移动互联网的飞速发展,孕育着移动支付行业的快速迭代,其中扫码支付当属这个时代的标杆之一。扫码支付的出现部分替代了传统的现金和POS机等收款模式,商家更看重支付后的营销功能,消费者更在乎方便快捷有优惠,于是越来越少的人带着钱包和现金出门,取而代之的是使用手机扫码支付。从吃饭出行,到购物娱乐,人们身处二维码的世界中,生活里的很多事情,似乎都可以“码上”解决:收付款、添加好友、注册会员、积分兑换、领取优惠……
然而,二维码在给人们带来众多便利的同时,也存在着一些安全隐患,容易被不法分子利用,成为犯罪资金转移、诈骗盗用的常用工具之一的便是个人转账码。笔者拟从转账码的特点出发,解读非法利用转账码开展活动的常见“套路”,分析该业务目前存在的问题,并提出相关建议。
转账码的利与弊
个人转账码顾名思义是个人用于转账的二维码,通过扫描二维码即可将对应账户里的钱转移至另一账户。目前支付宝、微信的转账码支持快速转账到各自的余额、零钱账户,“云闪付”的转账码支持直接转账到银行卡。通过个人转账码,人与人之间能够实现快速便捷的面对面转账。
个人转账码与商户收款码的区别。转账码的核心特点是使用简便、无支付手续费、仅支持借记卡支付、限制交易额度。支付宝和微信的转账码收款直接到余额、零钱账户,提现至银行卡需要额外支付手续费,而“云闪付”及部分第三方支付平台生成的转账码可以直接转账至银行卡,充分满足了中小额度快速转账、零手续费直接到卡的用户需求。
区别于个人转账码,商户收款码支持借贷记卡支付,没有交易额度限制,所收款项自动结算至指定银行卡,不需要手动提现,但需要支付一定的手续费。同时,绝大多数的商户收款码都能够以门店为中心提供丰富的经营功能。以微信商业版收款码为例,提供了收款记录、多门店或多店员管理、官方营销活动、免费官方物料、收款语音播报、经营报表分析、商品货架、积分会员等功能。
个人转账码的利与弊。转账码的优势在于不需要提供复杂的申请材料,在一定额度内转账或收付款也非常便利,能够解决个人、个体户、小平台、小项目中小额度实时转账及收付款的需求,降低对接成本和门槛,也在一定程度上避免了第三方支付平台的回款不确定性及各方税点差异等因素,造成的成本上扬问题。
然而,转账码也存在一定的弊端。一是仅支持借记卡支付,不支持信用卡、零钱(微信)、余额和花呗(支付宝)等支付方式;二是存在交易限额,使用转账码的各个平台都设置了相应的交易额度上限;三是存在潜在交易风险,没有明确的交易流水和消费凭证,只能通过手机内的交易往来记录查看交易金额,难以进行账目核对。同时,在并非本人直接出示的情况下,转账码容易被不法分子篡改和偷换,导致资金被窃取。
识别常见的非法“套路”
一是利用转账码洗钱。转账码的便捷功能让一些不法分子嗅到了其中的洗钱机会,他们常常打着招聘兼职的幌子,诱使“兼职人员”提供转账码,然后在“兼职人员”不知情的情况下,将其转账码提供给被诈骗者扫码转账,或是直接将他们收到的赃款转账给多个“兼职人员”账户,并让这些“兼职人员”再将钱转账至另一个账户,完成诈骗、洗钱的全链路操作。
在搜索非法利用转账码的案例当中,最常见的是当事人被利用当作非法洗钱工具的事例。“有一些人用某收款码收钱,然后转账给我朋友,我朋友再汇款给另一个人,大概一个月七八十万元”“只要提供收款码,每天就可以获得200元的兼职报酬”等,这样的案例在网络上层出不穷。
转账码沦为不法分子的洗钱工具,在一定程度上缘于不法分子的“演技”太过出色而让被骗之人不明就里。但究其本质,外因在于,对转账码既无法溯源,也没有机构认证;内因还在于个人认知不足。一些人觉得转账码不是身份证,比起盗用身份证好像没有那么严重的后果,才会轻易地把转账码提供给别人。
