謝麗娟

得益于互聯(lián)網(wǎng)技術(shù)和金融創(chuàng)新的發(fā)展，通過以支付寶為代表的第三方支付平臺進(jìn)行支付逐漸成為人們青睞的支付方式。通過將支付寶綁定手機(jī)號碼和銀行卡，人們可以簡單、快捷地實現(xiàn)網(wǎng)絡(luò)支付、信用卡還款以及水電煤繳費(fèi)，甚至還能通過支付寶衍生的產(chǎn)品進(jìn)行投資、理財。但近期，上海市閘北區(qū)檢察院在案件辦理中發(fā)現(xiàn)，由于支付寶涉及大量資金進(jìn)出且多與用戶的銀行卡綁定，一些不法分子將支付寶用戶作為盜竊、詐騙的新目標(biāo)，甚至出現(xiàn)了專門的“洗料盜寶”群，嚴(yán)重地威脅著支付寶用戶的財產(chǎn)安全。

淘寶店家也“中招”

活躍在電子商務(wù)領(lǐng)域的淘寶商家可以算是支付寶最早的受益者。2003年支付寶的推出，給淘寶商家提供了更便利也更安全的網(wǎng)上支付平臺。但近期，閘北檢察院辦理了兩起支付寶盜竊案，受害者都是淘寶店家，而將賊手伸向他們的正是他們店中的“小二”。

今年28歲的小徐年紀(jì)雖輕卻事業(yè)有成，自2007年以來已陸續(xù)和親友合伙開設(shè)了六家淘寶網(wǎng)店，從事服裝買賣。隨著生意的蒸蒸日上，為保障網(wǎng)店日常交易的順暢，小徐專門在西藏北路租賃了一套房子作為網(wǎng)店的辦公場所，并招聘了五名專職網(wǎng)店客服。為了在便利客服開展工作的同時保障支付寶安全，小徐可是“煞費(fèi)苦心”，在開放式的辦公室里，小徐設(shè)置了兩臺專門用于客服網(wǎng)上交易的電腦，將支付寶設(shè)置為記住密碼自動登入的模式，并將支付寶的支付密碼告訴客服工作人員。這樣，客服可以在工作電腦通過支付寶即時完成轉(zhuǎn)賬、退款等網(wǎng)上交易，卻因不知道支付寶的登錄密碼而沒法在非工作電腦以外的地方登入小徐的支付寶。

可讓小徐意想不到的是，他這種看似安全又便利的工作流程恰恰給了他人可乘之機(jī)。2013年，小徐的好友王某也到店中幫忙，主要負(fù)責(zé)售后客服，包括當(dāng)買家對于商品不滿意要求退貨時，將貨款退給買家以及買家給好評時返現(xiàn)獎勵等。發(fā)現(xiàn)自己在工作時可以隨時使用小徐的支付寶進(jìn)行交易，王某直接在辦公電腦上將小徐支付寶賬戶內(nèi)的錢用于網(wǎng)上購物、消費(fèi)。由于六家網(wǎng)店每天都有大量的交易，王某的“小動作”并沒有引起小徐的注意。自2013年7月起，王某陸續(xù)將小徐六個網(wǎng)店支付寶賬戶內(nèi)的余額用于網(wǎng)購或轉(zhuǎn)到自己的支付寶賬戶內(nèi)，每次轉(zhuǎn)賬后，謹(jǐn)慎的王某還會立即將交易記錄刪除。

直到2014年11月，小徐才發(fā)現(xiàn)店內(nèi)營業(yè)賬目有很大的出入，并向警方報案。經(jīng)查，截至案發(fā)，王某累計私自轉(zhuǎn)賬447次，轉(zhuǎn)入其名下支付寶賬戶內(nèi)的錢累計達(dá)到人民幣31萬余元。2015年1月，閘北檢察院以涉嫌盜竊罪將王某批準(zhǔn)逮捕。

另一位淘寶店主黃某也有著類似的遭遇。雖然黃某沒有告訴店內(nèi)任何客服支付寶的登錄密碼或支付密碼，但一名客服胡某在無意中從黃某侄子處得知了密碼，并陸續(xù)將黃某支付寶賬戶內(nèi)的5萬余元余額轉(zhuǎn)走。

有些用戶雖然沒有泄露自己支付寶的賬戶信息，但由于與支付寶綁定的手機(jī)落入他人手中，不但支付寶的存款被盜，支付寶的密碼也被篡改連自己也無法再登入。2014年11月，熱衷于網(wǎng)游的大鵬結(jié)識了一名女網(wǎng)友小潔，并將其帶回了家中。

