翼支付又坑人?非實名手機號取得高級認證可盜刷用戶帳戶

　　「我在嘉實基金的帳戶突然進不去了!幾經投訴才發現，我留在嘉實基金的對帳郵箱已被篡改!我的基金帳戶已被他人操作!」張龍生(化名)滿臉驚疑地向《法制日報》記者講述他的遭遇。

　　「沒有密碼，也能操作你的帳戶?」記者問。

　　「通過翼支付!」

　　「這不難查清啊。變更嘉實基金對帳郵箱需要驗證身份或通知客戶，註冊翼支付需要身份驗證。這是常識啊。」

　　「問題就出在這兒。騙子註冊翼支付的手機號不是實名的，而嘉實基金的系統對翼支付數據是不核實的。」

　　一家是大名鼎鼎的嘉實基金，一家是中國電信的支付平臺翼支付，居然讓騙子如此輕而易舉地進入客戶基金帳戶。漏洞何在?

　　基金帳戶突遭變更

　　3月1日，張龍生突然想起，有段時間沒收到自己購買的嘉實基金的對帳單，便打開嘉實基金官網登錄查看，不想已無法進入自己實名註冊的帳戶。

　　張龍生趕緊撥打嘉實基金的客服電話詢問，被告知:該帳戶已於今年1月更換聯繫手機號，並取得高級實名認證，此後的對帳單信息，已發至用新手機號碼關聯註冊的189郵箱。

　　張龍生同時了解到，該手機號碼開通了第三方支付功能——電信翼支付業務，從1月25日至1月29日，通過翼支付連續操作3筆交易，雖然最大一筆金額僅為30元，但足以令張龍生驚出一身冷汗。

　　在這份交易明細中，銷售機構顯示為:直銷中心。張龍生隨即致電翼支付客服核實，「直銷中心」確實就是翼支付。客服查詢的結果是:該移動用戶是於2016年1月18日開通的翼支付。

　　更令張龍生驚詫不已的是，他在報警後查詢得知，該手機號碼竟然是135開頭的河南鄭州的移動用戶，而且為非實名註冊。不過，因數額較小，警方未予立案。

　　心有餘悸的張龍生立即掛失銀行卡並凍結基金。令他不解的是:作為一家國內知名的基金公司，是什麼樣的漏洞，讓這個神秘的電話號碼，輕而易舉地就更改了自己的帳戶信息並進行交易?

　　代銷直聯權限很大

　　3月2日，在北京的嘉實基金辦公大樓，記者隨張龍生一起見到客服部的吳女士。

　　翼支付是如何關聯到嘉實基金，並能在嘉實的系統內進行交易呢?吳女士解釋稱:「翼支付屬於嘉實的『代銷直聯』機構，我們是平臺之間的合作關係。這種關係使得他們的權限，甚至比作為代銷機構的銀行還要稍大一些。即他們使用嘉實系統，傳來的數據我們只能被動接收。」

　　按照這個解釋，只要開通了翼支付，就可以操作嘉實基金帳戶。那麼，騙子何以能操作張龍生的帳戶呢?

　　吳女士說:「可能是(騙子)從哪兒得到了張先生的身份證信息，用張先生的身份信息開通了翼支付，並關聯了嘉實基金帳戶。」

　　張龍生似有所悟:「因為翼支付傳到嘉實基金的數據，嘉實基金不再核實，導致騙子很容易變更了對帳單郵箱。我的帳戶信息就這樣洩露了。」

　　吳女士寬慰張龍生說:「他即便看到您的基金帳戶資料，也只是交易信息。但看不到密碼，看不到其他信息。」

　　騙子曾在5天內連續利用張龍生的帳戶進行3筆小額交易，動機是什麼?張龍生說:「我推測他是想先激活我的帳戶，再通過我的身份證信息，利用翼支付平臺，把我的銀行卡換掉，最終達到將我帳戶裡的資金轉走的目的。」

　　既然嘉實基金對翼支付傳過來的數據「被動接收」，那麼，風險把關的源頭就只能靠翼支付了。一個非實名的手機號碼是怎樣在翼支付註冊成功的?

　　手機號碼隨意註冊

　　張龍生從翼支付客服中心了解到，移動、聯通、電信手機號碼都可以開通翼支付帳戶。只不過，電信號碼享受的優惠有所不同。翼支付用戶分為非實名認證和實名認證兩種。前者只要有一個手機號碼就可以。

　　記者隨後採訪了天翼電子商務有限公司(即翼支付)監管法律部相關負責人。

　　這名負責人介紹說:「不實名認證用戶，既沒有關聯銀行卡，也沒有關聯身份證。用戶可以充值，也可以把錢取出來，只有這一個功能，而且額度很小，也就幾百元錢。高級實名認證用戶才可以關聯基金帳戶。關聯過程中，需要驗證銀行卡信息、銀行卡密碼以及身份證信息。手機在用戶手上，他可以收到驗證碼。」

　　按照這個解釋，能夠與張龍生基金帳戶綁定的翼支付，一定是經過多重驗證的。翼支付法律部這名負責人反問:「有了如此嚴密的驗證，憑什麼要求支付平臺負責任?負不法分子盜竊身份證信息、銀行卡密碼的責任?也就是說，用戶沒有保護好自己的銀行卡密碼，與平臺有關係嗎?嘉實基金這個用戶的遭遇，是很典型的用戶身份信息洩露造成的。被盜刷並非是翼支付一家遇到的問題，而是不斷發展中的整個網際網路金融業都必須面臨的挑戰。」

　　對於這種解釋，張龍生並不認帳:「非實名的手機號碼成功註冊了翼支付，但是如何取得了高級用戶認證的，作為管理方應該有核實的義務。如果大家都用盜用的身份信息開通，還有安全可言嗎?」

　　翼支付盜刷維權群

　　同樣質疑翼支付的，顯然不止張龍生一個人。

　　記者調查得知，QQ上有一個「翼支付被盜維權群」，群內成員達400多人。

　　這些「被翼支付盜刷」者中，損失少則幾十元、數百元，多則上萬元。網友木木便是其中之一，也是損失最為慘重的——總計達35100元。

　　來自四川成都的木木告訴記者，從今年2月16日到22日，他的銀行卡被盜刷11筆，分別涉及光大、招商、農業3家銀行。

　　光大、招商兩張銀行卡被盜刷後，木木趕緊把款轉到3個月前才開通農行卡上，因為這張卡網銀、手機銀行等功能都沒有開通。

　　可萬萬沒想到，木木3月5日去農行取錢時發現，農行卡再次被盜刷。他並沒有翼支付帳戶，但是經查詢，錢都是翼支付劃出去的，最終去向都是一家名為「浙江開心果網絡科技有限公司」的企業。這家公司給出的解釋是遊戲充值，並且給了他一個充值的手機號，但那個號碼一直處於關機狀態。

　　發稿前，張龍生給記者打來電話說，那個讓他心驚膽寒的非實名手機號碼註冊的翼支付帳戶，已在3月8日被翼支付平臺註銷了。但該帳戶何以通過高級實名身份驗證、帳戶如何開通並關聯到嘉實基金等疑問，都沒有得到翼支付的答覆。