支付宝诈骗模式及其防范策略
第24卷第3期 江苏警官学院学报 Vol.24 No.3 2009年5月
第24卷第3期 江苏警官学院学报 Vol.24 No.3 2009年5月 JOURNAL OF JIANGSU POLICE OFFICER COLLEGE May.2009
·社会治安研究·
支付宝诈骗模式及其防范策略
孙书林
摘 要:利用网络交易支付工具支付宝进行诈骗的现象时有发生。支付宝诈骗,80的案件是卖方利用各种手段欺骗消费者,让买家受骗上当,20的案件则是买方利用支付宝骗取商家货物、钱款。这些诈骗行为严重扰乱了网络交易秩序。使用支付宝进行交易,买方要多方面了解产品信息和商家信用度,买卖双方要严格按照支付宝交易程序操作,保存好交易单据凭证,仔细核实网址以防钓鱼网站,防范支付宝诈骗。
关键词:支付宝诈骗 网络交易秩序 电子商务
中图分类号:TP 393.07 文献标志码:B 文章编号:1672-1020(2009)03-0137-05
一、支付宝简介
支付宝是我国当前使用得最为广泛的一种第三方支付工具。随着我国电子商务的发展,网上支付逐渐成为消费者网上购物的首选付款方式。我国第三方支付平台市场规模增长迅速,目前提供第三方网上支付服务的企业已超过50家,年处理交易量在亿元或几亿元甚至几十亿元。截至2008年8月28日,使用支付宝的用户已经超过1亿,支付宝日交易总额超过4.5亿元人民币,日交易笔数超过200万笔。① 支付宝的功能简单来说就是为网上交易双方提供“代收代付的中介服务”和“第三方担保”,实质是以支付宝为信用中介,在银行监管下保障交易双方利益,在买家确认收到商品前,由支付宝暂时保管货款的一种增值服务。支付宝作为代收代付的中介,主要是为了维护网络交易的安全性。
理论上说,支付宝是安全的,但也存在不少安全隐患。其原因在于:其一,互联网开放、互动、传播面广、匿名性强的特点,为不法分子实施犯罪提供了隐蔽的作案手段;其二,支付宝支付平台技术不很完善,钓鱼、木马程序盗取密码等各类事件时有发生;其三,一些别有用心的组织、个人利用基金项目:江苏警官学院学生科研基金项目:07XX820005。
收稿日期:2009-04-12
作者简介:孙书林(1987-),女,南京人,汉族,江苏警官学院2005级侦查学专业(经侦方向)本科学生,南京,210012。 ① 《“支付宝”用户总数突破1亿》,新华网http://news.xinhuanet.com/fortune/2008-09/21/content_10087596.htm。
- 137 -
,网络交易中的漏洞,伺机窃取别人的机密,进行诈骗;其四,部分用户网络安全知识匮乏,缺少足够的安全防范意识和手段,也为犯罪分子提供了可趁之机。
目前在网络交易过程中利用支付宝进行诈骗的犯罪活动日趋严重。随着网络普及程度的提高,此类诈骗犯罪将更加复杂多变。对此进行研究,探讨防范策略,完善支付平台建设、强化网络管理与监控的同时,增强公众网上风险意识,提高公众网络交易自我保护能力与水平,有利于建立一个健康、安全的网络交易环境。
二、支付宝诈骗模式
(一)卖家利用支付宝进行诈骗
在网络交易中,由于对交易流程不熟悉、信息获得不全面,加之警惕性不高,买家常常处于弱势地位,容易受到卖家的欺骗。就卖家而言,主要有以下诈骗类型。
1.卖家要求买家申请退款进行诈骗。这是利用支付宝进行诈骗的最常见的手段之一。卖家以极低的价格来诱惑买家,买家确认购买物品,待款项从买家账户划拨到支付宝之后,卖家告诉买家货物不足,承诺给买家退部分款项;或者以种种理由要求买家申请退款,然后想办法再让买家取消退款。在买家完成上面的退款与取消退款操作的同时,卖家选择了已经发货,这时,买家一旦申请退款,支付宝就默认买家交易成功。买家查看账户时,由于交易成功,款项已经从支付宝转到了卖家账户。①
2.卖方利用支付宝确认期限到期进行诈骗。买方在购买商品后将货款存入支付宝,暂时由支付宝保管,买方在收到货物并确认后,支付宝才将货款存入卖家账户。这期间有十五天的时间限制。② 付款方只有在收到卖家商品、对其满意并确认后,支付宝才会将货款划到卖家账户中,如不满意可申请退款。如果发货后付款方逾期不确认收货,也没有申请退款,则默认交易成功,支付宝会自动将货款划拨给收款方。而买方往往并不知悉或者忽略这一时限,这就给了犯罪分子可趁之机。交易中,骗子还会使用缩短交易有效时间来行骗,超过有限时间,即使买方不确认收货,货款也会被支付给骗子。
