第三方支付成盗刷重灾区 骗子制造假象骗支付验证码

　　钱是这样被盗刷的

1、获取用户个人信息

通过购买网络交易记录、保险公司数据，获取储户的卡号、身份证号和手机号码

2、以用户名义开账户

利用上述个人信息，在第三方支付平台以储户名义开账户，绑定银行卡

3、向用户手机植入病毒

利用伪基站，向受害者手机植入木马病毒

4、拦截验证码短信

拦截第三方支付机构发出的交易验证码等短信信息

5、支付消费

输入交易验证码，就能在第三方支付平台直接消费

6、拦截扣款短信

拦截银行发出的扣款通知等短信信息

厦门日报讯 银行卡明明在自己身上，钱却在网上商城被刷走了。近日，记者从厦门警方了解到，今年7月份诈骗分子盗取验证码并利用第三方支付工具进行盗刷的案件在厦门就发生16起。

对此，本报记者进行深入调查，发现随着一些金融工具的升级，银行卡盗刷案件也出现新的作案特点，部分不法分子开始利用第三方支付终端等工具漏洞作案。

【案例】

制造盗刷假象骗走支付验证码

警惕心较强的市民也栽了跟头

市民邱先生自认为警惕心较强，却在7月28日“栽了跟头”。当天晚上，邱先生接到来自银行的扣费短信，称他的银行卡被扣掉6800元。邱先生以为银行卡被盗刷了，不到一分钟，他的手机又接到了一个“170”开头的来电，对方自称是拍拍网的客服人员，监测到他花了6800元购买Q币，所以打来电话进行确认。

邱先生信以为真，请求对方不要发货，对方称，经查验，被扣费的银行卡绑定了两个手机号，要找回钱，先要解除一个号码的绑定。之后，邱先生又接到一条银行短信，上面有一个验证码，还有“e支付”等字样，男子要求邱先生将验证码报给他，就能解除号码绑定了，于是邱先生照做了。

将验证码给对方之后，邱先生的账户的确先后收到了两笔钱，加起来也确实有6000多元，但其间，他的银行卡又连续支出11次490元，而他再也联系不上对方。这时，邱先生才意识到中了圈套，赶紧将卡内余额全部转到其他账户。

【手法】

用伪基站盗取个人信息

骗子向用户手机发送带病毒链接的短信

“目前发生在厦门的通过第三方支付的盗刷案件主要是通过快捷支付来进行。”市反诈骗中心民警介绍，不法分子最常用的手段就是先利用伪基站发送带有病毒链接的手机短信，例如，让市民登录网站兑换积分、更换电子密码器等，从而“遥控”盗取市民的验证码以及一些基本信息如银行卡号、预留手机号等，然后便到网上商城通过开通快捷支付进行盗刷。

“从今年4月起，我们已经打掉了四个利用伪基站作案的团伙。”民警告诉记者，目前银行卡盗刷的犯罪手段呈现高科技、集团化、专业化、规模化的特点，特别是这类利用第三方支付进行盗刷的案件数量确实比以往有所增加。

警方提醒，市民应尽量使用网银密码支付方式，并提高防范意识，不要轻易泄露个人信息。值得一提的是，不少市民对验证码不是很重视，但验证码就像开启网银的“钥匙”，千万不要对外人透露。

【调查】

开通快捷支付 客户身份难鉴别

银行方面很难核实客户身份及其真实意愿

没有本人授权，为何第三方支付机构可以轻易关联到市民的储蓄卡，并进行数次支付呢？根据去年4月银监会下发的《关于加强商业银行与第三方支付机构合作业务管理的通知》，客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证同时，还需通过商业银行的客户身份鉴别。

记者进行试验，开通快捷支付实际上只需提供银行卡号、户名、手机号码等，银行卡验证手机号码正确后，用户输入由第三方支付机构发来的手机动态口令，即可完成开通。一位银行人士表示，在通过第三方后台扣款时，银行方面确实很难核实客户身份及其真实意愿，“只能提醒用户提高警惕，不要贸然打开诈骗短信和透露自己的信息。”

福建金海湾律师事务所的郑志宁律师说，面对互联网催生的日新月异的犯罪手法，为保护储户权益，银行有义务提升自身系统的安全性。

【名词】

第三方支付

所谓第三方支付，就是买方购买商品后，使用第三方平台提供的账户支付货款，由第三方通知卖家货款到达、进行发货；买方检验物品后，通知第三方将货款打到卖家账户。目前，第三方支付在日常生活中快速普及，市民使用的支付宝、网银在线等都属于第三方支付机构。

【链接】

央行征求意见:

开设新支付账户

需要多重验证

中国电子商务研究中心监测，今年第一季度，我国第三方移动支付的交易规模达28292亿元。但目前，第三方支付机构21.94亿个账户中，完成实名认证的仅有9.45亿个。这也意味着，庞大的资金交易背后，近六成账户不知是谁在操作。不过，这一情况已经引起国家相关部门的重视。

7月31日，央行发布《非银行支付机构网络支付业务管理办法（征求意见稿）》，拟加强第三方支付机构在开户、支付等环节的验证手段，被称为“史上最严网络支付规定”。

意见稿拟规定，支付机构为客户开立支付账户，应实行实名制管理，通过三个（含）以上的外部渠道，对客户身份基本信息进行多重交叉验证。如果这项管理办法严格实行，那么犯罪分子想要冒名开通支付账户将变得十分困难。

根据意见稿的规定，即使只是发送微信红包，可能都需要上传文凭学历、户口本等一系列材料，通过多重身份验证，证明身份。因此，虽然安全系数提高了，但便捷程度受到了影响。