支付公司商户审核存漏洞移花接木篡改订单
随着越来越多的衣食住行服务通过线上渠道进行资金交付,网络“钓鱼”诈骗也日愈猖獗,让人防不胜防。近日,北京的赖先生在网络上购买机票时就遭遇虚假网站的钓鱼。
易宝支付风控经理谭娟给本报记者详解了网上支付钓鱼的整个过程,木马钓鱼和虚假网站钓鱼都会在用户支付的过程中篡改订单,用户难以察觉,第三方支付公司也无法识别被篡改后的订单。
中国互联网络信息中心调查报告显示,用户对担保交易的支付安全性评价最高,但包括易宝支付在内的多个第三方支付工具并没有担保交易的功能,给支付安全埋下隐患。而业内人士指出,由于市场竞争过于激烈,部分支付机构存在对商户审核不严的现象。
移花接木篡改订单
据赖先生介绍,他在一家名为保盛航空的网站购买了一张机票,在支付完成后,却没有成功购票。随后,该网站便无法登录,电话也无人接听,查询航空公司也无相关购票信息。
银行提供的电子回单显示,收款人为北京通融通信息技术有限公司,即易宝支付。赖先生致电易宝支付客服,被告知其买的不是机票,而是游戏币,钱已转给了一家位于长沙名为美天文化传播的公司。
易宝支付相关人士对记者表示,接入的商户都有严格审核流程。如果遇到有用户投诉商户存在钓鱼或欺诈行为,会立刻冻结该商户的账户,如果查明确实有问题,就会关闭该商户的端口。对于美天文化,易宝支付方面表示已联系不上。
据谭娟介绍,常见的网站钓鱼有三种方式:一是通过电子邮件或聊天工具等提供的链接来访问。二是在用户的电脑里植入木马,用户进行网上支付时木马程序就会启动,修改用户的订单。三是假冒网站,不法分子模仿购物网站建立虚假网站,通过较低的价格诱使用户下单支付。
谭娟称,赖先生所遭遇的是典型的虚假网站钓鱼。被木马“钓鱼”后,用户在购物网站下的订单会被木马程序替换。同时,还会重新生成一个订单提交给支付公司,通过移花接木的方式,用户支付的资金就代付了其他订单。
商户审核存漏洞
赖先生怀疑,第三方支付公司有可能和不法分子联合起来对用户进行欺诈。易宝支付相关人士坚称,对接入的商户都有严格的审核,更不可能和不法商户合谋。谭娟表示:“支付公司看不到用户的信息,也不知道用户购买的商品。”第三方支付公司作为支付通道,既无法核实交易的真实性,也无法识别订单的真假和被篡改后的订单。
一位支付行业人士告诉记者:“企业之间的竞争非常激烈,不排除易宝在市场份额面临众多支付公司的侵蚀时,会放宽对商户的要求。”
目前,排名前十的支付公司占据95%的交易量,另外的300多家在抢剩下5%的市场份额。易观国际数据显示,2012年第三方互联网支付市场的份额中,支付宝占据了46.6%,财付通占20.9%,银联网上支付占11.9%,三甲就占据了近80%的市场份额。而排名第六的易宝支付,市场份额仅为3.5%。
上述人士还表示,不少商户会以代理、包销等身份获得第三方支付公司的通道,也就是与支付公司有合作的商户会把端口租借给别的商户使用,但支付机构很难对这些商户进行监控。
至于通过收取保证金方式约束商户,上述人士更认为不现实。“现在第三方支付公司市场竞争压力太大,要签约一个优质商户很难。”
中国互联网络信息中心2012年发布的《中国网络支付安全状况报告》显示,有 3.2%的网上支付用户表示最近半年曾遭遇支付不安全事件,其中钓鱼网站诱骗支付占首位。报告中问卷调查结果显示,用户对担保交易的支付安全性评价最高,如支付宝的交易模式。
但包括易宝支付在内的支付机构人士则称,两者模式不同,也不会复制支付宝的模式。“支付宝在淘宝的支付是C2C,很多是个人店铺,个人信誉很低,所以需要担保。而我们不面向用户个人,面对的都是行业或者商户,信誉较高,没有这个必要,也不会复制这种模式。”
对于用户因被钓鱼欺诈后发生的损失,支付宝也曾高调宣布,给用户免费赠送一份平安的保险,如果发生被钓鱼或被盗刷,将通过保险全额赔付。而易宝支付方面则表示,不会对赖先生被钓鱼后的损失进行赔偿,请其报警处理。