翼支付安全系统存漏洞 银行卡频遭大额盗刷

浮尘

　　线上支付在带来便利的同时，也为用户资金埋下了安全隐患。近日，多位银行卡被盗刷受害者对《中国经营报》记者表示，在持卡人不知情的情况下，银行卡中的资金通过翼支付被盗刷，且翼支付无法查询到被盗刷资金去向。

　　被盗刷后，受害者都曾多次与翼支付交涉，并根据翼支付提出的理赔方案提交相关资料。然而，却迟迟不见处理结果。多位受害者对记者表示，很多受害者都是通过翼支付被盗刷，作为支付通道的翼支付其安全系统存在漏洞，翼支付应该承担责任。

　　记者第一时间致函翼支付公司。根据翼支付回复函中的内容显示，用户资金无故被开通并被盗刷，主要是由于其银行卡和个人信息遭泄露，被不法分子利用，进而导致银行卡中的资金通过翼支付账户被盗刷。

　　业内人士指出，作为第三方支付公司，在跑马圈地扩大市场的同时，亦需要注重用户资金安全问题，加强系统安全建设，以免给不法分子提供犯罪漏洞。

　　无故被盗刷十多万

　　在名为“翼支付被盗维权”QQ群中，目前已经聚集了近400人，且每天仍有许多受害者不断加入其中。记者发现，受害者被盗刷银行卡各不相同，但都是通过翼支付被盗刷，少则上百元，多则十多万元。

　　据来自深圳的周女士回忆，今年7月初至8月中旬陆续发现农行、建行和宁波银行的多张银行卡被盗刷。随后周女士赶往多家银行打印银行卡流水明细，发现均通过第三方支付平台天翼电子商务有限公司上海分公司(即翼支付)被盗刷。

　　据了解，周女士农行卡被盗刷4次，共计4950元；建行卡被盗刷8次，共计9900元；宁波银行卡则被盗刷8万多元。“农行和建行因为确实开通了翼支付，被盗刷也不稀奇，可是没有开通翼支付的宁波银行卡也被盗刷，并且被盗刷期间没有收到任何消费和支付的短信提醒，这让我百思不得其解。”周女士对记者表示。

　　被盗刷后，周女士曾多次与翼支付进行交涉。然而，对于宁波银行卡为何无故被开通翼支付并被盗刷8万多元且毫无提示，翼支付客服的回复是“宁波银行卡在翼支付系统中并未查询到相关资料，被盗刷的十多万元资金是直接在网上商城进行消费，并没有进入翼支付账号。因此，不属于翼支付理赔范围，与翼支付无关。”

　　目前，周女士已向当地警方报案，并与3家被盗刷银行进行交涉。“建行和农行已经在处理被盗刷事宜。”周女士对记者表示。

　　至于宁波银行，其对记者解释称，“客户要求我行协助查询借记卡消费情况及通过银联协助追款。对于客户银行卡消费情况，总行电子银行部已查询到具体商户名称及具体操作消费交易的电脑IP地址，并已将银联和总行电子银行部的调查结果告知客户。目前，我行正等待公安局的调查结论，确定下步处理方案。”

　　维权群中另一位被盗刷上万元的是何小姐，据其介绍，被盗刷银行卡的持卡人是其母亲，目前退休在家，从未网购或者开通翼支付。此前，仅在何小姐买车时在4S店刷过一次POS机。

　　“今年9月7日，我母亲去银行取款发现卡里没有钱。打印出银行交易流水明细发现，从今年8月29日至9月1日，银行卡通过天翼京(即翼支付在农行中的名称)4天共计被刷走2万元。”何小姐表示，在与翼支付交涉后，9月8日晚间，对方表示何小姐母亲由于个人信息被盗导致银行卡被盗刷，目前该账户已经被冻结，钱不会被消费。然而，9月10日下午，何小姐再次接到翼支付的电话，对方则表示账户中的两万元已经被消费出去。然而，当何小姐追问资金去向时，翼支付却表示查询不到。

