網購支付平臺：網絡釣魚詐騙常見兩種形式

　　本報2月20日見報的《小額網絡詐騙立案怎麼這樣難》報道，提出了網絡交易各方的責任缺位問題，引發社會熱議。

　　“實際上，支付公司同樣有一大桶苦水。”作為第三方支付平臺的匯付天下支付公司合規部負責人周泉對中國青年報記者説。

　　網絡詐騙形式主要有兩種

　　周泉分析，目前網絡釣魚詐騙最常見的有兩種形式：第一種是虛假鏈結的傳統型釣魚方式。“網友在網購過程中，當進行到第三方支付平臺要付款之時，鏈結到了詐騙分子做的虛假頁面，該頁面在頁面形式、扣款金額等方面做得與原網購網站非常相似，而通過這個虛假頁面進行支付的金額則自動進入了詐騙分子的賬戶。”

　　第二種是當前比較嚴重的木馬型釣魚方式。“這是一種更隱蔽更可怕的方式，當電腦中了這種木馬病毒，在網購交易中的支付平臺到銀行扣款的環節當中，木馬程序會自動在後臺生成另一筆交易，新的交易指向了一個新的賬戶，銀行的扣款自動到了詐騙分子的賬戶，而網友毫無察覺。”

　　“網絡詐騙分子不斷升級作案手段，行為非常惡劣，給網民、我們這樣的支付平臺、銀行都帶來了非常巨大的損失和傷害。”周泉説，他們成了網絡詐騙受害者不斷投訴的“黑支付公司”，網上甚至出現了“支付公司受害者”這樣的虛擬社區群。

　　但周泉説，事實並非如此。

　　“網絡騙子先有一筆真實訂單，再通過虛假鏈結、木馬病毒入侵等方法讓受害者去支付，支付公司的處理系統只是處理這筆資金，無法分辨是來自騙子，還是來自受害者。而受害者付款後未收到商品，才知道受騙，由於是支付公司處理的交易，有用戶誤認為付款到了支付公司，所以會投訴。”

　　在詐騙交易未付款的時候，支付公司不能凍結這筆交易。“由於騙子發起的是真實訂單，誘騙或操控受害者電腦完成支付，支付公司系統處理成功後，就需要給商戶付款；支付公司能做的是將這筆訂單的去向告知客戶，協助警方追查；但因為法律規定，系統處理成功即需付款，不能凍結該筆資金，否則支付公司就違反了商業合同。”周泉無奈地説。

　　支付平臺防範難治本

　　對網絡詐騙，支付平臺就不能做點什麼嗎？周泉解釋了支付公司在流程中設立的一道道 “防火墻”。

　　對虛假鏈結釣魚方式，支付平臺目前採用的“防火墻”有：“時間戳”、確認正確域名、設定交易時間敏感值、核實過濾支付來源的網址等。“‘時間戳’就是，在支付各個環節中都加入時間記錄，當時間間隔超過預設的範圍時，訂單將被判定為無效，無法進行支付，需要重新生成訂單才能完成支付。設定交易時間敏感值，也類似于‘時間戳’。”周泉説。支付公司還通過IP識別技術比對一個訂單各個環節所産生的IP地址，如有不符即進行阻止，或者比對訂單生成IP與支付完成的返回IP，對不一致的進行阻止。當支付來源網址與商戶在匯付登記不一致時，交易也會被阻止。

　　對木馬病毒這種更加隱性而高級的手段，匯付天下用加驗證碼和二次確認等方法，識別人工操作和木馬的機器操作行為。“從升級效果看，加驗證碼和二次確認方式，雖然用戶的便利性受到影響，但對打擊木馬型釣魚收到了明顯效果。此外，我們也正和警方共同協作，及時提供有關記錄，對於詐騙行為進行打擊。”周泉説。

　　“支付公司雖然對於真實交易不清楚，只是個支付通道，但也可以對於大額交易、頻繁交易做出適當干預，即使有用戶被騙，損失也可以小一些。”周泉説。

　　“這是最好的時代，這也是最壞的時代，這句話同樣適用於網購現狀。”周泉説。2010年12月，中國反釣魚網站聯盟發佈的年度工作報告顯示，2010年1月～11月，累計認定並處理釣魚網站20570個，較上一年同期大幅上漲，其中，網絡交易類(74.38%)、虛假中獎類(12.96%)、金融證券類(12%)網站位列釣魚攻擊的前三位。

　　在2011年兩會上，全國政協委員、中央財經大學證券期貨研究所所長賀強就提出，當前打擊網上詐騙，因為涉及數額較小而公安機關不能立案的現象確實存在，但對於網上欺詐這種普遍比較小額的特點，也需要加以研究，公安部門必須加強介入和重視。

　　“我們也呼籲産業各界一起努力來進行防範。例如被騙子利用銷贓的一些網站要加強實名制，一旦警方認定詐騙，被利用銷贓的網站有責任提供騙子的真實身份，並承擔賠付責任；銀行也需要不斷升級防釣魚機制，以免被木馬鑽了漏洞。廣大網友更要多加留心。”周泉説。

　　記者 莊慶鴻