频繁被盗刷 百度钱包启动应急预案
移动支付对于消费者来讲并不陌生,它的出现让交易变得无所不在。同时,移动支付就像一把双刃剑,消费者不经意间的疏忽就会使自己的账户蒙受损失。
在互联网时代下,频发的盗刷现象难道仅仅是运营商的责任?现在来看,这种结论为时尚早,究其原因,或许个人信息的泄露才是真正的隐患。
夜半短信
7月6日晚,“夜半短信”惊醒了梦中人,小张蒙眬中打开手机一看,发现自己的3笔转账已经完成,同时还有一笔291元的游戏充值业务也完成支付。而此时,他再也睡不着了。
回忆起当天晚上的情形,小张仍然心有余悸,他对记者说,怎么也想不到,令人信任的百度钱包竟然出现这样的问题,事发之后,他就把银行卡和百度钱包“解绑”了。
根据小张提供的短信来看,这4笔交易全部发生在凌晨2:05,其中3笔都是通过快捷支付的方式每笔转走400元,总计1200元,另外还有一笔291元的游戏业务充值。“第一时间我就申请了账户冻结,并在当天去派出所进行了备案,好在我卡里的钱不多,不然还不知道要损失多少呢。”小张说。
随后,小张又给百度钱包的客服打了电话,百度客服登记了小张的用户信息并表示会在5天之内联系他。“没过几天百度钱包就给我打了回访电话,登记了我的个人信息和银行卡信息之后,过了两天就收到了全额的赔付,但是这个百度钱包我是真的不敢用了。”小张说。
随后,新金融记者通过相关渠道了解到,这种被盗刷的情况并不在少数,目前中招的用户已至少有100多人,而且人数还在增长。不仅如此,本次盗刷涉及范围十分广泛,包括北京、天津、河北、山东、海南在内的全国多个省市均出现了盗刷的情况。
记者通过梳理相关信息发现,百度钱包被盗刷的情况多发生在凌晨0:00到2:00,用户被盗刷的金额少则几百元,多则上万。不仅如此,一直标榜“支付双保险”的百度钱包在此次盗刷的过程中,有的用户甚至连消费的短信提醒都没收到,且冻结银行卡账户也阻止不了消费行为。
何以被盗
盗刷事件发生后,蒙受损失的用户无一不将矛头指向百度,认为其支付平台的安全系统存在漏洞。
就盗刷事件,百度钱包的公关公司优格公关表示,百度钱包与全国各大银行都展开了良好的合作,银行接口方面不存在问题。在安全技术上,百度钱包具备完整的行为监控策略和风险主动识别机制,对盗用行为能迅速识别和拦截,因此,百度钱包支付平台的安全系统并不存在漏洞。
“但如果真的出现盗刷情况,请百度用户及时冻结账户,第一时间拨打百度钱包24小时官方客服电话,根据客服人员提示提供相应的资料,以便信息及时核实。”优格公关张立霞说。
既然监控和风险识别系统均属顶尖,又能够对盗刷行为迅速识别,为何盗刷事件仍没有停止?
“经百度钱包团队技术核查与分析,盗刷主要原因涉及钓鱼、木马、撞库等等。对此,百度钱包已启动紧急预案进行快速处理,目前,盗刷行为已经得到控制。”张立霞说。
百度钱包的这种说法,也得到了技术人员的支持。在采访过程中,无论是银行的工作人员还是警方人员都向记者提及了一个专业术语——“撞库”。
“撞库”是黑客的专用术语,与其相关联的术语还有“拖库”和“扫号”。
一般情况下,不法分子都会先通过拖库手段入侵一些安全度较低的中小型网站,取得大量的用户注册名和密码数据。然后用专门的“扫号”软件,批量验证账号密码的价值,最后再把这些有价值的用户名及密码跟网络银行、支付宝、淘宝等网站进行匹配登录,这就是“撞库”。
据介绍,由于很多消费者为了省事,在很多网站上的用户名和密码均相同,因此一些黑客在“搜刮”账户时往往收获颇丰。
对此,民警孙烺还表示,现在移动支付会存在一定的隐患,犯罪分子还会通过钓鱼等方式获取用户的身份证号、姓名、手机号、卡号,然后利用这些信息重新做绑定就可以实现通过验证码避开密码输入。
“用户在使用类似网络支付软件的时候,一定要注意保管好自己的账户信息,尤其是涉及支付环节的密码,尽可能与常登录网站的密码区别开来。同时,对进入的网站也要多加小心,避免被恶意钓鱼盗取用户信息。”孙烺说。
赔偿风波
“对于此次资金受损用户,百度钱包也已启动快速定案赔付机制,陆续对受损用户进行定损赔付。”张立霞说。
相关人士表示,目前已有至少几十名用户得到了百度的赔付款。已经获赔用户则表示,一般情况下,拨打百度钱包客服之后5个工作日左右会接到百度钱包的回访电话,届时,百度钱包会要求用户提供个人的相关信息来定损。大约3-5天之后,百度方面会将赔付款打到用户指定的银行账户上。
