这两天,北京的赵女士经历了一场离奇的银行卡盗刷事件——在收到一条支付验证码短信后,她银行卡里的 199 元就不翼而飞了。“我以为是诈骗短信就没有理会。”让赵女士不解的是,既然支付平台需要验证码才能支付,为何她收到验证码短信后未做任何操作,她的卡仍被盗刷了呢?
缘起
接到支付平台电话才知遇盗刷
北京青年报记者了解到,赵女士银行卡被盗刷的事情不是她自己发现的,而是网络支付平台的工作人员打电话告诉她的。
“我是在 1 月 12 日下午 4 点 43 分接到百度钱包风控人员的电话,他说我的民生银行卡有两笔支出,一笔 199 元、一笔 500 元,询问是否是我本人操作。”赵女士听到对方的询问后当下懵了,但很快反应过来告诉对方不是她操作的,对方随即表示她的银行卡可能被盗刷让其尽快冻结卡,同时百度钱包会停止第二笔 500 元的支付。
尽管心存疑虑的赵女士随后与民生银行确认,其银行卡里确实有一笔 199 元的消费,支付方式正是百度钱包。她想起在接电话的前三分钟曾收到一条来自百度的支付验证码短信,因为没有在百度平台上消费,她就把那条短信当作垃圾短信处理并未进行任何操作,没想到,盗刷其银行卡的人在未获得其短信验证码的情况下仍完成了百度钱包上的支付。
事发
一分钟内连刷两单被风控发现
赵女士冻结银行卡后到派出所报了警。让她感到奇怪的是,她从未使用过百度钱包,也不知道何时绑定了银行卡,甚至无法查到这 199 元是通过什么网络平台被谁刷走并用于何种消费。“我没有进过钓鱼网站或提供给骗子验证码,那么骗子到底是如何不用验证码刷走钱的?我的银行卡、手机号是不是已经全部泄露?百度钱包又是如何在短短几分钟就发现问题了呢?”
第二天上午,赵女士再次接到了风控人员的电话。据了解,风控人员告诉她,盗刷其银行卡的人用她的账户在一分钟内在百度糯米下单购买了 199 元和 500 元的商品,由于连续下单间隔不超过一分钟,其风控系统自动监测认为订单有问题,所以人工询问其是否本人购买。对方还告诉她,其银行卡是她 2015 年 11 月在糯米上购买团购券时自动绑定的。
“但是他还是没有解释清楚我收到验证码短信以后对方是如何拿到验证码支付成功的。不过他确认了我确实被盗刷了,也答应会先行赔付。”赵女士告诉北青报记者。
后续
支付平台先行赔付用户仍忧心
北青报记者了解到,赵女士的赔付已在前天下午到账。
对于此次事件,百度钱包相关负责人表示,百度钱包自发布起,用户的每一笔交易都经过百度风控大脑进行实时风险识别,并在毫秒级别内反馈风控识别的结果。针对疑似风险的交易,将会直接进入风险处置环节,进行风险验证、人工确认或拦截。即使风险交易最终突破了风控大脑的模型与规则的识别,百度钱包建立了安全的案件受理和赔付流程,对于非用户主观过失导致的资金损失,承诺承担全额赔付责任。
这位负责人表示,百度钱包还联合保险公司上线了账户安全险,实现线上自助赔付。
目前,赵女士已解除了银行卡与支付平台的绑定,但这次遭遇的盗刷事件让她想来后怕,“我的支付安全谁来保障?200 块钱是小钱,安全感却是无价的。在这个骗子横行的年代,谁来给我们普通人一点安全感呢?”赵女士说。
延展
如何保护个人信息防盗刷?
随着网络购物方式的普及,网络支付平台也成了盗刷频发的重灾区。
据业内人士介绍,遭遇盗刷有可能有两方面原因:一是点击不明链接、扫描不明二维码、回复不明短信、使用公共 wifi 等等被不法分子种入的木马病毒,造成个人信息泄露。
二是很多用户为了记忆方便在各种网络平台使用同一套用户名密码,当不法分子获取了某一平台的用户信息,会通过技术手段不断尝试破解其他平台信息,俗称“撞库”。一旦破解成功,盗刷也就“轻而易举”了。
尽管赵女士在此次事件中及时挽回了经济损失,但是关于短信验证码的疑问仍让她百思不得其解,“究竟诈骗分子是怎么拿到我的验证码的?”
据业内人士介绍,短信验证码虽能保障支付安全,但也容易被诈骗分子盗取,网络链接、木马病毒短信都可能是诈骗分子获取个人信息的工具。一旦用户点击,手机上的通讯录、短信的信息便会被盗取,手机中接收的新短信也会自动转入诈骗分子的邮箱,短信验证码也就自然被对方掌握了。
业内人士建议,用户可以通过一些手段来防范盗刷:一方面对个人信息要有保护意识,不要点击不明短信、网站等可能被植入木马病毒的链接,身份证、银行卡等重要信息不随意填写;另一方面,在网络支付平台上最好进行实名认证,注册不同平台时使用不同的用户名和密码。