二是伪造二维码窃取转账资金。此举让人眼花缭乱,真假难辨。例如,不法分子假造“违章停车单”并在罚单底部放置收款码,让车主通过扫一扫“向某交通支队转账200元”进行诈骗;伪造共享单车收押金的二维码,设置转账金额299元、199元、99元等,将其随机粘贴在共享单车上,人们扫假的二维码将押金转账给了不法分子;微商或网上代购通过各种理由推荐和指导顾客调起付款二维码并截图,可能还会多次说二维码超时失效,实际同样的金额收取了多次,虽未直接伪造二维码,却实实在在地利用了用户对于收、付款码的认知不足钻了空子。
在数字货币行业里,转账码的使用也值得警惕。数字货币的地址是一串26-35位的字符串,不利于记忆和输入,因此在转账过程中,有人会选择把地址转换成二维码进行操作。许多网站提供在线生成二维码的服务,这时候就很容易出现安全隐患,被一些别有用心的人实施诈骗,即通过二维码生成器嵌入诈骗者的地址,就可把钱转到诈骗者的账户上。
伪造二维码窃取转账资金的方式层出不穷,除了从监管和技术方面进一步完善,个人也应当做到对于陌生的二维码不要随便扫,发现二维码存在覆盖、损毁或有其它明显异常的情况应及时核实;通过网络社交软件非面对面转账时,不要使用识别图片二维码的方式转账汇款;也不要不假思索地按照对方要求的路径,提供、截取本人各类二维码,避免被不法分子窃取个人信息与资金。
三是伪造支付成功从而逃单。在部分未开通商户收款码的店铺消费时,常常仅需将支付成功页面提供给店员即可,大多数情况下店员仅能够看到用户侧付款成功的消息,收款方可能是老板但此时并不在身边。这时候,就有人动起了歪脑筋,当着店员的面输入付款金额,在输入密码时故意输入错误,并趁机打开之前准备好的支付结果页截图给店员看一眼,或者故意将资金转入自己或者熟人名下,并在转入成功后将支付金额给店员看一眼,在排队人流量较大、网络环境不佳、转账码实际收款人不在现场等情况下,店员未必能够立即核实是否真正到账,从而即便出现逃单也无法立即发现的情况。
为了加快工作效率,很多时候店员只看用户支付成功页面付过款的金额,不注意收款人信息和昵称,是否真正到账未必会关心,逃单的人借此钻了空子,导致实际收款人的资金损失。
业务建议
目前,转账码在交易过程中缺乏能够评估和鉴别二维码信息安全的保障机制,不法分子可通过截屏盗取、欺骗获取或四处张贴伪造二维码,非法获取资金,也可通过在二维码内植入恶意程序代码、非法链接等内容,盗取用户信息,真伪难以直观区分。与此同时,网络上利用技术手段突破转账码风控策略的帖子屡禁不止,相关工具在行业中也炒得火热。支付宝限制收款码一天只能生成20次,但是很快网络上出现新的“解决方案”,利用个人转账API,无限制生成收款码。
良法乃善治之前提,针对如何有效监管收款码,笔者提出以下建议:
首先,应当建立完善的监管机制。二维码技术上虽然目前已有国家标准,但是在应用层面还没有相应的规范。因此,应及时出台转账码监管办法,让使用和监管有章可循。
其次,提高监管的技术手段和能力。建立信息管理溯源机制,客观上达到“逮个现形”的预期,基于二维码基础信息系统,把所有二维码数据统一存放在中心数据库,以此形成完善的责任追溯机制和预警系统。
再次,应当强制建立收款码备案制度,确保发布和使用不游离于监管的门槛外。只有将“码”的发布和使用与责任人关联,并加强个人转账码与本人征信的关联,并宣传提升民众自我防范意识,才能够更好地避免犯罪团伙骗取转账码洗钱。
最后,建立产品分级提醒能力。在保证正常用户体验的同时,通过事前初筛、事中阻拦、事后处置上报层层设防,提升对恶意交易的覆盖率和打击的准确率,一旦发现有违法交易,即针对不同的危害程度做出阶梯处罚。
(本文作者供职于中国银联云闪付事业部用户经营团队)
