近年来,通过非银行支付机构办理支付业务的客户资金风险案件频发,暴露出部分支付机构一味追求支付便捷而忽视支付安全、支付系统存在严重漏洞、客户资金安全和信息安全难以得到有效保障等问题。
1、支付机构违规提供接口,为赌博网站提供支付服务
2015年11月17日,媒体报道一家名为“博狗”的境外赌博网站可使用银联在线支付和支付宝支付进行赌博交易。经调查,该赌博网站利用支付机构对特约商户管理漏洞,通过非法连接支付机构正常商户支付接口实现涉赌资金网上收付。其中,该网站所显示的“银联在线支付”图标系冒用,支付宝通道由支付宝特约商户“深圳市乐华晟贸易有限公司”提供。实际的支付路径为支付宝、汇潮支付有限公司、上海汇付数据服务有限公司、宝付网络科技(上海)有限公司和智付电子支付有限公司收单后直送发卡行网银处理或由银联转接清算。至调查时,涉事收单机构已关闭了涉事商户的交易权限,进一步的风险处置正抓紧实施。该情况属于典型的支付机构对特约商户交易行为监控和管理不力,导致特约商户支付接口滥用,为赌博资金提供了便利。
2、支付机构对商户资质审核不严,导致接入欺诈类交易平台商户
日前,公安机关侦办了一起涉嫌利用虚假现货交易平台实施诈骗的案件,暴露出支付机构对商品现货交易平台类商户审核不到位、风险监测不力、支付账户设置和管理隐含法律风险等隐患。犯罪嫌疑人成立电子商务类公司,虚构“XXX大宗商品现货交易平台”等现货交易平台,通过征召多个一级代理商招揽群众参与平台交易。在被骗者刚开始投入小额资金试探阶段故意让其盈利,待其投入大额资金时,通过后台人为操纵造成被骗者亏损。虚拟现货交易平台通过与部分支付机构签订协议完成资金划转、虚假现货平台事先购买他人开立的多个银行卡账户并以他人名义参与交易。当其通过后台人为操纵造成被骗者亏损时,亏损金额通过支付机构从被骗者银行卡账户或支付账户转入犯罪嫌疑人控制的、事先购买并设置的银行卡账户。据统计,两个平台受害群众达到数千名,涉案金额过1亿元。
3、擅自开放代扣接口给外部平台,导致客户银行账户资金无端被扣划
2015年发生多起用户银行存款莫名消失的情况,来自湖北的罗先生的银行卡先被存入1.61元,紧接着手机收到的短信提示显示卡里剩余的近8万元被人悉数转走,几乎是1分钟转走1万元,10分钟全部转完。经过调查分析,发现这些交易是由于一些支付机构滥用跨行代扣接口导致的。按照行业惯例,代扣接口一般用于水电煤、保费等小额定期支出,不能用于投资理财之类的大额划账。但是,近几年一些支付机构在与商户建立“代收业务”合作关系时,不履行尽职调查义务,对商户准入资格、资金交易的真实背景、被扣款主体的意愿及身份信息疏于审核验证,导致不法分子通过伪造客户签名和委托扣款协议成功扣划客户银行存款,将风险从支付机构向商业银行扩散转移。
4、互联网金融平台借助第三方支付非法吸存
目前,根据公安机关反映,在利用p2p平台非法吸存或在未取得行政许可非法设立期货交易平台等犯罪案件中,犯罪分子将平台接入支付机构,在第三方支付机构开立支付账户,由支付机构为客户提供支付通道,资金汇集后仍由平台直接掌控账户资金。如德州公安机关侦办的“财益创投”非法吸存案件中,犯罪嫌疑人宣某注册成立乐陵市鑫广源投资管理咨询有限公司并建立P2P平台,该平台在多家第三方支付公司设立支付账户后非法吸存。菏泽公安机关侦办的“雅戈创投”P2P平台非法吸存案件中,接入宝付公司设立账户归集资金。此外部分P2P平台借助投资人追求资金安全的心理,大肆宣传与第三方支付机构开展资金托管、平台无法触碰项目投资资金、资金直接划转到借贷项目企业等虚假内容,而平台却通过制作虚假标的文书、转移截流投资资金。如济南公安机关侦办的上咸投资有限公司非法吸存案件中,该平台采用上述手段于2013年至2014年期间反复制作虚假投资标的非法吸存。
5.快捷支付系列风险案件
近年来快捷支付在网络支付业务中应用广泛。快捷支付仅需要客户的少量身份信息、卡号和手机号即可开通,之后凭借手机短信验证即可实现资金快速的扣划。快捷支付的低门槛和便捷性同时带来了较高的风险,由于手机病毒泛滥、客户个人信息自我保护意识不足,手机号码实名制管理有待加强,因此快捷支付成为不法分子盗取客户资金的重灾区。与此同时,支付机构违规在未取得银行授权、且客户未经银行核实真实意愿的情况下即与客户签订快捷协议,扣划客户资金,进一步加剧了快捷支付业务的风险。
以下是一些由于客户主客观原因导致个人信息泄露后,支付机构没有严格履行监管要求从而导致客户资金被盗的典型案件:
案件(1):假冒银行工作人员,获取银行卡信息
2015年8月,陆先生接到一个号称平安银行工作人员的电话,说可以给他的信用卡提高额度,按照他们提示把手机收到的动态密码告知了“平安银行工作人员”,结果该银行卡内资金被扣刷,后陆先生和银行取得联系,发现该笔资金已通过某支付公司网站扣划。该案中支付机构未取得银行授权即与客户签订快捷协议,不符合监管规定。