百度方面则表示,经过对用户反映的情况进行核实后,百度都会进行相关处理。对于因用户非主观过失导致的账号被盗、资金损失,一经核实,百度钱包承诺承担全额赔付;对于其他原因造成的被盗被骗,百度钱包将配合警方,积极提供相关的证明和必要的技术支持,帮用户追讨损失。
但来自河北秦皇岛的孙女士却没有得到先行赔付的款项。“6月26日、27日,我父亲的银行卡分5次被盗刷了2万元钱,但我父亲根本就没有网购习惯,也没有开通百度钱包,手机上也没有收到什么验证码。但可以确定的是,这5笔转账全都是通过百度钱包划到了同一人的账户下。”孙女士说。
孙女士告诉记者,被盗刷之后,她一直在和百度钱包方面沟通,每次得到的答复都是在走程序,请耐心等待。
但随后,事情却出现了反转。
7月23日,百度钱包方面联系了孙女士,称他们监测到这笔转账有疑问,并做了电话回访,电话那边设置了呼叫转移,当电话接通的时候,这名用户称是孙女士父亲本人。因此,百度钱包认为是孙女士的父亲自己泄露了信息,因此并不能进行先行赔偿。
在梳理信息的过程中,孙女士的父亲称其被盗刷的前一天晚上,收到了一条短信,称是同学聚会的照片,下面还有一个网址链接,当他父亲点进去之后,并没有发现什么异常也就没有在意。
但当孙女士查询百度钱包的记录时发现,当天晚上,有人用孙女士父亲的信息注册了百度钱包,并设置了呼叫转移,这才造成了巨大的损失。目前孙女士已经报案,案件正在调查当中。“2万块也不是小数目,现在每天都被这个事情牵绊着,十分头疼,也不知道什么时候才能破案。”孙女士说。
然而,用户在申请赔偿的过程中,一直有一个疑团困扰其中,就是如何界定非主观因素盗刷。
对此,百度钱包表示自建的风控系统可以配合百度大数据对欺诈风险进行识别和确认,及时将异常交易转入人工审核或者拦截。这是鉴别是否非主观因素盗刷的基础。
“客户的风险识别认定是一个非常复杂而专业的工作,基于百度大数据的分析,我们可以从一笔支付行为中获取一百多项信息,这些信息都会被应用于风险识别。并且,系统还具有类似人工智能的自我学习能力,可以帮助我们在今后更好地分析用户行为习惯。所以,一旦出现异常操作,百度钱包的风控系统将立即启动拦截,这对于防止盗刷来讲也非常有帮助。”张立霞说。
同时,张立霞也表示,风控系统并不能100%地杜绝盗刷情况,一些有疑问的案件还需要警方的配合才能做出最后的判定。像孙女士父亲这样的情况,是由于自身的原因泄露了个人信息,百度钱包将会配合警方提供技术支持,尽快协助破案。
信息隐患
不难看出,即便各大支付平台的预警监测系统如何灵通,不法分子的“刷钱”技巧也在随时更新。究其原因,消费者个人信息的泄露才是移动支付最大的安全隐患。
7月22日,“2015中国网民权益保护论坛”上,12321网络不良与垃圾信息举报受理中心代表该部门发布了《中国网民权益保护调查报告2015》(马下简称《报告》)。
《报告》显示,目前我国网民数量为6.49亿。最近一年网民因垃圾信息、诈骗信息和个人信息泄露等原因而遭受的总体经济损失约805亿元,人均损失为124元。而高达7%的网民近一年遭受的经济损失在1000元以上。
其中,网购令网民损失最严重,网民遭受损失的范围广,平均损失规模大,曾在网购中遭受损失的网民比例高达65.3%,平均经济损失为176.2元。
据12321网络不良与垃圾信息举报受理中心副主任郝智超介绍,超过80%的网民明显感受到个人信息泄露对日常生活造成的影响,近半数网民认为个人信息泄露情况非常严重。
同时,《报告》显示,目前我国网民的网络权益受侵害情况已非常严重。但鉴于大部分网民受骚扰的程度不深,网民经济损失数额较小,较少人会借助司法途径寻求保护。
尽管移动支付的技术有了长足的发展,但是消费者对个人信息的保护还处于相对较低的水平,这也给了不法分子以可乘之机。
为了降低个人信息泄露给消费者造成的影响,7月6日,《网络安全法(草案)》(以下简称《草案》)对外公布,并向社会公开征求意见。这标志着,个人信息保护纳入法律轨道。
《草案》提出,运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护;运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或非法向他人提供。
业内人士表示,《草案》中明确了“公民个人信息”的含义,规定了运营商的义务和责任以及明确了罚则,这相比以往仅依靠法规或司法解释来维护个人信息安全的局面是一大进步,移动支付的安全性或许也会更上一层楼。