“移动支付让小偷都失业了,选择移动支付盗刷盗窃的贼是最笨的,所有信息联网可查,无异于掩耳盗铃”。这也曾是笔者过往的认知,但当自己身边近期发生银行卡盗刷事件维权的时候彻底纠正了认知。
事项还原,7月11日凌晨,家中因入室盗窃,身份证、银行卡、手机一并被盗,被盗后迅速采取了手机号挂失。被丢失的联通手机号进行了线上挂失,据家人反馈移动手机号线上不能挂失。随后短短的四个小时之内,丢失的手机号及相关的银行卡、支付宝均被盗刷一空,随即进行了报警,寻求本地警方帮助。发生地坐标,河南荥阳。
由于被盗的支付宝没有任何交易记录,而账户资金确实被盗刷了,当地警方相关工作人员接到报案后积极采取措施,虽然获悉了案件的发生但表示不可思议,稍后相关工作人员当场表示领导会向郑州警方技术部门寻求帮助一起解决。
故事到这,原本或许已经画上了句号,但后来随着事情调查的深入和警方的反馈才发现这仅仅是一个开始,中间气愤过,也怀疑过,真的没想过会这么复杂,尽力做了所能做的。
问题一:受害人能查询、恢复异常交易记录么?
对于资金账户被盗,第一步确认支付宝记录是否有被人为更改的可能?
对此让家人和支付宝客服沟通后,支付宝官方对此予以了确认,支付宝手机端是用户可以将交易记录删除的,本人也可以自行通过PC端界面通过回收站进行恢复。
支付宝客服亦确认,7月11日凌晨被盗手机丢失期间发生数笔资金交易,并通过PC端进行了删除,而这样的删除即使确定是账户异常,受害者本人申请恢复亦是无法进行后台恢复的,但交易记录是存在的,只是用户看不到。
而对于异常交易的收款方信息,出于保护“个人隐私”的角度,支付宝拒绝提供详细付款信息,也无法恢复,只有警方才能调用,而支付宝后台是可以看到的。
“理想与现实之间是有差距的,而生活和段子真的是有误差的,毕竟段子、理想中某些条件都是感性完美想当然的,而这些的差异足以改变很多东西,甚至结果。”
问题二:自己丢的东西自己负责报案是个技术活儿
近期一条“自己丢的东西要自己负责”的微博在舆论上引起了热议,对于失主的多次求助,西安某民警每次都以此事属于对方非法侵占为由拒绝受理,如果张先生蹲点找到拿酒男子,警方可以出面协调把酒要回来,上述事项最终获得了相关部门的高度重视,也同时引起了大家的反思,问题到底出在哪里?
回顾这次事件的解决进展,7月11日到7月18日,由于事件本身进展的不确定,自己也试着寻找解决方案,并协助家人申请了账户盗刷“财产理赔险”,这也让自己注意到支付宝保险的用法或者如何申请理赔,解锁了新的技能吧。
7月18日,支付宝保险理赔邮件反馈中要求:上传受害人本地“报案回执原件彩色拍摄件或扫描件(主要包括:报案人姓名、报案时间、报案内容、公安机关清晰的红色公章等。)”
7月19日上午,家人去本地警局一方面了解案件进展,对我们和支付宝沟通的情况和警方进行沟通;另一方面希望当地警方对彼时的报案回执原件进行留存,即使最终案件不能解决也算弥补些损失。
而下午警方相关工作人员,再次对于我们的进展和支付宝竟然可以理赔表示了不可思议,只是相比于上一次这次的“不可思议”后表示“会与支付宝核实款项的流向,要求补充相关证件”。
至于“报案回执原件”的请求进行了回绝,其中原因我们无法获知,而这距离最初报案已经过去了一周的时间,我们也怀疑或者一周前是否真的报案成功了?或者还有其他的程序要走,只能试着去理解和等待。
理赔、账户异常以及后续的账户资金追溯等,需要本地警方配合才能进行,所以不管未来案件处理进展,我们都应该第一时间进行报案,即使不破案,这部分保险理赔也需要警方的报案凭证材料才可以推进,可能这也是文章开头进展遇到的症结,一个看似很容易的东西,但一个环节的出问题可能即将面对的就是一个“死循环”,跑断腿也绕不过去的,因为我们没有权限,至于为什么会出现这种问题稍后我们在财产安全险的发展中或许能找到答案。
笔者始终坚信个别现象不能代表全部,但同样我们不能忽视上述现象的存在,结合移动支付盗窃本身属于新兴犯罪客观存在一定的技术难度,尤其在部分偏远地区或者部分监管人员相比往常的业务可能是较为陌生的。
处理、解决问题最起码需要两点“能力”和“意愿”,如果这两个都没有,问题的答案很难自己蹦出来的,即使我们告诉他们,他们可能也会无动于衷,这是一种悲哀,也是一种无奈,但这是对违法者最好的奖励。深究上述现象本身,我们也需要思考一个概率的问题,如果接案子了,处理不了,是否会影响相应办案人员的绩效,所以对于一些大概率是处理不了的东西,“拖”、“装糊涂”显然是要更划算,“装睡的人是最难叫醒的。‘”
而这是个恶性循环,即使是简单的事情也办不了了,比如“仅仅是核实立案”这个,现实中就可能会遇到各种各样的困难。
或许离答案很近,但却又让人感觉有些遥不可及或者不知所措。小偷也在进步,“你不进步就是退步”,这就是现实的反馈。
问题三:手机丢失手机号挂失不能防止盗刷
