利用第三方支付平台进行侵财犯罪问题及其对策初探*
--湖里区人民检察院 林丽玉*
一、第三方支付平台概述
第三方支付平台通常是指与银行(通常是多家银行)签约,并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。自2011年至今,央行一共发布了五批第三方支付牌照,持牌单位共计267家,其中比较知名有的支付宝、财付通(微信支付、QQ钱包)、银联商务、拉卡拉等。2010年12月底,支付宝率先在国内推进出快捷支付业务,这一创新的支付业务由于其方便、快速的特点受到了许多网购达人的青睐,之后各大第三方支付公司纷纷效仿推出。从2014年的“打车软件烧钱大战”、“双11”和“双12”的购物狂欢,到2015年春节期间的“抢红包”热,再到2016年“扫一扫”结账方式的流行,手机支付的普及进一步促进了第三方支付的蓬勃发展。据统计,2010年以来,中国第三方支付市场的交易规模保持50%以上的年均增速迅速扩大, 2010第三方支付总交易量为5.1万亿元,到2016年第三方支付总交易量已增长至57.9万亿元。然而第三方支付在给人们带来了便捷的同时,也存在过分依赖手机验证、而手机操作系统易被病毒攻击、手机卡易被补办等一系列问题,使得第三方支付平台成为了诈骗、盗窃类犯罪的新宠。
二、利用第三方支付平台实施侵财犯罪的主要表现形式
(一)通过手机病毒。
手机病毒大多针对的开放性较强的安卓系统。这种方式攻击者会设置一个公共的钓鱼WIFI(即无线网络)或将木马程序藏于二维码、网址链接、短信、山寨软件中,在受害人连入WIFI、扫二维码、点击网址链接或是下载山寨软件时,即自动安装恶意攻击程序,并在用户手机中自动植入新的木马程序。这些木马程序不仅可以窃取用户账户密码等私密信息,还可能获取手机的完全控制权,使短信验证码的安全防范作用形同虚设。犯罪的具体步骤及实现方式详见下表:
|
步骤 |
犯罪实现方式 |
|
1、骗受害人将病毒植入手机,通过手机病毒窃取受害人支付宝、银行卡等的账号密码,并可发送、读取手机短信 |
(1)利用受害人节省手机流量的心理,骗取受害人连入公共的钓鱼WIFI (2)以发送网购物品规格清单、低价促销等方式骗受害人下载藏于二维码或手机链接中的木马程序 (3)山寨软件本身携带病毒 (4)病毒控制手机后,又往往会通过短信、QQ、微信等方式再对外向机主的朋友扩散 |
|
2、使用受害人的账号、密码,将网上账户的钱转走 |
正常操作即可实现 |
(二)通过假证补办受害人手机卡。
此类案件主要是利用第三方快捷支付业务重置登陆密码和支付密码只需手机验证码和身份证号码的漏洞实施的。犯罪的具体步骤及实现方式详见下表:
|
步骤 |
犯罪实现方式 |
|
1、获取受害人的身份证号码和手机号码 |
(1)利用保险、社交、求职等网站漏洞 (2)可通过非法渠道大量购买 (3)如与银行人员勾结还可获取银行卡信息,此时补办手机卡后即使此卡未开通任何网上业务,也可开通快捷支付将银行卡中钱转走 |
|
2、制作假身份证 |
(1)假证市场 (2)团伙中专门有人负责自行制造 |
|
3、补办受害人手机卡 |
(1)手机营业厅无法识别身份证真假 (2)手机卡的补办允许他人代办、且允许异地办理 (3)如与通信公司人员勾结可大量补办 |
|
4、通过手机找回密码,将网上账户的钱转走 |
正常操作即可实现 |
(三)通过骗取受害人更改银行预留手机号或从受害人处套取手机验证码。
