手机能当扫码枪 二维码盗刷频现

案例支付时被人扫码盗刷

4月21日至5月4日之间,四名消费者手持微信二维码在超市等待付款,在排队的几分钟里,被人从背后通过手机扫码,盗刷500元到900元不等的资金,扣款方都是名为“一站式24小时便利店”的账户,根本不是超市收款。

近日,重庆江北公安分局破获上述在超市收银处专门盗刷微信资金案件。重庆警方告诉新京报记者,重庆发生的消费者使用二维码支付时资金被盗案件,作案者就是利用了聚合支付APP“钱方好近”,在顾客背后通过APP扫描付款码后,输入收款金额,实现盗刷资金。

当下,无论是在大型超市还是街边小店,人们都可以不用现金,通过手机支付来实现购物、消费。简单来说,单一的收款方式已经很难满足顾客的需求了,商家准备不齐全就有可能丢了一笔生意。因此,融合了微信、支付宝等多种支付渠道的聚合支付成为商家更好的选择。

记者调查发现,通过聚合支付相关APP,有些手机也可以变成扫码枪,所以就出现了有人拿着手机偷偷扫码从而实现盗刷的事件。据调查,原本由第三方支付机构负责商户的审核,在实际操作中这部分审核权也有可能违规外包给聚合支付机构。但是,一些可全程在线上进行审核的聚合支付,则给了部分“商户”弄虚作假的空间。

那么,谁来保证商户的真实性?

审核全程线上审核,甚至不用现场核实

一般来说,扫码需要通过扫码枪等硬件设备进行,根据钱方好近官网介绍,其为商户提供好近快盒、扫码枪等硬件设备外,钱方好近APP上还有扫码入口,通过这一功能可以将手机变成扫码枪,直接用手机扫码也可以实现收款。

重庆的案件中,一个关键性的步骤是,作案者伪装成商家,在钱方好近平台上通过了审核,从而以商家身份进行收款。那么,钱方好近对于商户资质的审核步骤到底是怎样的?记者以需要申请小白盒收款设备的名义咨询钱方好近客服,客服表示,商户申请注册过程需要钱方好近的业务员到店办理。但是,随后联系记者的钱方好近业务员表示,身份证、银行卡等证件信息可以直接在线上发送给他。至于店铺门头照和店内环境照,“如果能提供也可以不过去。”收到相关照片后,他即可发放“小白盒”。

另一个聚合支付类产品“收钱吧”同样可以实现全程线上审核。“收钱吧”的一位员工告诉记者,开通需要五份材料:申请人身份证正、反面照片,申请人与店铺门头合照一张,店铺内景照一张,申请人在店里手持身份证拍一张照,以及收款银行卡的正面照片。照片通过微信发送后,立刻就能办理。

商户有服务商违规从事审核外包

为什么钱方好近与收钱吧的客户能迅速通过审核,这一步骤到底由谁来执行?重庆二维码被盗刷案件背后,风险到底源于何处?

从记者调查过程来看,风险源头出在聚合支付机构对商户资质审核不严方面。然而,实际上,商户资质审核本就不属于聚合支付机构的工作,应是其背后的持牌支付机构的工作。

所谓审核,即聚合支付机构实时将商户资料传到收单机构后台,合规人员在后台即时审核。如果审核权力下放到聚合方(外包机构),属于违规。而此前公开报道显示,市场也存在这种情况。

记者随机调查了一些聚合支付机构的审核情况,其中“码大大”客服明确表示,审核工作由他们公司来做。

一家第三方支付机构人士告诉记者,聚合支付不属于支付机构,没有牌照,商户资质审核也不在聚合支付,如果在,就涉嫌核心业务外包。“应该看聚合支付的支付通道是哪家。”另一家机构人士也明确,聚合支付是服务商,只有持牌机构才有审核资质。

目前,聚合支付机构并不需要获得支付牌照,央行曾在相关文件中将聚合支付服务商定位为“收单外包机构”。也就是说,聚合支付服务商适用于对外包服务机构的管理办法。《中国人民银行关于加强银行卡收单业务外包管理的通知》中明确提出,收单机构不得将特约商户资质审核交由外包服务机构办理。此后央行发布的多个文件都反复重申商户资质审核不得外包的原则。

