人士普遍认为,在强有力的监管背景下,支付行业的漏洞将被填补,包括“第四方支付”在内的支付市场也将面临大洗牌。
盗窃行为很容易被发现,但很难处理
刘鑫之所以担心聚合支付,是因为他遭遇过支付被盗的情况。
“我在网上买了一件衣服,还没发货,店家说后台有问题,让我给他提供支付二维码,他就把钱退给了我。” 刘鑫告诉记者,退款是从“到货”那里收取的,但随后第三方支付中的数百元被盗。
像这样的盗窃事件并非偶然。
2017年8月,浙江绍兴警方破获一起涉及“第四方支付机构”的涉嫌诈骗案件。
办案民警黄警官告诉《瞭望东方周刊》,诈骗者开设网店,利用网购退款获取消费者支付二维码,并通过一家名为普云的聚合支付公司获取扫枪等设备。直接使用。 扫描二维码即可提取消费者账户中的余额。
“有些支付码和支付码集成在同一个二维码中,给不法分子留下了可乘之机。”黄警官说。
据他介绍,由于不同的第三方支付机构每笔交易都有199元、499元等限额,聚合支付公司可以在后台看到客户每次最高金额的异常资金流向。
“但普云只是象征性地冻结了诈骗者的账户,并要求诈骗者支付20%的手续费,这相当于‘黑白分明’。” 黄警官说道。
此外,他还向本报记者透露,一些“第四方支付机构”还会提供非法网络支付服务,比如向色情网站支付服务收取8%的费用,向赌博网站收取10%的费用。
“像这样的‘第四方支付机构’调查难度很大。一方面,受害人与机构可能不在一个地方,警方存在管辖困难;另一方面,因为他们有很多正常的生意都需要掩盖,他们不能,所以我们可以从头开始调查。” 黄警官表示,最终的取证颇为巧合,是通过员工与诈骗者未删除的聊天记录完成的。
国家信息中心网络安全研究所副所长叶红告诉《瞭望东方周刊》,利用互联网金融监管漏洞事件频发也与相关法律法规不完善有关。
“在查处互联网金融违法犯罪活动时,电子证据的有效性、合法性还存在缺陷,导致违法犯罪事实认定困难。必须加强电子证据研究,推动电子证据在立法中的使用。”进一步改进,”她说。
“黑钱洗钱”的秘密通道
当欺诈规模扩大时,犯罪分子就会集中精力洗黑钱。 在这个过程中,“第四方支付”也出现了,只不过他们依赖的媒介不再是二维码,而是点卡、充值卡的密码。
需要理解的是,消费者通过微信支付、支付宝等第三方支付平台在线充值话费时,实际上是从消费者到第三方支付机构,再聚合支付给三大运营商。 在这个链条中,聚合支付一方面整合第三方支付平台和三大运营商,通过运营商提供的在线直接程序接口实现充值。
2017年7月,江苏省宿迁市公安部门破获一起涉及手机充值卡数字卡密码的诈骗案件,发现手机充值卡涉及的上游销售者、下游发货人、卡消费者等均涉嫌涉案。
本报记者了解到,2017年1月,江苏宿迁居民李刚(化名)在网上打工,在“仁信数码”购买了一张面值100元的手机充值卡数字卡码。卡商城”售价110元。 将卡号发送给“商户”,即可获得115元现金返利。
李刚试了一下,立即收到了115元。 他立即觉得“商家”值得信赖,于是以同样的价格购买了一张4840元的手机充值卡,并将数字卡代码发送给“商家”。 但这一次他并没有收到返还的现金。 李刚发现自己被骗,报了警。
这些诈骗手机充值卡的秘密急于套现。 福建厦门的王军(化名)发现了“商机”,专门以96元、97元、97.5元的低价回收了骗得的100元面值电信卡。 、中国联通、中国移动手机充值卡,然后以较高价格出售给聚合支付机构江苏奥飞网络公司(以下简称奥飞公司),由奥飞公司消耗卡密。 当然,这些卡密的售价还是低于通过正常渠道购买卡密的价格。