这主要是利用快捷支付的开通只需要输入银行卡号、身份证号、在银行预留的手机号和手机验证码 (信用卡还包含有效期和卡背后面的三位码)即可,完全可绕过银行卡密码,将受害人银行卡绑定快捷支付等,并将钱转走。犯罪的具体步骤及实现方式详见下表:
|
步骤 |
犯罪实现方式 |
|
1、骗取受害人的身份信息及银行卡号 |
(1)盗取受害人家人、亲戚、朋友的社交账户进行骗取 (2)以代办高额信用卡、代为申请贷款、生意往来、退税等为诱饵 |
|
2、要求受害人更改银行预留手机号或从受害人处套取手机验证码 |
以需要帮忙、确认保证金到账、生意往来方便等为由 |
|
3、开通快捷支付,将银行卡账户上的钱转走。 |
正常操作即可实现 |
(四)利用先行的盗窃、抢夺、抢劫等行为。
在人们的传统观念中,手机丢失受害人损失的只是手机本身的价值,而即便手机、身份证、银行卡同时丢失,因为银行卡本身有密码,只要密码足够复杂、卡内的钱还是能够得以保存的,但在第三方快捷支付兴起后,受害人因先行盗窃、抢夺、抢劫等行为而发生的损失将进一步扩大。具体详见下表:
|
情形 |
表现及相关说明 |
|
1、盗窃、抢夺、抢劫取得受害人的手机 |
(1)如果支付方式本身设置了小额支付免输密码,则可通过网购方式转走小额资金。 (2)如果手机中有聊天记录透露机主的身份证号,则可以通过手机找回支付密码,将受害人网上账户中的钱转走。 (3)如果手机中有聊天记录透露机主的身份证号及银行卡号则可以开通快捷支付,将银行卡账户上的钱转走。 (4)使用数据恢复软件可将手机被删除的信息恢复。 |
|
2、盗窃、抢夺、抢劫同时取得受害人的手机、银行卡、身份证等 |
可直接开通快捷支付,将银行卡账户的钱转走。 相关说明: (1)在入室盗窃及拎包盗窃及熟人盗窃中行为人往往能同时取得 (2)此时即使手机本身设置了开机锁,也可以将手机SIM卡插入新手机正常收发短信。 (3)身份信息的获取不仅是身份证,还包括社保卡、驾驶证、户外运动卡等任一含有身份信息的证件。 |
(五)利用扫码支付功能进行诈骗。
掏出手机扫个码,不再现金和刷卡,由于使用便利,扫码支付几乎成为移动消费支付的首选入口。但与此同时对应的是,伪造二维码也是件极其简单的事,利用扫码支付功能进行诈骗的案件也随之而来。具体详见下表:
|
情形 |
表现及相关说明 |
|
1、伪造附着二维码的假文书 |
例如伪造附着二维码的假罚单,通过扫码收款结合伪造交警文书进行诈骗; |
|
2、调包二维码 |
例如将普通店家、自动贩卖机、共享单车等的收款二维码调换为自己的二维码骗取受害人的付款; |
|
3、骗取付款码 |
利用受害人不知道二维码付款码与收款码的区别,骗取受害人的付款码利用小额免密支付功能将银行卡内的钱分批转走。 |
三、利用第三方支付平台实施侵财犯罪的主要特点
(一)犯罪主体的年轻化。
一是年轻人使用网络的比例高,学习及应用新软件的能力强,对于网络上的各种应用与服务也非常熟悉。二是黑客攻击技术门槛越来越低,年轻人可以非常方便地获取相关知识和黑客工具,以2014年江苏省淮安市查获一起通过骗受害人扫二维码植入木马,进一步盗走其网络账户上的资金的案件为例,该案涉案金额达上百万元,而背后的二维码木马程序的制作者是一名年仅18岁的高中生。2014年“七夕节”爆发的蝗虫超级手机木马的病毒制作者也只有19岁。三是这类犯罪往往具有隐藏性,不存在交易现场,犯罪成本小,加上部分年轻人对于自身行为的后果认识并不深刻,容易存在侥幸心理。
(二)犯罪呈规模化趋势。
1、犯罪团伙组织化,为规模化作案创造了条件。以湖南、四川警方联合破获的涉案1600余万元的网络盗窃案为例,犯罪团伙以细化分工的方式组织大规模作案,流程包括筛选个人信息、制卡、盗转资金、取款等,每个阶段都有专人负责,更有运营商代办点员工直接参与其中。
