本报2月20日见报的《小额网络诈骗立案怎么这样难》报道,提出了网络交易各方的责任缺位问题,引发社会热议。
“实际上,支付公司同样有一大桶苦水。”作为第三方支付平台的汇付天下支付公司合规部负责人周泉对中国青年报记者说。
网络诈骗形式主要有两种
周泉分析,目前网络钓鱼诈骗最常见的有两种形式:第一种是虚假链接的传统型钓鱼方式。“网友在网购过程中,当进行到第三方支付平台要付款之时,链接到了诈骗分子做的虚假页面,该页面在页面形式、扣款金额等方面做得与原网购网站非常相似,而通过这个虚假页面进行支付的金额则自动进入了诈骗分子的账户。”
第二种是当前比较严重的木马型钓鱼方式。“这是一种更隐蔽更可怕的方式,当电脑中了这种木马病毒,在网购交易中的支付平台到银行扣款的环节当中,木马程序会自动在后台生成另一笔交易,新的交易指向了一个新的账户,银行的扣款自动到了诈骗分子的账户,而网友毫无察觉。”
“网络诈骗分子不断升级作案手段,行为非常恶劣,给网民、我们这样的支付平台、银行都带来了非常巨大的损失和伤害。”周泉说,他们成了网络诈骗受害者不断投诉的“黑支付公司”,网上甚至出现了“支付公司受害者”这样的虚拟社区群。
但周泉说,事实并非如此。
“网络骗子先有一笔真实订单,再通过虚假链接、木马病毒入侵等方法让受害者去支付,支付公司的处理系统只是处理这笔资金,无法分辨是来自骗子,还是来自受害者。而受害者付款后未收到商品,才知道受骗,由于是支付公司处理的交易,有用户误认为付款到了支付公司,所以会投诉。”
在诈骗交易未付款的时候,支付公司不能冻结这笔交易。“由于骗子发起的是真实订单,诱骗或操控受害者电脑完成支付,支付公司系统处理成功后,就需要给商户付款;支付公司能做的是将这笔订单的去向告知客户,协助警方追查;但因为法律规定,系统处理成功即需付款,不能冻结该笔资金,否则支付公司就违反了商业合同。”周泉无奈地说。
支付平台防范难治本
对网络诈骗,支付平台就不能做点什么吗?周泉解释了支付公司在流程中设立的一道道 “防火墙”。
对虚假链接钓鱼方式,支付平台目前采用的“防火墙”有:“时间戳”、确认正确域名、设定交易时间敏感值、核实过滤支付来源的网址等。“‘时间戳’就是,在支付各个环节中都加入时间记录,当时间间隔超过预设的范围时,订单将被判定为无效,无法进行支付,需要重新生成订单才能完成支付。设定交易时间敏感值,也类似于‘时间戳’。”周泉说。支付公司还通过IP识别技术比对一个订单各个环节所产生的IP地址,如有不符即进行阻止,或者比对订单生成IP与支付完成的返回IP,对不一致的进行阻止。当支付来源网址与商户在汇付登记不一致时,交易也会被阻止。
对木马病毒这种更加隐性而高级的手段,汇付天下用加验证码和二次确认等方法,识别人工操作和木马的机器操作行为。“从升级效果看,加验证码和二次确认方式,虽然用户的便利性受到影响,但对打击木马型钓鱼收到了明显效果。此外,我们也正和警方共同协作,及时提供有关记录,对于诈骗行为进行打击。”周泉说。
“支付公司虽然对于真实交易不清楚,只是个支付通道,但也可以对于大额交易、频繁交易做出适当干预,即使有用户被骗,损失也可以小一些。”周泉说。
“这是最好的时代,这也是最坏的时代,这句话同样适用于网购现状。”周泉说。2010年12月,中国反钓鱼网站联盟发布的年度工作报告显示,2010年1月~11月,累计认定并处理钓鱼网站20570个,较上一年同期大幅上涨,其中,网络交易类(74.38%)、虚假中奖类(12.96%)、金融证券类(12%)网站位列钓鱼攻击的前三位。
在2011年两会上,全国政协委员、中央财经大学证券期货研究所所长贺强就提出,当前打击网上诈骗,因为涉及数额较小而公安机关不能立案的现象确实存在,但对于网上欺诈这种普遍比较小额的特点,也需要加以研究,公安部门必须加强介入和重视。
“我们也呼吁产业各界一起努力来进行防范。例如被骗子利用销赃的一些网站要加强实名制,一旦警方认定诈骗,被利用销赃的网站有责任提供骗子的真实身份,并承担赔付责任;银行也需要不断升级防钓鱼机制,以免被木马钻了漏洞。广大网友更要多加留心。”周泉说。
本报记者 庄庆鸿