|漏洞| |网络支付| |财付通|

网络支付危机：财付通账号屡被盗或存安全漏洞(2)

发布时间:2014-06-23 17:01 作者:佚名来源:Zdnet至顶网点击:加载中...次

疯狂木马

如果说支付密码被盗，因金额小而最终只能不了了之，那么另一桩因网络支付遭受损失的案例更具有代表性。

周小琴(化名)是办公室同事中最早开通网银并开始网购的人，而2013年11月的一次帮同事网购经历使她损失惨重。2013年11月18日早上，她通过腾讯旗下第三方支付财付通帮同事支付了拍拍网上购买的2件衣服的款项。当天下午，她接到来自广州的电话，电话称上午购买衣服的订单“卡单”，需要立刻进行退款操作。随后在电话中指引接收QQ传来的名称为“taobao.exe”的文件，并远程退出了360安全卫士等杀毒软件。

最终问题出现在验证这一流程，“taobao.exe”名义为验证使用，实为木马程序。随后对方要求通过网银支付2块钱验证账户所有权。当2元钱验证通过建设银行(4.14，0.00，0.00%)进行完成的同时对方挂断电话。随后，建设银行短信提醒，账户内的资金被分别支付4200元和630元，这时她才如梦初醒，自己账户被盗了。随后她立刻联系中国建设银行，可惜为时已晚，对方称资金已经划拨，他们无能为力，只能提供资金流向。中国建设银行提供的信息显示，钱已经到第三方支付汇付天下和汇元银通。后经过汇付天下市场部公关经理陆奋芬查询，该笔钱已经达到深圳神机网络科技有限公司账下，汇元银通客服查询的结果也指向这家企业。

深圳神机网络科技有限公司运营一家名为“开天网”的充值卡及游戏点卡销售网站，网站备案注册在深圳，公司办公地址却在厦门。该公司客服在接到问询后称，钱已经购买了中国移动[微博]充值卡，对方已经通过预留的邮箱提走卡密码，所涉款是其合法收入来源。

至此，一个密码盗取账户金额、销赃的流程构成一个完成闭环。而在该网站上一处明显的声明中称，“本网站不希望出现任何人利用本网站或因使用本网站而侵犯他人合法权益的行为，但并不保证不会发生此类行为或类似行为。对于因此类行为产生的各类纠纷之任何责任和后果，由相关责任方承担，本网站及其所有者不承担任何责任及后果。”显然，这样的事情并不是个案。

堵截无望，而另一个渠道也同时进行。北京市通州区某派出所立案警官当场就表示，此类案件太多了，鉴于警力和异地作案等因素，侦破没有多大希望，只能靠未来团伙可能被抓、如有这笔钱才能追回。

事情已经过去半年，警方没有任何反馈。

亡羊补牢

面对遭遇支付安全带来的损失，刘亮当天注销了在腾讯财付通的所有快捷支付银行卡，决定从此告别这一支付渠道。而周小琴则下决心不再帮人支付，甚至放弃网银的使用。可这样的日子并没有持续多久，刘亮在关闭财付通后还继续依赖另一家第三方支付运营商支付宝[微博]。而众所周知的是，支付宝也一直深受账户被盗的困扰，不法分子通过木马病毒截留“快捷支付”时收到的短信，从而对绑定的银行卡进行盗刷，常常见诸报端。周小琴在决心放弃网银后不足10天，就因为要购买回家的火车票而再次使用网上支付。显然，互联网支付已经成为他们生活的一部分。

国家显然已经开始重视网络支付安全隐患。一个最明显的例子是，3月在财付通和支付宝两家如火如荼地推行二维码支付时，中国人民银行[微博]支付结算司下发暂停函，要求支付宝财付通全面暂停线下条码(二维码)支付。函件中提到，为防范支付风险，相关支付指令验证方式的安全性尚存质疑。

或者是央行[微博]的暂停让腾讯幡然悔悟，意识到无保障的支付不仅仅给用户带来损失，还将给其业务带来巨大风险。“安全就像水和电一样是移动互联网的基石，尤其在移动支付领域更加重要。”腾讯安全负责人、腾讯公司副总裁丁珂表示。

最新的消息是，腾讯投入不少于5亿元资金，用于支持“移动支付安全联合守护计划”及腾讯安全实验室运营。

支付宝则除了不断提高后台的安全防范级别以外，近两年为了增加客户的信任度和黏性，使其服务更加人性化，支付宝也一直在损失补偿上下工夫。

支付宝2011年推出了快捷支付全额补偿服务，会员账户在不知情的情况下被他人盗用，资金被使用快捷支付方式支出，支付宝将向会员补偿被盗款项。

2012年支付宝又宣布，只要会员账户进行了实名认证，并绑定手机或者使用了数字证书等安全产品，如因支付宝账号被盗造成账户余额损失，都将由支付宝给予补偿。今年4月份，支付宝引入平安财产保险，建立由保险公司保障第三方支付用户资金的安全机制。财付通也推出全额包赔的服务，并引入中国人保财险[微博]等保险公司进行合作，但只限于快捷支付交易的损失。

数据显示，2013年第三方支付企业互联网收单交易额规模为59666亿元，2014年第一季度第三方支付企业互联网收单交易额规模为19600亿元，环比增长率为5.1%。2014年第一季度中国第三方支付企业互联网收单交易额份额排名：支付宝、财付通和银联商务分别以47.63%、18.88%和14.07%%占据市场前三位，前三家支付厂商占据超过整个市场80%的市场份额，

业内专家李烨认为，没有一种支付是100%安全的，互联网及移动支付规模的增长，其交易的安全性需要银行、支付公司、商户、用户等参与各方更加重视。互联网以及移动支付的第三方平台在安全性建设上可以借鉴银行经验。

(责任编辑：安博涛)