2、公民信息大量泄露,为组织规模化作案提供便利。网络信息技术的高速发展使得个人的网络行为和个人信息很容易被监控和记录,也使得不法分子有更多的渠道获取用户的信息。同样以湖南、四川警方联合破获的涉案1600余万元的网络盗窃案为例,犯罪团伙花费20万元从网上购得3000万条公民个人信息。这些信息包括公民个人的住址、身份证号、手机号,甚至银行卡信息。保险公司、社交等网站的漏洞也为不法分子提供了便利,以重庆市渝北区的一个案件为例,犯罪嫌疑人杨某、余某从保险公司网站通过输入受害人姓名即可轻易查到了身份信息和手机号码。
3、作案方式智能化与传统化并存,降低了规模化作案的门槛。作案方式既包括利用自身对智能手机程序、手机编程语言的精通,通过木马程序、钓鱼网站等实现对手机权限的完全控制、手机信息资料的窃取等具有高智能化特点的作案方式。也包括以复制、补办、盗窃受害人手机卡,或骗取受害人手机验证码等与计算网络无关,纯粹是利用部分第三方支付业务对手机的过分依赖,采用制假、盗取、欺骗等传统作案方式,这使得犯罪团伙的形成不以上游或团伙内有网络黑客为前提条件。
(三)侵害范围的广泛性。
1、犯罪手段的层出不穷,使得受害人防不胜防。在各第三方支付平台在不断创新、优化支付方式的同时,不法分子也同样抓住“机遇”与时俱进,例如,在人们正在“双11”、“双12”购物狂欢时,利用低价商品链接发送病毒进行实施盗窃、通过自称“支付宝客服”以“退款”为名的诈骗随之盛行;而当大家春节期间疯狂“抢红包”之时,利用微信AA收款冒充红包的诈骗也随之出现;“扫一扫”支付方式刚兴起,“调包二维码”诈骗、“二维码罚单”诈骗也在多地出现。而这些犯罪的背后,一方是对网络及各种支付方法极其熟悉的网络高手,另一方却往往是刚接触各类新兴支付方式的网络菜鸟,这也使得这一类犯罪更容易实现。
2、快捷支付开通的漏洞,使得受害人群不仅仅是网民。对于网银及手机银行等业务,对业务不了解的人可以选择不开通来规避风险,而在利用快捷支付业务进行诈骗时却往往是利用受害人对快捷支付的不了解进行的,此部分受害人往往是从未使用过快捷支付,甚至是对智能手机、网络完全不熟悉的人,他们大多有手握密码安全无忧的想法,因此在被要求修改银行预留手机号或是告知开通快捷支付的验证码时,心中并无任何防备,这也使得这类诈骗在全国各地频发。
3、手机病毒的扩散性,使得受害人范围扩大。手机病毒具有可复制性。例如一个山寨软件往往不止一个受害人下载、钓鱼WIFI也往往不止一个受害人连接,此时行为人完全可以操纵病毒同时攻击多台手机。同时手机病毒控制手机后,病毒又往往会通过QQ、微信、短信等方式再对外向机主的朋友扩散,使得这类案件的受害人更为广泛。以2014年“七夕节”爆发的蝗虫超级手机木马为例,仅8月2日当天,感染的用户就多达50万。全国各地均出现中招案例。
4、补救措施的失效,使得受害人的损失扩大。一是使用手机支付平台可绕过电脑支付的设定安保措施。以支付宝为例,以电脑支付的情况下,支付宝为用户提供登录和支付双密码、防钓鱼签名、数字证书、手机动态口令、支付盾等安全解决方案。但在使用手机进行支付的情况下,只需填写登陆、支付双密码便可以进行支付,而重置登陆密码只需填入手机验证码,重置支付密码只需填写手机验证码及身份证号码末尾8位。二是银行柜台无法关闭快捷支付业务,且用户的账户一旦绑定了快捷支付,账户验证和支付的流程就进入了第三方支付的后台系统,银行无法全面查询与掌握。 