网络支付 网络支付八大风险案例

“据统计，2014年以来，中国人民银行全系统金融消费者权益保护部门受理的网上支付投诉占互联网金融投诉的95.06%。”近日，央行相关人士向《中国商报》透露。

上述央行行长告诉中国商报:今年1月，一家支付机构泄露数千万银行卡信息，涉及全国16家银行。截至7月31日，假卡造成的损失已达3900多万元。

非银行支付机构(以下简称“支付机构”)服务于电子商务的发展，为社会提供小、快、方便的小额支付服务，以满足公众日益增长的个性化、差异化支付需求。近年来，在线支付服务发展迅速。但是，在支付机构快速发展的过程中，相关问题和风险不断涌现，消费者得不到有效保护。

“目前，支付账户尚未实行账户实名制，挪用客户资金的情况时有发生。安全管理中忽视网上支付，消费者缺乏维权意识。”上述央行提醒消费者，在使用网上支付等服务时，应提高自我保护意识和风险识别能力。

“消费者在追求和享受支付便利的同时，忽视了对自身财务信息的保护，对支付业务的内在风险没有警惕，风险在不断积累。随着支付活动的日益频繁，个人支付信息披露的风险大大增加，消费者面临更大的盗窃和欺诈风险。”央行表示。

近年来，非银行支付机构支付业务中客户资金风险案件频发，暴露出一些支付机构盲目追求支付便利而忽视支付安全，支付系统存在严重漏洞，难以有效保障客户资金和信息安全。

《中国商报》从权威渠道了解了一些支付机构近年来的风险事件，将一些风险事件总结如下:

1.利用黑客盗取支付宝客户资金系列

2015年6月，珠海市公安机关破获广东、黑龙江、四川、上海、浙江等5省(市)黑客窃取支付宝资金系列案件，捣毁一个非法买卖公民个人信息的犯罪团伙，制作扫描检测软件，实施网络提现，抓获6名重点犯罪嫌疑人，查获一批犯罪电脑等工具。

本案是比较常见的支付账户盗窃案。犯罪嫌疑人在网上购买他人提供的账号和密码信息，利用扫描软件批量测试其是否与支付机构的支付账号和密码一致。对比成功后，进行盗窃。公安部门初步查明，犯罪嫌疑人涉嫌盗窃支付宝账户117个，涉案金额7万余元。

此外，嫌疑人的电脑硬盘存储了40多亿条各种公民的个人信息，涉及支付宝、JD.COM、贝宝等1000多万个支付账户，初步估计这些账户涉及近10亿元。

2.幽灵泄露了20G海量用户信息，被盗

2013年11月27日，某支付公司员工因与他人批量销售，多次泄露用户信息被杭州当地警方逮捕。

据涉案嫌疑人称，他曾是支付公司的技术人员。利用工作之便，2010年在公司后台多次下载公司用户数据，数据内容超过20G。

随后，连同两名外部人员，将用户信息以500元人民币3万元的价格多次出售给电商和数据公司。这些用户数据包括实名、手机、身份证号码、电子邮件地址、家庭住址、消费记录等。

据其供述，只有服装电商最大买家V公司曾通过该团伙购买了1000万条用户数据。但是，V公司的一位副总裁表示，他并不知道这件事。支付公司承认确实存在内部员工窃取用户信息的情况。一位负责人表示:“我不得不承认，我们在管理方面存在一些问题。”

3.支付公司未能履行其安全义务，导致消费者购物款被盗

2014年7月，张先生与卖家协商在某购物网站购买价值27500元的相机，双方同意分多次交易支付。然后按照支付机构的网页提示登录网银进行支付。收款人名称:XX支付技术有限公司..

付款后，购物网站显示“等待买家付款”。张先生去银行询问，被告知钱已经送到付款机构。后来，张先生发现，存入支付机构的款项被转到了工行的另一个账户上，该账户在本次交易中不是卖方的账户。

根据支付机构的交易规则，在买方确认收货之前，支付机构不能转账支付。张先生起诉人民法院，认为购物网站和支付机构作为交易平台的提供者和第三方基金管理人，未履行安全管理义务，导致自己的购物款被盗，请求法院判决购物网站和支付机构赔偿相应损失。

法院认定，支付机构没有将款项划给卖方，而是划给了其他人的账户，法院认定支付机构未履行安全注意义务。其运营的网络系统、服务器和程序安全性不足，或者他人利用网络技术非法入侵，可能导致张先生财产损失。最后，法院判决支付机构赔偿张先生相应损失共计20129元。