案件(2):伪造银行短信,利用虚假网站扣划持卡人资金
2015年7月,孙女士收到95533的短信提示,提示内容为积分兑换,后孙女士根据短信提示的手机网站(GOQCFR.COM),输入身份证号码、银行卡号、姓名、银行卡密码,之后就收到银行的扣款短信。后持卡人通过银行得知钱是由某支付公司扣取,经公安查明,孙女士是登陆的是一个虚假网站,不法分子利用孙女士填写的信息开通快捷支付将资金转移。
案件(3):植入手机木马盗取客户资金
2015年11月,席女士名下建设银行储蓄卡,在某支付机构开通快捷支付,向该支付账户中充值5000元,并在充值成功后5分钟之内发起多笔向他人银行卡转账的操作尝试。席女士在交易发生前手机收到一条“10086”发来的短信,内容为“预存话费,存100返300,详情点击链接......”客户点击链接后导致手机中木马无法收到短信而被盗刷。经查在签约快捷支付时有手机校验码发送记录,且客户手机详单中显示当时客户手机有往陌生号码转发短信的记录,该案件是典型的客户手机中木马后短信被转移的案件。
案件(4):通过贷款获取持卡人信息,盗取资金
2015年10月,四川吴先生致电某支付公司客服反映自己名下农业银行借记卡,在该平台发生2笔1999元的快捷支付交易;经查该银行卡签约快捷预留的手机号归属地为北京,与客户实际生活居住地不一致,吴先生表示自己在银行卡被盗刷之前从网上申请了贷款,按照对方提示办理了一张农行借记卡,将对方提供的手机号码预留在银行系统,并将身份信息、银行卡信息均提供给了对方。诈骗分子利用替客户完成贷款或信用卡审核等为借口,诱骗持卡人在银行预留其指定的手机号码,成功开通快捷支付并完成盗刷。
案件(5):客户手机号码被替换,导致客户银行卡被盗刷
近日,务工人员小张在网络上看到某代办信用卡的信息,联系到代办人刘某,并按刘某要求提供了个人身份证号、银行卡号等信息,随后,其银行卡内的10000元资金被转走。经查询,资金是通过某支付平台转出的。不法分子作案手法如下:第一步,以代办信用卡需要证明申请人的“财力”为由,要求小张新办理一张借记卡,并至少存入15000元;第二步,以方便“验资”等借口,要求小张在办理借记卡时填写指定的手机号为预留号码,并要求提供办卡人的身份证号和银行卡号;第三步,不法分子巧妙利用某支付平台的交易规则,根据小张提供的银行卡号、身份证号等信息申请绑定银行卡,并通过指定的手机号码接收验证码,完成支付账户对银行卡的绑定,盗取资金。
以上案件均是客户信息被盗取后资金被迅速转移,如果支付机构能够严格按照监管规定,在客户开通快捷支付时,分别取得客户和银行的授权,同时要求客户在与支付机构签约的同时,与商业银行独立签约,在客户信息泄露的情况下,依然能够避免大部分资金损失的状况,更好的保护客户资金安全。
6、支付账户“被关联”,网友表示“有点慌”
2015年10月10日,新浪微博某网友发布长微博,反映他无意间发现自己在2010年完成了身份证信息、银行卡信息认证的支付机构实名账户下,多出了5个未知账户。作为账户主体,他完全不知道是在什么时候出现了这5个绑定账户,也完全没收到任何形式的确认或是告知信息。而通过实名认证的支付账户可以进行保险、贷款等多项服务,危险系数较高。他马上联系了该支付机构线上客服及官方客服电话反映情况,客服回应称该机构下支付账户绑定功能没有短信、邮件、站内通知等形式的实时通知,需要用户自己登录查看实名账户绑定情况,个人账户被他人绑定了子账户,需要申诉解除绑定,目前解绑功能的开发尚在研究中。该网友对此回应表示难以接受,在尝试使用自助服务申请解绑的过程中被告知“暂不能进行身份占用申诉”。因此在长微博的最后,他提出该支付机构实名认证系统存在重大漏洞,在当前仅凭身份信息就认定账户所属且不发出通知的行为“难免太儿戏了”。此次事件马上在网络上引起热议,网友们纷纷表示:“有点慌,吓得我赶紧打开支付账号检查一下。”经了解,不少用户表示“中招”了,已电话联系该支付机构要求进行解绑,用户朱小姐提出“希望能尽快提供自助解绑的功能”。随后该支付机构微博发布声明:已对所有认证账户进行系统核查,对可能存在的异常关联认证情况进行了释放处理。
7、乌云平台曝支付机构系统漏洞,客户信息面临风险
2015年10月24日,乌云平台发布某第三方支付机构系统漏洞,发现只需一个手机号即可查到账户资金变动信息(包括余额、工资、资金明细、转账验证码等)。此漏洞主要涉及银行卡交易短信日志风险,目前已得到涉事支付机构的确认。业内人士评论称,尽管从目前情况看该漏洞主要涉及对已发送短信的查看而不是实时账务,但账户余额、手机号及卡片尾号后四位数据泄露有可能会引发针对性诈骗。(来源:鹿头社)
