3分鐘發生5筆盜刷,該怪“裸奔的”網貸還是“關不掉”的銀聯?
一次在網際網路金融公司app平臺(下稱“互金平臺”)的貸款經歷,讓於曉輝接連遭遇了資訊洩露、電信詐騙、銀行卡被盜刷一系列事情,損害發生後,卻沒有任何一方能夠為他的損失承擔責任。
“輕信他人,洩露手機驗證碼確實是我的問題”,於曉輝坦白承認。
然而,不法分子如何獲取了他在互金平臺的貸款全部資訊?又為何詐騙電話的時間可以如此精準?為何在自己第一時間通過銀聯官方App關閉線上支付功能後,不法分子仍能通過銀聯線上支付盜刷銀行卡?於曉輝想不清楚。
於曉輝認為互金平臺資訊洩露和銀聯支付系統漏洞,才是導致盜刷事件的根本原因。在與互金平臺、銀聯官方的多次溝通中,於曉輝只能提出質疑,“沒有任何一方真正想要解決問題,都在相互推諉,在個人面前,平臺太傲慢了。”
“結不清”的網路貸款
剛剛回國半個月的於曉輝目前還是待業狀態。
11月6號,於曉輝接到一家互金平臺的電話推銷,對方表示下載其公司app可直接辦理20000元的貸款。考慮到近期卻有用錢需要,於曉輝下載了該互金平臺app,並根據系統要求填寫了相關個人資訊,幾個小時之後,名為“專屬現金“的”20000元貸款劃到了他的app賬戶。
貸款流程過於快捷,於曉輝也並未注意到資訊填寫頁面是否有利率和還款細節的說明。11月7日中午通過查詢,於曉輝得知這2萬元貸款需分成24個月還款,每期還款1282.26元,總共需還款30774.24元,利息超出了於曉輝的預想。
通過與平臺客服溝通,於曉輝得知立刻退還這20000元可提前結清貸款,無需付息。於曉輝向客服表示要提前結清貸款後,隨後app內20000元直接被划走,再次登入是已顯示“貸款已經結清”。
距離結清貸款僅過了兩個小時,於曉輝接到一個來電顯示為個人號碼的電話,對方表示自己是該互金平臺工作人員,並準確說出了餘小輝的身份證、銀行卡,以及在互金平臺的貸款資訊資料,告知於曉輝如還款還需提供一個手機驗證碼再次確認,否則不能徹底結清貸款手續,於曉輝便將手機剛剛收到的驗證碼告知了對方。
結束電話於曉輝發現,剛剛提供的驗證碼簡訊顯示為“開通銀聯線上支付成功”,他意識到自己的資訊多半已被洩露給不法分子,而剛剛的驗證碼則是幫助對方開通了他的銀聯支付許可權。而此前,於曉輝從來沒有下載和開通過銀聯app相關的服務。
於曉輝立刻聯絡銀聯官方,諮詢關閉“銀聯線上支付功能””的方法,客服提供了一個官方連結,表示可通過此連結操作進行關閉。關閉流程如下:
關閉操作看似非常簡潔,於曉輝通過在銀聯官網填寫自己的銀行卡號申請關閉了剛剛被不法分子開通的銀聯線上支付功能,並收到官方簡訊提醒通知顯示,<您於2018年11月07日 19時41分10秒進行銀聯線上支付關閉操作,簡訊驗證碼為740xxx。如有疑問,請致電95516。【中國銀聯】>。
收到了官方關閉成功的通知,於曉輝以為風險已經解除。
“關不掉”的銀聯線上支付
然而,11月11日凌晨,於曉輝接連收到五筆非本人消費的銀行扣款資訊,每筆金額均不超過1000元,而支付方式均為他已經關閉的“銀聯線上支付”,銀行卡還是被盜刷了。
於曉輝立刻致電髮卡行,告知被盜刷事實並掛失了該張儲蓄卡,隨後報了警。
髮卡行對此事給於曉輝的回覆為,通過後臺查詢,盜刷交易是通過銀聯雲閃付二維碼發生的交易,關於此類通過銀聯線上支付渠道發生的交易,銀聯已經明確對髮卡行提出要求,要客戶自己聯絡銀聯解決問題,由銀聯來處理,髮卡行可協助銀聯解決問題。
事實上,於曉輝察覺銀聯支付存在被盜刷風險後,雖第一時間根據銀聯官方指導線上關閉了銀聯支付功能,但官方客服及網站頁面均未有任何提醒表明,銀聯官網線上關閉並不能徹底關閉銀聯支付功能,也並未標明使用者需再次聯絡髮卡行協助關閉。
於曉輝隨後聯絡銀聯官方再次要求關閉銀行卡在銀聯的線上支付和雲閃付功能,而此時 銀聯客服給出的回覆仍為,建議通過銀聯官閘道器閉線上支付功能。
開通銀聯線上支付需要具備哪些資訊?為何關閉了銀聯線上支付功能仍能通過銀聯雲閃付app線上付款?