4.网络融资平台用户资金被盗

2012年11月，上海陆家嘴国际金融资产交易市场有限公司(以下简称“陆法克斯”)运营的“稳赢”融资交易平台部分用户被盗600多万元。

经初步调查，犯罪分子通过其购买的一家银行的600多万条账户信息，将储户的账户捆绑到“lufax”交易平台，并通过该平台将资金转入用假军官卡开立的同名银行账户。使用“稳赢”网络融资交易平台绑定银行账户时，不需要提供密码，一个人可以同时绑定多个账户。通过支付机构，资金被转移到支付机构实际控制的其他银行的“网络账户”，以实现

本案暴露出以下问题:一是银行违反账户管理规定和实名审核要求，开立假名账户；二是支付机构账户实名制实施不到位，特约商户管理不严格，为洗钱犯罪提供了渠道；第三，一些网上交易平台存在安全漏洞。用户在网上理财平台注册的验证程序过于简单，绑定银行账户时没有经过银行验证。

5.店主利用支付公司的漏洞，制作营业执照盗取资金

2014年3月5日，犯罪嫌疑人张、刘利用某支付公司网络平台账户加密业务的漏洞，从该支付公司支付账户内多家企业盗取资金20多万元。他们因涉嫌盗窃被海淀检察院逮捕。

张和刘一起在一个购物网站上开店。在开店过程中，他们发现在修改自己网店的支付账户用户名和密码时，只需要在网上向支付公司客服提交电子营业执照即可。因为客服对电子营业执照审核不严，所以容易受理和通过。发现这个漏洞后，他们采用PS技术，伪造其他公司的电子营业执照，提交更改密码的申请，然后控制账户，盗取资金。

6.快速支付验证不足导致客户资金被盗的案例

委托信用卡代理的李先生将银行预留手机号、身份证、储蓄卡的高清照片泄露给骗子。虽然他在存款当天醒来，迅速去银行柜台关闭网银，更改预留联系方式，但仍未能避免三天后卡内现金全部被盗的命运空。更让李先生气愤的是，这一笔快钱扣了他的钱，却没有验证他的银行卡支付密码。

记者获悉，开通快捷支付服务并不繁琐，只需在支付机构的快捷支付页面提供本人姓名、身份证号码、银行卡号码、银行预留手机号码等有效个人信息即可快速开通，而后续支付则无需原银行卡的支付密码，只需在支付页面输入支付密码或关联银行卡信息即可完成资金交易。

至于为什么支付转账等支付流程要跨银行卡支付密码，支付机构告诉记者:“这是国际通行的规定和做法，网上支付时不允许输入银行卡密码。”

在快速支付业务模式下，银行的服务接口与客户的支付流程屏蔽，银行已经从用户支付结算的前台退到第三方清算机构的后台，只扮演“张方先生”的角色，被动处理支付机构的指令，不再认证用户身份，掌握用户的支付行为。当一个用户的银行卡在不知情的某一天突然和别人的快速支付捆绑在一起，卡里的现金全部被刷走而没有验证他的银行卡支付密码时，这种惊心动魄的个人体验会让你继续依赖那种“方便”和“快捷”吗？

7.利用网上支付平台盗取银行卡资金

2015年3月，中国人民银行四川省射洪县支行先后接到商业银行重大金融事件报告，称其客户赵个人银行结算账户内的大量资金被盗。

2015年3月11日，赵向银行反映，2015年3月7日至9日，他的五个银行卡存款账户中的资金连续被盗20多次，被盗资金总额达21.9万元，期间手机账户短信提示被封锁。

通过查询赵的五个银行卡个人银行结算账户的交易流程，发现资金通过上海的一家网上支付机构转移到北京的一个公司账户，其原因是不法分子利用该客户在网上注册三方理财公司，窃取了该客户的个人身份信息。这次盗窃事件的特点是屏蔽了银行客户手机短信的提示功能，关联了客户银行卡的所有个人结算账户。

经过各方努力，截至5月，客户被盗资金已全部追回。

8.犯罪分子利用支付平台进行虚假交易，实施欺诈

广东省公安厅经侦处在查处一起涉嫌合同诈骗案时，发现犯罪嫌疑人吴某、文某、曾某等人伪造现货交易平台，通过第三方支付机构将被骗人员账户的亏损资金转入犯罪嫌疑人控制的账户用于非法获利。

据初步统计，两个平台涉及近4000名受害者，涉案金额超过1亿元。与以往在假大宗现货交易平台上直接收取受害者资金、修改数据盗用资金的方式相比，这种方式更加隐蔽，更难打击，值得重视。