　　在本报截稿前夕，何小姐致电记者表示，翼支付已经答应进行理赔，不过要等20个工作日左右退款才能全部到账。而损失十多万元的周女士则对记者表示，目前仍未有翼支付工作人员与之联系处理理赔事宜。

　　信息泄露？

　　尽管相关方面对受害者的损失进行了相关处理，但是第三方支付的安全措施仍然存在诸多隐患。

　　对于为何受害者在不知情的情况下被开通翼支付，翼支付方面表示，“银行是绑定银行卡的认证过程中的关键环节，若用户的银行卡关键信息泄露(如手机中木马，被不法分子获取姓名、身份证号、银行卡号，银行预留手机号)，不法分子即可在平台上注册翼支付账户，通过植入木马等方式拦截短信验证将银行卡与翼支付账户绑定，导致用户的银行卡通过翼支付账户被盗用。”翼支付方面表示。

　　关于受害者表示银行清单上显示资金通过翼支付被盗刷，而翼支付却表示无法查询到相关信息。翼支付方面表示，“一般是用户在不知情的情况下在钓鱼网站上输入了银行卡信息或被植入木马后，造成信息泄露，被不法分子获知用户的银行卡信息乃至身份信息，最终发生财产损失。在网银交易过程中，我司提供支付通道的服务，故银行账单上会显示翼支付的名字。但对于此类交易，银行不允许第三方支付机构留存银行卡号及相应信息，故我司无法通过银行卡号等反查到交易明细。”翼支付表示。

　　针对何小姐提出的被冻结资金却仍被消费，翼支付方面则表示，公司只有权冻结用户的翼支付账户，若用户未冻结银行卡，则不法分子仍可通过其他途径或是通过用其他翼支付账户与用户银行卡绑定的方式，转出用户银行卡内的资金。

　　翼支付方面强调，公司对用户开立的翼支付账户存在三重验证，且在不同的消费场景下有“支付密码+短信验证码”的联合验证。此外，公司搭建了风控系统，对于日常的账户级银行卡盗用，通过用户使用的常用终端设备、与用户日常交易行为的复合程度验证。翼支付系统间的所有敏感信息均采用加密传输，且用户的密码均通过加密机加密，无法反编译，翼支付自身无法提锐知用户的密码信息。

　　不过，周女士却并不认可翼支付安全措施已经真正做到位。据周女士反映，其银行卡除了通过翼支付被多次盗刷外，还出现过一单通过某第三方支付公司被盗刷的情况。“之前我并没有察觉，突然就接到该公司客服打来电话，询问我是否进行了消费，怀疑我的账户存在异常。经过核实后，确认账户确实存在问题，该公司迅速冻结了我的账户，并于第二天将钱退给了我。”

　　周女士认为，既然两家都是第三方支付公司，翼支付却不能察觉到账户异常并快速沟通处理。如果真有多重验证和完善的风控模式，不会出现多人被盗刷的情况。

　　近年来，我国第三方电子支付发展十分迅速。根据易观智库《中国第三方支付市场季度监测报告2015年第一季度》数据显示，2015年第一季度，中国第三方支付市偿联网转接交易规模为31365.7亿元，环比增长率为1.43%。

　　实际上，在第三方支付机构加快市场布局的同时，用户资金通过支付公司被盗刷的负面新闻一直不断，并有愈演愈烈之势。有分析人士对记者表示，作为第三方支付公司，在跑马圈地的同时，亦需要注重用户资金安全问题，加强系统安全建设，以免给不法分子提供犯罪漏洞。

HUC-参谋长

学习学习技术，加油！

H.U.C—Prince

学习学习技术，加油！

fireworld

感谢楼主的分享~

H.U.C-麦麦

asion

支持中国红客联盟(ihonker.org)

wilist

支持中国红客联盟(ihonker.org)

perble

还是不错的哦，顶了

ruguoruo

感谢楼主的分享~

xiaoqqf4

感谢楼主的分享~