例如,在江西南昌的一个案件中,受害人在将银行预留手机号码、身份证号码与储蓄卡照片都泄露给了骗子后,当天便去银行柜面关闭网银并更改预留联系方式,但三日后其卡内现金仍被悉数盗刷。三是第三方支付平台的账户冻结仍以手机验证码为确认条件,而在受害人手机中毒或是手机卡被补办的情况下,手机验证码自然被拦截,使得冻结程序归于无效。例如,在浙江嘉兴的一个案件中,受害人在发现支付宝账户中数万元被转走后,已及时联系支付宝客服,要求冻结账户,同时去派出所报案。但就在受害人做笔录时,对方又转走了账户中12万元多的信用贷款。
四、第三方支付平台实施犯罪的对策探析
(一)加强对支付平台及银行的监管
一是应明确大额快捷支付的开通必须经过银行。网银、手机银行业务的开通均需通过银行柜台,且需本人办理,快捷支付本身只是一个第三方支付平台,开通的确认只需一个手机验证码,本身合理性就值得质疑。然而对于小额交易来说,使用快捷支付,无需开通网银,直接通过输入银行卡卡面信息,即可便捷、快速地完成支付,确实为网购达人们提供了更通畅的支付渠道。因此,笔者认为应当为直接以手机开通的快捷支付明确一个限额,如需开通大额快捷支付必须由本人持身份证到银行办理,并允许客户在银行柜台完全关闭快捷支付业务,实现便捷与安全之间的一个平衡。同时,这个限额应当是同时适用于多家第三方的总额度,避免犯罪人员通过开通多个快捷支付进行规避。二是要完善第三方支付平台与银行的合作关系。快捷支付的快捷在省去了银行卡支付密码的环节的同时也将银行的保护一起省去了,建议完善第三方支付平台与银行建立合作关系,使得用户的利益得到更全面的保障。尤其是在当受害人的账户受到侵害时,应当确保受害人无论是向银行方或是第三方支付方要求挂失或冻结账户时均可实现。三是应为手机第三方支付增加更多的安保措施。要从技术及服务方面加强保障,设置适合于手机使用的支付盾,进一步探索指纹识别及人脸识别技术等生物技术用于手机第三方支付的安保措施,减少用户不会因为病毒等因素造成信息流失后的财产损失。
(二)加强对手机通信公司的监管
一是应当完善手机卡信息管理制度,加强对持卡人身份证件真伪的辨别。二是应当规范手机卡信息变更、补卡制度,应要求持卡人信息变更或补卡时必须要由本人持身份证到柜台办理。三是应当对手机卡的异地补办更要严格规范,避免出现犯罪分子只要与一家通信公司的内部人员勾结或是一处营业厅出现管理漏洞,便能实现全国犯案。
(三)建立个人信息的监管体制
必须加强对拥有大量数据的电商、软件提供商、国家机关、交通、教育、金融、电信、交通、教育、医疗等单位的行业监管力度,明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,确保收集的用户信息不被泄露或滥用。
(四)加大对利用网络实施侵财犯罪的打击力度
包括强化对信息系统的安全检查,设立专门机构进行网上巡查,加强对网络的监控、管理,对大额异常IP交易的进行监控。还包括加强对各类网络平台犯罪的行为线索的管理,提高对于网络犯罪的地区协作、调查取证、固定证据、运用证据的能力。
(五)提高用户的网络安全意识
一是加强个人信息的保密意识。不要将个人信息直接通过聊天工具告知给他人,尤其是要提高对验证码的认知,不要再单纯的有手握密码就安然无事的思想。二是加强手机的防毒意识。安装杀毒软件,不轻信一些钓鱼网站超低价、大疯抢的诱惑,不轻易下载山寨软件,不使用来路不明的无线网络,避免手机电脑中毒后,密码被盗后而产生的财产损失。三是不将大金额的银行卡,如工资卡、大额度的信用卡等作为快捷支付绑定的卡,避免在一些特殊情况下造成无法挽回的大额损失。