当前位置:首页 > 网络安全 > 网络安全就在我身边

用购票APP"免密支付"的风险有多大:几秒钟被划走上千元

2018-01-23 来源:新华社 【打印】

  春运大幕拉开,手机购票因便利快捷受到越来越多用户青睐。近日,有消费者发现,在一些购票APP上购买机票时,只填写一个手机短信验证码就可以完成交易。

  这种“无主动授权、无醒目提示、无支付密码”的“三无”购票支付方式,遭不少网友吐槽“缺乏安全感”。

  不用支付密码几秒钟就被划走上千元

  近日,贺女士通过“去哪儿”APP购买一张从杭州飞往北京的机票。选定航班班次、填完个人信息后,她用一张储蓄卡付款。

  由于此前该卡并未绑定“去哪儿”,她按照要求填写了姓名、身份证号、银行预留手机号码,之后收到一条6位验证码短信。贺女士认为这只是验证信息,但输入后惊讶地发现,竟在瞬间被动完成了交易,第三方平台从银行账户划走了1000多元机票钱。

  “支付难道不需要支付密码吗?怎么能只凭一个短信验证码就直接划款?”贺女士说,整个过程平台从未提示这是在进行支付交易,也没有明显提示输入验证码即为确认支付。

  重庆罗先生一个月前在携程网订机票也遇到类似情况。没有要求输入支付密码,几千元就被划走了。“我当时就联系银行和携程。双方回复说有合作,不管金额大小,直接闪付不用输密码。”

  记者致电“去哪儿”客服,对方称,这就是“去哪儿”网购票的一般流程。不需要支付密码这件事,属于用户和开户行之间的事,“我们平台再智能也不可能从银行直接把钱划走的”。

  既然平台号称跟自己没关系,那么是否是银行的责任呢?记者致电贺女士储蓄卡发卡行工商银行客服。工作人员表示,经用户同意,工行网银等支付渠道是可以开通300元以下的小额免密支付的,其他都需要支付密码或者网银密码。“但是,和第三方平台签订相关协议后,是可以授权平台通过其他方式验证、完成支付的。”

  记者在“去哪儿”APP上发现,在支付界面下方有一行字体非常小、默认自动勾选的规则。打开后发现,共有19条细则,其中第五条规定:“您认可和同意:输入个人信息进行交易即视为您确认交易和交易金额并已不可撤销地向系统发出指令,银行或第三方支付等金融机构将根据您的指令从您绑定的银行卡中将您确认的交易资金划扣给收款人。”

  业内人士表示,这是通过银联完成的认证支付,是手机支付的一种方式。如果勾选相关选项,即认可、授权可通过一些验证方式,如通过手机短信等完成认证支付等。

  这种支付方式的安全性如何?记者使用一部他人的手机,分别登入携程和“去哪儿”进行购票操作。由于该手机已分别在两个APP中绑定了银行卡,记者在根本不知道该卡密码的情况下,仅凭借一条验证码短信,就顺利购买了一张500多元的机票。

  无主动授权、无醒目提示、无支付密码,“三无”支付隐患大

  记者发现,“去哪儿”平台的做法并非个例。在各类投诉平台和网络论坛,对此类购票APP“免密支付”的吐槽很多,有不少消费者大倒苦水,称对于无需支付密码就可完成交易的所谓“授权”毫不知情,因此被盗刷钱财的屡见不鲜。

  中国电子商务投诉与维权公共服务平台曾接到一位上海用户对购票网站“格瓦拉”的投诉,称其免密支付无醒目提示。

  “整个过程没有任何窗口弹出告诉我是免密支付,没有经过我任何授权。”该用户称,客服告知这是上海银行“上银快付”的特征,不需签约不需密码即可支付。但从消费者角度,即使第三方支付的小额免密,也应通过窗口提醒、要求授权获得通过。

  在免密支付的问题中,消费者常常在毫无察觉的情况下被强行默认勾选授权,是另一个被诟病的“霸王”做法。

  记者在“去哪儿”APP上发现,尽管其规则上说明“输入个人信息进行交易即视为向银行或第三方支付等金融机构发出指令扣款”,但并未明确告知消费者这个行为无需输入密码。而且,该授权协议已经被平台默认勾选。

  记者还发现,平台还存在“霸王条款”嫌疑。“首次绑卡支付后,以后每次使用该卡支付,视同已经阅读并同意该规则。”这就意味着,消费者如果首次支付时没有点开该规则阅读,之后就再也没有机会看到该规则了。

  虽然免密支付客观上方便了消费者,但也增加了被盗刷的风险。杭州市民徐先生告诉记者,去年12月,他的手机曾被同宿舍同事马某盗走,马某利用小额免密支付功能盗刷了4000余元。

  尽快提升快捷支付的安全性保护

  一些提供免密支付的机构称,他们大多会通过技术手段和业务控制最大限度地保证支付安全,比如通过反欺诈系统监测用户的交易行为并对异常交易进行预警,通过数字证书技术保证交易设备和交易过程的安全,对商户进行严格筛选等。

  根据《消费者权益保护法》,消费者有权根据自己的需求、意向和兴趣,自主选择自己满意的商品或服务。专家表示,消费者对支付途径同样有知情权,可以选择是否进行该途径的支付,商家不能采取较为隐蔽的方式,直接替消费者勾选“默认”,这涉嫌侵犯消费者的自主选择权和知情权。

  北京德和衡(杭州)律师事务所律师程学林表示,目前支付方式多样,必须充分保障消费者的知情权。交易平台有义务引导消费者进行选择,告知消费者支付风险,在交易过程中对支付步骤作出明确提示,保障消费者的支付安全。

  中国电子商务研究中心主任曹磊表示,便捷快速的网上支付方式是未来大势所趋,但目前快捷型支付还有很多问题亟待解决,包括怎样更好地保障用户隐私、优化安全系数等,同时还要有兜底方案,完善补偿机制。