3.卖方提供商品与约定不符。网购出现纠纷,大多因为商品描述和实物不符,卖方以次充好,欺骗消费者。调查表明,网上买家认为卖家对销售商品的描述与商品实际情况(颜色、品牌、品质等)有偏差,占了网上购物投诉总量15。这类投诉主要有三种情况:一是卖家发错货,商品描述与收到货物不符;二是质量有问题,卖家承诺质量与到货质量不符;三是品质有问题,描述中卖家承诺是正品,但到货是仿品。
4.卖家虚假抬高信用度。支付宝交易流程的最后一个环节是买方在收到货以后,根据自己的满意度对商家进行评价,形成商家的信誉等级。在网络交易这样一个虚拟平台上,信用等级是买家选择是否购买此商铺商品的重要依据,信用等级高的商铺往往比较值得信赖。事实表明,买家对于这一信用等级也不能完全相信,因为许多商家会利用各种手段相互炒作,进行虚假交易,以提高信用度。甚至专门的公司应运而生,提供代为炒作、提高信用度的服务。有些卖家的信用涨得很夸张,有的商家一夜之间信用就能涨70多个,这显然是通过不正常的手段抬高的虚假信用度。有明显的信用炒作迹象的卖家就不值得信赖。
(二)买家利用支付宝进行诈骗
在支付宝诈骗中,80的案件是卖方利用各种手段欺骗消费者,让买家上当受骗,20的案件则是买方利用支付宝骗取商家货物、钱款。买家利用支付宝进行诈骗主要有下列几种。
1.买家赖账。这是卖家遇到的最多的诈骗方式。买家赖账有三种形式,一是收货后迟迟不给确认;二是收货后对货不满意或者不想购买了,尽管不是因为商品存在质量问题,还是要求退货。卖家为了① 《警惕支付宝退款方式诈骗》,http://jocs-coop.com/viewthread.php?tid=2902。
② 《支付宝帮助中心,超时规则》,http://help.alipay.com/support/help_detail.htm?help_id=3262&src=yy_help_wz12。 - 138 -
,信誉不得不接受退货,还得倒贴运费;三是买家虽然顺利收到货物,在确认收货后不愿给卖家好评。尤其是虚拟物品,买家更容易赖账。网友“安全中国的流星”做了一个实验:① 他作为买家在淘宝上购买Q 币,和卖家谈好价格为48元100个Q 币,将货款打入支付宝并通知卖家已经支付货款。卖家查过付款通知后给他充了100Q 币。虚拟物品收货时间三天到了,但是他声称没有收到货,向淘宝支付平台要求退款,虽然卖家也进行了申诉,但是由于是虚拟货币,没有任何证据可以证明卖家发了货,于是双方进入了漫长的申诉期,最终卖家放弃申诉,买家欺诈得逞。
2.买家通过伪造支付宝确认页面进行诈骗。卖家zhenlinfen 专门在淘宝网上出售手机充值卡,2008年2月25日16时30分,一买家向其购买30张100元面值的手机充值卡,在淘宝旺旺聊天软件中说好先将货款打到淘宝支付宝,然后zhenlinfen 给他30张充值卡的密码。过了10多分钟,买家说款已支付让其发货,卖家zhenlinfen 也收到一封来自支付宝确认买家付款的邮件。于是zhenlinfen 于17时通过阿里旺旺将30张手机充值卡密码发给买家,并通过手机联系确认了30张手机充值卡的密码有效,买家承诺在10分钟内确认收到货,但却迟迟不予确认。zhenlinfen 通过旺旺催促他尽快确认时,发现确认买家付款的邮件有问题,于是进入淘宝网交易中心,发现交易状态仍是等待买家付款,说明买家并未将货款支付到淘宝网支付宝,zhenlinfen 于20时35分打这位买家电话,已经无法联系到对方,之后打电话到淘宝网支付中心,支付中心说没有收到买家打到支付宝的货款,那封邮件也不是淘宝网发出去的确认信件。至此,zhenlinfen 发现被骗,于是报警。
(三)第三方诈骗模式
除了买卖双方以外,还有一类诈骗是除买卖双方以外的第三人,利用支付宝这一网络交易支付工具对买卖双方进行诈骗。其中最主要的一种就是利用假“支付宝”页面骗取账号、密码。
许多网民都收到过这样的邮件“尊敬的客户,恭喜您在本次淘宝热门活动中获奖”,按照邮件提供的链接进入一个与淘宝网几乎没有区别的页面,用户输入了账户、密码甚至银行卡密码之后,发现支付宝账户、银行卡账户内的金额不翼而飞。