財經網經過測試發現,下載銀聯雲閃付app後,開通線上支付需要填寫銀行卡號、身份證號,手機號碼,通過填寫手機接收到的驗證碼確認開通銀聯線上支付功能。隨後可自行設定銀聯雲閃付app的新支付密碼,即可完成綁卡和開通線上支付功能。用app內的支付二維碼可直接進行線上消費。
接下來,通過官方指導的關閉連結,財經網線上關閉了銀聯線上支付功能,同樣收到了官方傳送的關閉成功簡訊通知。而在整個關閉過程中,銀聯沒有任何資訊說明表示使用者需再進行其他操作徹底關閉銀聯線上支付功能。
但在之後的線下店測試中,使用銀聯雲閃付app二維碼依舊可以正常付款,支付方式為銀聯線上支付。這證明了此前於曉輝線上關閉銀聯支付功能的操作是無效的。店家掃描雲閃付中的支付二維碼,銀聯線上支付功能被啟用,且不需要再次簡訊驗證。
在財經網與銀聯官方客服的多次溝通中,銀聯官方表示,“網上關閉線上支付功能只是一種途徑,如果擔心資金安全,可以聯絡銀行徹底關閉。”
網上關閉途徑既然無法徹底關閉銀聯線上支付許可權,官方指導頁面中為何沒有具體提示?為何要設定這樣一種“不徹底關閉的途徑”?銀聯官方始終未能解答,並表示,徹底關閉銀聯線上支付請聯絡髮卡行操作。
財經網致電髮卡行,要求關閉測試使用的儲蓄卡在銀聯app中的線上支付許可權,操作成功。
因此,使用者如開通並使用了銀聯雲閃付app,徹底關閉線上支付功能不僅要在銀聯官網申請關閉,還要在app中解綁卡片,同時致電髮卡行官方要求徹底關閉銀聯線上支付許可權。很多使用者通過銀聯官網指導,操作步驟僅僅停留在了線上申請關閉,事實上存在風險。
於曉輝銀行卡被盜刷,個人資訊洩露是前提,驗證碼是開通支付功能的關鍵,未能徹底關閉銀聯線上支付功能也是不法分子盜刷成功的重要原因。但在於曉輝看來,造成未能關閉銀聯支付最重要因素是,銀聯的官方和App中沒有提示必須聯絡髮卡行才可以真正關閉支付功能。“銀聯沒有把好最後一關,造成了我的損失”,於曉輝如是說。
無人承擔的責任
盜刷事件看似涉及了互金平臺、於曉輝個人以及銀聯三個方面。根據於曉輝與互金平臺和銀聯的溝通,目前,互金平臺表示資訊洩露與其毫無關聯,銀聯官方也表示其不為使用者自行洩露驗證碼擔責。“花錢買教訓”算是餘小輝唯一的收穫。
在中央財經大學法學院副教授劉權看來,互金平臺很可能洩露了使用者資訊,給了其他主體冒充的機會,但需要具體的證據證明其關聯性,比如來電手機的追查。值得注意的一點是,該網際網路金融平臺官網有明確宣告表示“不會貸款給無業人員”,因此餘小輝的貸款屬於平臺未稽核貸款人資訊,本身屬於違規貸款,違反了合同約定。
劉權表示,網際網路時代很多個人資訊都易被過度收集、濫用,甚至非法交易,資訊被洩露一次後就已經不具有可控性,謹慎安裝和使用app是關鍵。一旦發生資訊洩露損害,應及時配合相關部門調查取證,同時注意保留證據,例如不法分子電話、支付記錄詳情等等
最後,劉權也強調,在他看來目前很多網際網路金融公司“初衷就有問題。”
一位負責此類金融詐騙案件的辦案人員對財經網表示,此類盜刷實為在本人不知情的情況下進行,具體應算作祕密竊取,而支付金額不超過1000通常可以被設定為小額支付,不需要密碼和身份驗證,大部分盜刷都是此類情況,但追回可能性很小,取證很麻煩。而銀聯和金融公司監管不嚴、pos機和皮包公司審批監管太差都是原因。
至於使用者方面,該人士提示,銀行類確認驗證碼不僅可作為開通支付許可權的確認碼,不法分子在掌握其個人資訊的情況下,還能利用特殊手段做銀行卡或者信用卡的“複製卡”,通過皮包公司或者pos機盜刷,因此任何情況下都不要洩露銀行類確認碼也是關鍵。