兩人一起在家中打游戲到深夜1時，大鵬因為第二天還有工作就先去休息了，小潔則繼續(xù)在電腦前玩游戲。玩到凌晨4時，小潔正打算關(guān)機(jī)離開時，發(fā)現(xiàn)大鵬的電腦上還有剛剛退出的支付寶，雖然沒有顯示登錄密碼，但賬戶名就是大鵬的手機(jī)號碼，而大鵬的手機(jī)也正好放在一旁。小潔以“忘記密碼”為由讓支付寶給大鵬的手機(jī)發(fā)送了驗證短信，并重設(shè)了大鵬支付寶密碼，登陸后將大鵬支付寶中的2萬元余額全部轉(zhuǎn)入自己的支付寶后揚(yáng)長而去。

盜刷支付寶已成產(chǎn)業(yè)鏈

如果說小徐、大鵬等人的遭遇主要在于不注重保護(hù)自身支付寶的賬戶信息，那么宋先生的支付寶被盜卻讓人意外。在沒有向任何人透露支付寶賬號的相關(guān)信息、手機(jī)也在自己手中的情況下，宋先生的支付寶和綁定銀行卡的6萬余元竟不翼而飛。

2014年9月，上海的宋先生突然收到一條短信，提示他138的手機(jī)卡在安徽被跨省補(bǔ)卡。由于這個手機(jī)號與自己的支付寶賬號是捆綁的，宋先生立馬意識到事情不妙。打開電腦一看，支付寶的6650元余額和余額寶的5萬元存款相繼被轉(zhuǎn)走，與支付寶綁定的工商銀行卡也已經(jīng)被轉(zhuǎn)走7001元，另外還有一筆1.9999萬元的轉(zhuǎn)賬正在進(jìn)行中，尚未完成。宋先生立即打電話通知支付寶客服停止1.9999萬元的轉(zhuǎn)賬，并向警方報案。

很快，警方就將涉案的錢某、陳某和岳某抓獲歸案，并將案件移送至上海閘北區(qū)檢察院審查逮捕。承辦的檢察官在審查中發(fā)現(xiàn)，涉案的岳某、陳某、錢某儼然已經(jīng)形成了一個完整的支付寶盜刷“產(chǎn)業(yè)鏈”，三人各有“專長”，分工完成了“洗料”“辦證”和“盜寶”，最終成功地盜竊了遠(yuǎn)在千里之外的宋先生的支付寶。

2014年7月，錢某加入了網(wǎng)上一個名為“洗料”的聊天群，并在群中結(jié)識了一群“找料”的“專業(yè)高手”，這些“高手”自稱可以通過木馬軟件輕松地攔截全國各地的支付寶賬戶、密碼、綁定的手機(jī)號碼、身份證信息等“料”。但這些“料”的“質(zhì)量”有高有低，有些信息并不對稱。

2014年9月，錢某以2300元的價格向群中的一個“高手”岳某購買了五條他人的支付寶賬戶、密碼、用戶的身份證信息和綁定手機(jī)號碼，其中一條就是上海的宋先生。找到“料”后，負(fù)責(zé)“辦證”的陳某拿著錢某的照片做了一張宋先生的假身份證。錢某再拿著印著自己照片和宋先生名字的假身份證堂而皇之地走進(jìn)安徽省某移動營業(yè)廳異地補(bǔ)辦宋先生的手機(jī)卡，專門用于截獲支付寶公司發(fā)出的校驗碼和短信提醒。由于錢某能正確地輸入宋先生手機(jī)號的密碼，身份證上的照片也與本人相符，所以錢某很輕松地辦理了異地補(bǔ)卡業(yè)務(wù)。萬事俱備后，錢某在一賓館內(nèi)利用電腦登錄宋先生的支付寶賬戶，神不知鬼不覺地將6萬余元轉(zhuǎn)至自己的銀行卡中。成功得手后，三人又依葫蘆畫瓢地盜竊了另外三人的支付寶。

“防盜”關(guān)鍵在于個人信息保護(hù)

據(jù)支付寶的公開數(shù)據(jù)顯示，至2014年3月20日，支付寶每天的移動支付數(shù)超過2500萬筆，成為中國最大的第三方支付平臺和全球最大的移動支付平臺。