2008年1月25日,公安部在网站上发布通知:提醒网民上网时保护好自己的银行卡号和密码,警惕不法分子利用虚假“淘宝网”诈骗。公安部的通知称:“该种可疑网页不仅高度逼真,且输入用户名和密码后,可以正常登录淘宝网站,其中显示的个人信息完全正确,有很强的误导性。经了解,这些网站均系假冒,其地址为一个前缀为taobao 的二级域名,通过技术手段与真正的淘宝网建立了某种关联,并安装了木马程序,一旦客户通过假冒网站登录,密码很可能被窃取。公安机关提醒群众,上网时注意防范此类陷阱,妥善保护自己的银行卡号和密码,以免遭受财产损失。”同时公安部公布了十个假冒淘宝网的网址。
真假网页一般人难分清,与真正的淘宝网登录页面进行对比发现,除登录框内容外,假网址的页面风格、布局以及链接项与真网址的一模一样。假网页左侧中间的登录框做了小改动,会员名及密码输入框后的登录提示信息被删除,安全登录提示也从登录按钮的下方移到了右侧,网址代码与页面页眉上显著的Taobao.com 无法对应。如果不进行对比,一般人很难分清真假页面。用户一旦登录假页面,录入用户名和自己的密码,自己的账户信息就会被盗取。
此外,支付宝自身系统也存在着不少漏洞,容易被黑客入侵,盗取用户的信用卡账户、密码,进行信用卡诈骗。
三、支付宝诈骗防范策略
(一)严格依照程序进行交易
通过上述几种诈骗模式可以看出,骗子的手段并不高明,他们往往利用对方对交易过程的不熟悉① 《慎防买家通过支付宝进行诈骗》,http://www.hackbase.com/tech/2005-12-23/671646.html。
- 139 -
,或者怕麻烦、疏忽大意,从而成功诈骗。只要买卖双方熟悉交易流程,严格按照支付宝交易流程进行交易,骗子的阴谋就难以得逞。调查显示,在利用支付宝进行诈骗或者引起纠纷的案例中,80是因为未按照网站的正常交易程序所造成的。在交易过程中,交易双方应随时更新淘宝交易中心状态的页面,页面上会清楚地显示交易究竟到了哪一步,买方有无打款、卖方有无发货、买方有无收到、何时到达等。一些骗子为了规避支付宝的监管,设法引诱买家到其他网站或者使用支付宝付款之外的付款方式借机行骗。那些在实际交易中拒绝用支付宝交易、让你直接打款的(买)卖家,十有八九是骗子。
(二)了解相关产品信息
首先要了解近期商品的基本价格,这个价格可能有些波动,但是一般不会超过20。如果价格异常,支付宝会对此商品进行调查,一旦查出问题会强制货物下架。如果价钱很低,那么要看卖东西的人能否说出低价的合理原因。至于参考价格,可以在淘宝网上看看别人出售同样商品的价钱,或者问问懂行的人。其次,购物时可以多比较一下同类产品,做到货比三家,心中有数。对于卖家提供的商品图片,尽量要求其提供卖家自己拍摄的立体实物图、细节图和详细描述,防止商家直接套用杂志上的精美图片或者把生产厂家广告图片弄到网上去,收到货时却发现实际货物与照片上的不符。买家要多让卖家提供实物图片,最好是通过摄像头看货,以减少商家作假的机会。
(三)不能轻信信用评价
用支付宝进行购物,一定要谨慎选择交易对象。对于陌生商家,辨别其是否可信的最直接方法就是看他的信用级别和买家评价。如果信用度很高,好评数量很多,相对来说可以放心。但是目前存在网店信用炒作现象,购物也不能完全相信信誉等级。对于陌生的商家,应该注意其网址上是否提供详细的通讯地址和联系电话。如果没有,最好能够让对方给出电话号码,起码是一个手机号码,最好是固定电话号码。然后用软件查询区号和手机地址,看看和商家登记的是否一致;查询手机卡是神州行、全球通还是联通,全球通号码在办理时要登记身份证,行骗几率比较小,相对可靠,必要的时候应该打电话加以核实。
(四)发货验货,保存单据
利用支付宝进行诈骗的证据包括两个方面:一是网络交易的电子证据,二是交易双方保存的交易凭证。电子证据取证难主要因为电子证据只能处于一种虚拟状态中,容易遭受复制、篡改,被毁坏或篡改后不会留下明显痕迹、不易被发现。电子证据也很难提取,如何通过技术手段对犯罪现场——计算机进行检查,对数据进行收集、扣押、备份,从而使取得的证据具有真实性、可信性、原始性,都是很难规范的。因此,买卖双方在交易中的聊天记录和收货、发货的单据、凭证等就成了纠纷发生后的主要证据。无论是买方还是卖方,在交易过程中一定要注意收集、保存证据,一旦发生纠纷时便于取证。首先要注意保留和对方交易的聊天记录,淘宝提供的聊天工具“阿里旺旺”就是一款比较实用的聊天工具,可以完整保存下载交易双方的聊天记录;腾讯的QQ 聊天软件有显示对方所在地的功能。