责任审核导致损失,聚合支付或被追责

手机在顾客背后扫码就能盗刷,暴露了聚合支付机构对商户审核不严的问题。

据介绍,有持牌的大型支付机构也在开发把程序内置到手机,但更多或是出于降低成本的考虑,因为以前做一个扫码枪需要付出成本,内置软件的成本相对更低。更重要的是,大型的支付机构对自己的品牌和合规程度非常重视,只有一些小的聚合支付厂商为追逐利润时对合规会有点轻视。

聚合支付机构发展的商户,理论上仍需经过第三方支付机构的审核,但这一步审核在实际操作过程中被弱化。正如业内人士透露,实际操作中,很多第三方支付机构把审核的步骤也外包给了第四方(聚合支付也被称为第四方支付)。

以微信支付为例,如果商户自己直接申请接入微信支付,需要在微信支付商户平台页面提交营业执照、组织机构代码证、法人代表身份证、对公银行账户等资料,等待微信支付团队的审核。如果商户通过聚合支付机构接入微信支付,按照目前业内较为普遍的审核模式,只需要身份证、银行卡等信息。也就是说,通过聚合支付接入的商户,即使下一步聚合支付将商户资料提交给微信支付进行审核,也并没有审核营业执照等核心资料。

此外,审查的一个难点在于高成本。易观分析师王蓬博表示,商户涉及的行业很多,线下人力和拓展成本、维护成本等都很高,加上聚合支付机构间都在争夺商户,所以审查有漏洞。

在审核这一步出现问题,导致风险或损失,应该向谁追责?业内人士表示,如果监管部门追责,必然是处罚持牌支付机构,但收单机构与聚合支付机构之间还会有内部责任划分,可能收单机构会向聚合支付机构追责。

利益第三方与聚合支付很多存在利润分成

为什么在实际操作中,聚合支付机构“承担”起了商户审核的工作?第三方支付机构与聚合支付机构之间是否存在利润分成?

记者通过“钱方好近”的客服了解到,目前扫码的费率是0.38%,也就是说,一笔100元的交易,钱方好近就有0.38元的费率。

一位支付机构内部人士表示,第三方支付机构与聚合支付机构之间的确存在利润分成,业内称之为“分润”,但行业没有一个大致比例范围,都是双方自己谈的。

除了费率、分润的“诱惑”所在,第三方支付机构与聚合支付合作有深层的原因。上述第三方支付机构人士给记者提供的一份资料显示,双方的投融资背后有着重要补缺逻辑:对第四方机构而言,第三方机构能够带来稳定的支付通道。而对第三方机构而言,2018年以前,支付机构之间的直连没有合规背书,要想通过服务支付宝、微信支付两大巨头来分羹移动支付的红利,投资聚合服务商是布局聚合业态最为直接有效的手段。

记者调查还发现,一些聚合支付方与第三方支付机构有着股权关系。据企查查显示,推出“收钱吧”的上海喔噻互联网科技有限公司,第三大股东是北京拉卡拉互联网产业投资基金(有限合伙),持股6.81%；该基金的第一大股东是拉卡拉,持股37.9%。而上海富友支付服务股份有限公司持有武汉利楚商务服务有限公司(产品为“扫吧”)9%的股份。

乱象聚合支付时有越界

大部分人对“聚合支付”一词感到陌生。聚合支付的作用就在于,它同时涵盖了两种及多种支付渠道,消费者只管消费而无需关注店铺到底需要哪种收款方式。聚合支付的模式,实际上是第三方支付机构将线下市场拓展、收款机具布放等工作,外包给了聚合支付机构,即“第四方支付机构”。

记者注意到,2017年发布的《中国人民银行关于持续提升收单服务水平规范和促进收单服务市场发展的指导意见》(简称《指导意见》)时画出多道红线,包括严禁收单机构将特约商户资质审核、受理协议签订、资金结算、收单业务交易处理、风险监测、受理终端(网络支付接口)主密钥生成和管理、差错和争议处理工作交由聚合技术服务商办理。严禁聚合技术服务商以任何形式截留特约商户结算资金,从事或者变相从事特约商户资金结算。

在实际的操作中,聚合支付突破红线的行为时有发生。纪哲

新闻推荐

向黑恶势力“亮剑”给群众稳稳的幸福 市城区人民检察院提效保质全力推进扫黑除恶专项斗争

张倩杨亮2019年，市城区人民检察院紧盯群众反映强烈的重点领域、重点行业、重点问题，精准打击，依法严惩涉黑涉恶犯罪，在案件办...