由于支付宝首页的收付款按钮默认展示付款码,这种情况下诈骗者只需要使用商家扫码设备即可小额免密扣款。现在有个利用收款码默认展示诈骗的案例,来自 V2EX 的网友被诈骗者盗刷 1000 元,联系支付宝客服后客服建议网友报警,因为支付宝无权处理诈骗者使用的账户。
下面是诈骗流程:
该网友是一名餐饮行业工作者,诈骗者添加其工作微信 (公开的) 称要预定包厢,网友按工作流程向客人收取 1000 元订金,原本直接通过微信转账即可但诈骗者称微信交易失败 (坑 1) 提出使用支付宝付款。
网友提供支付宝收款码后诈骗者仍然说付款失败 (坑 2),诈骗者随后要求换收款码并要求使用微信视频对准收款码,诈骗者给出的理由是这样收款码可以动态刷新 (坑 3)。
网友按照诈骗者的要求照做后打开支付宝收付款,此时大坑的地方来了:支付宝默认展示付款码,如果用户收款的话需要在相同界面点击收款按钮以展示收款码。
但由于微信视频可以实时看到网友打开的付款码,从付款码到收款码操作切换的几秒内诈骗者就可以使用扫码设备立即进行收款,为避免风控诈骗者还分成多笔收款并控制在 1000 元以内避免触发输入密码。
从这个案例中可以看到诈骗者的关键利用方式就是支付宝收付款按钮默认展示付款码,且多数用户默认设置的都是小额免密交易,因此诈骗者使用商家扫码设备进行收款是不需要进行验证的。
这里说说几个坑在哪里:
第一个坑:微信交易失败,大多数情况下微信转账失败的可能性非常低,除非收款者 (也就是网友账户被风控),遇到这种情况是就应该提高警惕了,因为无非是诈骗或者是自己账号被风控,这都应该检查情况,但这个坑还不算大,毕竟也是常见问题。
第二个坑:支付宝收款码付款失败,这种情况下极少极少,和第一个坑一样除非支付宝账号也被风控了,但微信和支付宝同时被风控的概率更低了。
第三个坑:收款码可以动态刷新,这个就是完全错误的说法了,支付宝个人收款码是静态的不需要刷新,相反付款码是动态刷新的,这里诈骗者利用网友不熟悉支付宝收付款码的特点诱骗网友。
总的来说整个诈骗环节里有多个坑并且是环环相扣的,而且并非所有人都对支付宝收付款码的特点非常了解,因此这种诈骗手法也可以说是防不胜防,尤其是对于经营商家来说。
如何应对这种骗局:
这种骗局并不是今年才有的,所以支付宝也添加了默认隐藏收款码的选项,在支付时需要手动点击才展示,这样可以提高安全性,只是日常使用时多一个步骤因此稍微麻烦些。
关闭方法如下:点击支付宝、首页收付款、付款码、右上角菜单、付款码隐私保护、开启付款码隐私保护功能,开启后后续每次展示付款码都需要手动点击展示。