买方在收货时一定要“先验货,再签收”。在接收包裹时,最好能亲自签收,而且要当着快递人员的面拆开,、仔细查看邮递物品是否完整。一旦发现货物有问题,则不能签收,应当着快递员的面与卖家联系,了解情况。如果是快递在运送过程中出现了问题,就拒绝收货;如果是卖家的问题,就要和淘宝支付宝客服联系,同时申请退款。无论是什么原因出现问题,都要和快递员一起去快递公司开证明,证明你所收到的商品有误,有条件的还可以拍照取证,把手中的证据发送给淘宝网。如果是卖家的问题且数额较大,应该拿着证明及收到的商品和快递员一起到公安部门报案。此外,交易双方还应该学会查货单,不管对方用的是什么快递都会有货单号,都可以到对方所使用快递公司的网站上去进行货单查寻,随时跟踪货单情况。
(五)防范钓鱼网站
当前网络技术越来越发达,钓鱼网站的制作越来越精美,其仿真程度也越来越高,让人几乎难以辨别,但其中的细微差别还是能够被发现的。
- 140 -
,登录之前,一定要先检查浏览器中的网址,确保其是在支付宝的网页上。如果要点击电子邮件中的链接,先确认浏览器中显示的网址和电子邮件显示的相同一致。支付宝登录页面的网址开头https://www.alipay.com/。如果网址中第一个斜杠(/)前面没有立即出现alipay.com ,就不能输入支付宝用户名和密码。如果网址中斜杠前包含其他字符如@、下划线等,那么该网站绝不是支付宝网站。对包含附件和链接的电子邮件也要多加小心。支付宝不会向用户发送包含附件的电子邮件,也不会要求用户在一个不能访问到支付宝的网页上输入信息。①
此外,支付宝公司联系用户一律使用公司的固定电话,对外电话显示区号为0571,任何时候都不会使用手机联系用户,并且工作人员都会向用户报上花名;支付宝向用户发出的电子邮件中只会称呼用户的会员昵称或者真实名字,而不会仅仅显示“亲爱的用户”。知道这些并在使用中多加注意,就可以有效地防止假冒支付宝的电子邮件和网站了。
用户还可以采取访问控制、授权、身份认证、防火墙、加密存储及传送等手段,及时更新升级杀毒软件,以保证计算机的安全。
(六)支付宝公司应加强对申诉环节的处理
买卖双方在使用支付宝过程中产生纠纷是一件很正常的事,然而对于占大多数的数额不大、没有达到刑事犯罪立案标准的纠纷来说,这时候最需要的就是一个公正的能够解决纠纷的第三方。支付宝平台虽然也提供了纠纷处理的服务,但因为实际交易中取证困难等原因,许多交易都难以裁判,常常会造成仲裁的拖延和错误裁决,让按照程序交易的一方蒙受不必要的损失,也给骗子以可趁之机。因此,作为提供支付平台的支付宝公司来说,应该加大技术方面的投入,运用技术手段、完整的记录交易等各方面细节,以应对可能发生的纠纷。同时,提高处理纠纷的效率,缩短处理周期,在短时间内给交易双方一个满意的答复。
[责任编辑:尹 瑾]
[书摘]
中国流动人口中的政治排斥问题研究
熊光清 著,中国人民大学出版社2009年4月版
该书《结语》中写道:“本书所研究的中国流动人口的政治排斥问题,是在中国改革开放政策实施以来,随着流动人口大规模增加而出现的新问题。笔者认为,对当前中国流动人口中的政治处境进行分析,政治参与和政治冷漠的概念不足以表达他们政治处境的特征,不利于对他们的政治处境进行深入分析和研究。与政治参与或政治冷漠等概念相比,政治排斥理论的分析范式更富有解释力、说服力和启发性。政治排斥这一概念的使用就能鲜明揭示中国流动人口在一定程度上被排斥在政治生活之外,他们的政治权利和政治义务难以实现,也无法与其他社会群体平等共享政治资源这一基本特征。同时,政治排斥这一概念在很大程度上是从社会排斥这一概念移植过来的,运用政治排斥理论分析问题,也可以借鉴西方学术界已经较为成熟的社会排斥理论的成果和西方国家(特别是西欧国家)在消除社会排斥方面的实践经验,提供有效化解这一问题的政策措施的新视角。在这种情况下,笔者构建了政治排斥的分析范式和理论框架,希望对此问题进行较为系统的探讨和研究,并希望能有一定的突破。”
(苏哲) ① 《支付宝页面遭仿冒 钓鱼网站骗盗网友账户》,http://www.enet.com.cn/article/2006/0216/A20060216501648.shtml。
- 141 -