公安部门调查发现,月底、月初充值高峰期,三大运营商的服务器响应缓慢。 为了保证充值质量,欧菲的系统会调用卡库利的密码给客户充值。 这为“黑钱”提供了可乘之机。
公安部门了解到,欧菲光从王军处回收的卡密不仅没有进入卡库,而且从回收到消费耗时长达2分钟,与通常10天左右的存储时间不符。 公安部门进一步调查发现,王军向欧菲公司出售的卡密总额超过9700万元。
阿里巴巴集团安全部总监于玉军向《瞭望东方周刊》透露,卡号、密码交易诈骗占“第四方支付”整体犯罪的80%以上。
2017年8月,“浙江丽水615工程”关闭互联网,捣毁涉及全国12个省份的40个电信网络诈骗窝点。 抓获犯罪嫌疑人540人,刑拘犯罪嫌疑人414名,查扣、冻结涉案资金资产3035万余元。 现场查获现金567万元。 经初步调查,全国近万人受影响,涉案金额1.6亿元。
个人信息被当作黑产品出售
刘鑫对于聚合支付的另一个担忧是,个人隐私是否会通过“第四方支付”泄露?
目前,业界将市场上的聚合支付大致分为四类:只做技术集成的技术集成平台; 涉及信息“二次清算”的机构转移平台; 以及具有相关牌照的信息、资金清算业务。 机构直接清算平台; 以及主要处理资金“二次清算”的平台。
事实上,2017年1月,央行发布《关于开展非法“聚合支付”服务清理整顿的通知》,将聚合支付严格定位为“收单外包机构”,并明确规定聚合支付不得收集或保留特殊商家和消费者敏感信息。
不幸的是,聚合支付仍然存在一些灰色地带。 业内人士向记者透露,聚合支付平台发生交易时获取消费者信息并不困难,一些不法机构甚至将获取的消费者信息进行出售。
阿里巴巴集团安全部总监连斌也观察到,随着互联网金融的快速发展,不少线上互联网金融公司采取注册返现的形式来吸引用户,倒卖身份信息盈利。
“一些不法分子利用实名认证技术和系统的漏洞,倒卖实名身份信息,利用实名认证实施诈骗等违法行为和事件。”连斌告诉《瞭望东方周刊》。
据他介绍,以前的安全防护主要是针对账户的管理,比如淘宝账户、支付宝账户、银行账户等,但有时账户与人的对应关系会出现问题,就会出现一个可供人利用的“漏洞”,即使不是我也可以用我的身份信息注册赚钱。
阿里巴巴集团身份认证部门相关负责人林晶晶告诉《瞭望东方周刊》,一般实名认证采用的是上传持身份证人照片的模式,甚至催生了一条黑色产业链。专门收集身份证的。
“这条黑色产业链已经逐渐渗透到农村地区,相关人员打着赠送保健品、免费咨询等幌子,要求农村老人拍摄身份证照片备案,然后转身在网上出售,以获取高额收入。” “钱,量很大,而且价格也从几十块钱一块,涨到了几百块钱一块。”林菁菁说道。
余玉军还向记者透露,不少诈骗分子还会针对学生群体,以兼职的形式,以极低的成本骗取他们的认证。
记者了解到,互联网企业对于身份管理有几项成熟的技术和措施:一是通过大数据、云计算来管控身份风险; 二是利用人脸、虹膜、声纹、活体认证等生物识别技术,实现更精准的认证; 三是进行生命周期动态管理,杜绝“僵尸”身份认证。
“只有从实名认证转为实人认证,才能堵塞漏洞,彻底解决隐私泄露和信息贩卖问题。” 阿里巴巴集团副总裁于伟民告诉《瞭望东方周刊》。