高效、便捷的支付方式在不斷改善用戶支付體驗的同時，支付平臺的安全隱患同樣引起了許多用戶的關(guān)注。在案件的承辦中，檢察官發(fā)現(xiàn)，近年來，針對支付寶的犯罪活動不斷增加，雖然支付寶等第三方支付平臺已經(jīng)設(shè)置了身份證實名認(rèn)證、登錄密碼、支付密碼、短信驗證碼等多道安全防護(hù)屏障，但不法分子還是利用一些安全漏洞隱秘地通過支付平臺盜刷用戶的錢財。如根據(jù)支付寶重置登錄密碼和支付密碼的規(guī)則，當(dāng)支付寶綁定手機(jī)號碼時，如果用戶忘記密碼，可以分別通過手機(jī)校驗碼修改登錄密碼，通過手機(jī)校驗碼和身份證號碼修改支付密碼。所以在前述案件中，小潔同時獲得了大鵬的支付寶賬號及綁定支付寶的手機(jī)，順利地改掉了大鵬支付寶賬戶的密碼。另外根據(jù)我國相關(guān)通訊運(yùn)營商補(bǔ)辦手機(jī)卡的規(guī)定，只要本人攜身份證原件和待補(bǔ)辦手機(jī)號碼和服務(wù)密碼就可以補(bǔ)辦，而且對身份證的審核多為形式審核，無法驗證真實性。

從這些案例中折射出的種種安全隱患，不難看出，只有強(qiáng)化支付平臺運(yùn)營商、通訊運(yùn)營商和政府的責(zé)任，才能降低網(wǎng)絡(luò)支付給用戶帶來的安全威脅。這包括要求支付平臺運(yùn)營商及時修復(fù)管理漏洞，加大客戶修改密碼、頻繁大額轉(zhuǎn)賬等申請的審核力度，不斷研發(fā)和升級保密手段來保障用戶資金安全；通訊運(yùn)營商也應(yīng)加強(qiáng)補(bǔ)卡審核，加強(qiáng)對身份信息真實性的驗證，避免為不法分子提供可乘之機(jī)。政府及執(zhí)法部門還應(yīng)加大對盜刷支付寶等行為的監(jiān)管、打擊和處罰力度，為網(wǎng)絡(luò)支付創(chuàng)造良好的社會環(huán)境。

此外，更值得關(guān)注的是，這些針對支付寶用戶的犯罪活動還呈現(xiàn)出智能化、手段隱蔽、團(tuán)伙作業(yè)等特點。在這類盜刷支付寶的犯罪活動前端涉及公民個人隱私的泄露問題。目前，在網(wǎng)絡(luò)上充斥著大量的“洗料”“攔截料”“收料代洗”群體，每天都有大量的銀行卡、支付寶和公民個人信息被買進(jìn)和賣出，這些“灰色”的信息交易隱藏在虛擬的網(wǎng)絡(luò)環(huán)境之中，既無從得知買賣雙方的真實身份，也無法一一甄別信息的來源和真假，對于政府和司法機(jī)關(guān)而言，無疑極大地增加了打擊和取證的難度。

但可以肯定的是，個人信息的泄露是支付寶被盜刷頻發(fā)的根源所在。要避免支付寶被盜刷，最有效的方法就是用戶加強(qiáng)自身的安全意識，主動采取事先防范措施，保管好個人的賬號、密碼、身份信息及手機(jī)。用戶在設(shè)置相關(guān)密碼時，盡量選擇安全系數(shù)較高的密碼，不向他人透露支付寶的賬號、密碼、驗證碼等信息。使用電腦、手機(jī)等終端登錄支付寶時盡量不要選擇記住賬號和密碼，用完后應(yīng)及時退出。登錄密碼和支付密碼最好不要重復(fù)，并及時更新替換。注意保護(hù)自己的身份信息，不輕易泄露自己的身份證號、銀行卡號、手機(jī)號碼等，不讓自己成為身份信息被售賣的受害者。

同時，用戶還要強(qiáng)化警惕意識，避免打開或瀏覽不可信的網(wǎng)站，不要在免費(fèi)的wifi環(huán)境下使用支付寶進(jìn)行交易或隨意掃描二維碼，以免陷入網(wǎng)絡(luò)釣魚陷阱。經(jīng)常用安全防護(hù)軟件進(jìn)行掃描，防止網(wǎng)絡(luò)惡意攻擊。在綁定手機(jī)號碼、銀行卡時，可以選擇不在綁定的銀行卡中放置過多錢財，將上網(wǎng)登錄支付寶的手機(jī)和接收支付寶驗證碼的手機(jī)區(qū)分開，增加網(wǎng)絡(luò)黑客獲取個人隱私的難度。一旦遇到綁定支付寶的手機(jī)丟失、突然故障、長時間沒有信號或支付寶無法登陸等情況，一定要及時凍結(jié)綁定的支付寶賬戶、到營業(yè)廳補(bǔ)辦SIM卡、將綁定銀行卡中的錢款轉(zhuǎn)出，降低支付寶被盜刷的風(fēng)險，防止損失擴(kuò)大。

編輯：鄭賓 393758162@qq.com