六一儿童节,朋友圈再次被“晒娃”刷屏。有娃的陪娃过节,没有娃的表示自己还是个大宝宝,准备拿着红包买个五毛钱辣条也要过节。支付宝也跟所有用户开了一个玩笑,不知道在什么时候悄悄把大家的昵称都改为了XX宝宝。
然而有部分不想过节的宝宝心中则产生了疑问,支付宝为什么可以不通过用户允许就擅自修改用户昵称,自己的个人隐私是否受到了侵犯?其实支付宝这种略不严谨的作风也已经不是第一次了。
西安警察叔叔在最近破获的一起特大诈骗手机案中,就有犯罪分子利用支付宝漏洞成功骗取了上百人钱财的惊人事件。这个案件中的嫌疑人主要针对二手网站上出售的高档手机卖家作案,伪装成买家身份和对方用QQ、微信、电话联系,在网上下载支付宝转账截图生成器,用假“转账截图”让对方认为已经转账成功后,让同伙或者通过打车软件寻找专车司机去和卖家见面,来收取交易物品。
对此,雷锋网(公众号:雷锋网)特地找到了这个名为“微截图”的交易平台,上面明码标价,只要用户自助付款后,备注好登陆此平台所显示的用户名,就可以在一个小时后使用这个平台所提供的支付宝转账伪造功能。其界面与支付宝真实转账界面几乎一模一样,如果此平台的用户不是微商的话,那么就一定是诈骗团伙了。
从“微截图”平台熟练的工作流程来看,他们也许已经运营了相当长一段时间了,且提供诸如伪造支付宝转账截图、微信转账截图的平台并不仅仅只有“微截图”这一个。
在西安发生的这起案件中,犯罪嫌疑人还发现,用支付宝对银行卡转账时,输错一位卡号时,仍然可以生成转账成功的界面,于是,他们将此界面截图发给受害人,以博取受害人信任,然后谎称钱款正在平台处理中,要在2个小时以后到账,这时,多数受害人就会轻信转账成功并提前完成交易,事后数小时才发现被骗。
这都可以? 难道不应该是先验证信息才能输入密码进行转账的吗? 我读书少,表骗我,不现实操作一下,真不敢相信竟然是这样的支付宝。
以上是雷锋网支付宝亲测手机截图,据了解,存在有4个6或8个6为开头的银行账号,但并没有全是6的银行账号,也竟然转账成功了,也是666……
虽然显示转账成功后的账单详情页面,有一行并不明显的黄色提示说“本页不作为转账成功凭据,实际以银行入账为准。”但在诈骗时,受害人也许并不会注意到这个消息,而误认为已经转账成功,因此而上当受骗造成财产损失。
但是事后由于银行卡号校验失败,转账款会退回诈骗者的账户。
一名资深网络安全专家告诉雷锋网,因为银行验证服务需要收费,故而支付宝没有开通这项服务,并且由于支付宝不可能拥有所有银行卡的数据库,如果银行卡用户名和账号对不上时,也会出现已经“假装付款”成功的界面。
经常使用支付宝进行转账交易的用户有些认为这是一个很严重的安全漏洞。
支付宝作为支付的平台方,在这个交易过程中是没有尽责的,客观上给诈骗者提供了机会。联想到盯盯团队大张旗鼓宣传用户在微信中被诈骗的案例,其实那个案例中微信作为平台方的责任远小于支付宝不校验银行卡号。
有些则认为此类事件并不会对自己造成很严重的影响。
对于普通转账用户来说,这并不会造成什么损失,但在交易时,一些善良的人也许只需要一张转账截图就会相信骗子已经转款成功,从而中了圈套,支付宝应在转款中的各个页面都写有安全提示。
这种现象很正常,是个人疏漏和银行所需转账时间过长所造成的,与支付宝并没有多大关系。
不管怎么样,雷锋网还是要提醒支付宝的用户宝宝们,在进行交易时,查账确认对方付款成功后,再完成交易,避免上当受骗。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。