支付宝代扣被利用 链接实为钓鱼网站

　　综投网(www.zt5.com)12月13日讯

　　明明显示为支付宝“淘宝网店铺完善认证签约”页面，输入密码确认后却收到“恭喜，支付宝代扣开通成功”的通知，随后接连5笔200元扣款在不到一分钟内从支付宝划走，均被用来购买北京畅游时代数码技术有限公司(下简称“畅游公司”)的畅游币(虚拟游戏货币)，怡同这时才明白自己被骗了。

　　和怡同有着同样经历的淘宝店主不在少数，据被骗店主们自发统计总人数超过百人，目前登记能确认被盗刷具体金额的有68人，总计超18万元，大部分店主损失多为1000-3000元不等，但也有个别店主被骗金额较高。

　　表格内容为受访者提供

　　“盗刷发生之后我们向支付宝申诉很多次，但均未成功，理由是支付宝无法认定交易违规，而我们到现在也不清楚不法分子是如何获取了我们的信息，并开通了我们支付宝免密代扣的。”怡同对财经网表示。

　　在她看来，免密代扣功能被不法分子利用，支付宝是否应该加强此类功能的安全等级验证和风险监控?而且短时间出现数量如此众多的同类型诈骗，支付宝是否应该配合商户追回损失?另一方面，为什么所有被骗资金流向畅游公司，而畅游公司却不处理、不调查，是谁推卸责任?

　　“被骗店主组成的微信群里每天都有新的人加入，事实上直到今天，这些不法分子也没有停止诈骗行为。”另一位被骗店主刘恰恰也表示了她的担忧。

　　“李鬼”链接实为钓鱼网站

　　上述淘宝店主均是在千牛App(淘宝卖家移动工作台)中收到不法分子伪装成淘宝小二发来的图片或者链接，“假小二”以“淘宝店铺支付宝认证未完善”为由，要求店主扫码或点击链接进入客服认证页面，并表示如不认证店铺将被降级或禁止交易。

　　“因为之前淘宝方面也经常会发来店铺考核、认证的消息，所以这次也是正常去看是什么情况，就扫了图片上的二维码跳转进入了客服页面。”怡同表示。

　　随后，所谓的客服会提供一个点击完成认证的入口，淘宝店主点击后进入到显示为“支付宝店铺信用分”页面。怡同看到跳转后的页面为支付宝，且页面正确显示了自己的用户名、手机号等信息，于是便输入了支付宝密码完成最后认证。

　　图为受访者提供

　　输入完成后，页面显示的不是“店铺认证完成”等提示，而是“恭喜，支付宝代扣开通成功”，显然，怡同在不知情的情况下已经为某项服务开通了支付宝免密代扣，随后的5笔200元连续扣款也证实了这一点。

　　对于怡同这一类情况的举报投诉，支付宝方面均反馈为“无法认定交易违规”，畅游方面则表示充值成功无法退款，虽然目前部分受骗店主已进行登记报案，但因涉及金额过小难以单个立案。

　　谁的漏洞?

　　整个诈骗过程并不复杂，每一个链接的点击和跳转均没有任何风险提示或拦截，那么最后输入密码的界面是否真的为支付宝界面?支付宝为何不能判定交易违规?怡同对平台和支付宝安全性也提出了自己的质疑。

　　财经网就以上情况和疑问联系了支付宝方面相关负责人，通过对怡同账号盗刷交易记录的技术分析，支付宝方面给出了相应的事件还原。