“若个人仅手机遗失,通过手机号挂失我们能避免财产损失么?”,首先从手机号挂失本身来讲,我们需要确认手机号挂失是否技术上存在难度,这个其实也是对家人手机号没有被及时挂失的原因进行确认,运营商方面我以河南移动和河南电信运营商沟通确认情况进行展开,可能存在地区性差异,仅供参考。
河南联通手机号开头已经证明了是可以电话挂失,为了印证移动手机号不能挂失信息的准确性,7月19日笔者致电移动客服进行了再次确认。彼时移动客服回应称,移动手机号挂失需要本人携带身份证件到附近营业厅进行挂失,不能线上办理,这或许开头的挂失问题找到了些线索。
难道移动手机号真的不可以么,是否存在技术问题或者其他原因?对于这个问题,在笔者的再次追问下,“为什么联通可以挂失,移动不可以办理挂失,是否存在什么技术难度?”河南移动客服解释时表示,移动卡不可以挂失,只能紧急停机。是的不能挂失,只能紧急停机。
手机丢失第一时间挂失手机号是对的,但移动手机号用户是不可以挂失的,所以技术上不是完全可行的。希望更多的人看到避免犯类似的错误,也希望移动运营商能引起注意,若技术难度不大是否可以为移动号手机用户认知信息和账户安全做适当的让步、调整。
只丢失手机的情况下,若用户手机号挂失了,就可以保障资金安全了么,真的只是运营商的责任么?这处我们引用支付宝官方的回应可能更有说服力,支付宝客服对此回应表示,“从支付宝平台而言,无法保证客户资金安全,但支付宝为用户投有财产险,即这部分因支付宝账户异常导致的实际损失是可以申请进行保险理赔的。”
因此手机丢失后,正确的操作除了报案外应该是手机号、支付宝、微信支付等移动支付一并进行挂失或者紧急停机(移动手机号用户)。虽然支付宝、微信支付密码被破的概率极低,那么为什么手机号挂失后,但支付宝依旧还会发生盗刷?
备注:论点仅限支付宝,微信是否亦会盗刷的问题没有进行确认。
对此支付宝官方客服并没有进行正面解释,此处笔者的理解是,大家回顾一下我们生活中的场景,生活中我们支付宝免密支付是关闭的状态下,在部分商家付款尤其当我们使用付款码付款的时候其实是免密支付的,而这两者的关联大家自行脑补,资金流向并不容易。
这个事情其实早已超过了最初的预估,但移动支付早已融入了日常生活,所以很难对这些冷眼旁观、视而不见,哪怕我们不能解决,至少能大概知道我面对的困难是什么,是否真的无解。
另外对于“账户异常”的判断标准,作为保险必定有着具体的操作条款,我试着向支付宝确认是否能够提供相应的判断方式或者文字详细生效条款。对此支付宝客服表示,具体由保险相关工作人员进行判断,无法提供详细的文字条款。
结合上述现象看,这样或也是一种无奈,站在支付宝的立场看,首先支付宝目前或无法阻止盗刷,但移动支付漏洞对于客户的安全而言是必须要正面处理的,而这就要求必须要有应对补救措施,才能给用户、监管一个交代,转移、控制产品风险,降低用户负面情绪,这是财产安全险的一个定位考量,借助宣传的攻势完全可以把这部分风险给掩盖掉;另一方面,为什么无法公示判断标准?而仅仅只能告知是人工核准,这就涉及一个“个别用户套利”的风险,如果完全按照规则进行赔付或者公式规则,是否会衍生出对应的“自盗自刷索赔”的产业链,这个被恶意针对,该怎么办?
不怕有风险,最大的风险是我们对面临的风险一无所知,毫无准备。
问题四:怎么证明我是我真的没有更好的办法么
(注:此段内容仅限于支付宝,没有特别注明不包括微信支付。)
“支付的便利性和安全性”是移动支付的优势,但按照现有的微信支付和支付宝支付修改支付密码制度,我们是否需要思考一个问题,修改它们真的需要本人么?或者它们真的能够代表本人么?
希望尽可能的避免出现文章案件进展的情况,那应该是所有人都不想面对的。
程序上,微信、支付宝修改支付密码需要“本人身份证、银行卡号、手机动态验证码”,只要有这些,这三个数字就能证明它是我们本人,回归初衷这三个数字的出现只是为了解决“用户身份验证”的问题。
而当下“人脸识别、指纹技术”这些真正具备本人特征的技术早已经进入了商用,并应用于便捷的消费者支付领域,即现有技术条件早已升级,那么为什么我们自身的身份验证领域却迟迟无法应用。
对此,我在和支付宝多个客服沟通的结果是,支付宝回应中表示,“本人身份证、银行卡号、手机动态验证码”这些是支付宝系统默认的修改密码的手段。
“如果是便利性或者概率极低,那我是否可以申请在修改密码环节特别增加人脸识别或者指纹验证呢?”对此支付宝技术人员表示,不能,上述密码修改规则是全体用户统一的,不能单独设定,即客户是没有选择权力的。
“那我们是否可以通过每日交易限额来锁定呢?”,技术上同样是无法实现的,多次的碰壁让我看到了问题的麻烦程度,幸运的是也看到了至少站在我的角度感觉我们是有解决的能力的,而不是只有被动的等待着它发生。
本人验证的前提是本人到场,而密码验证的目的是为了验证本人身份。本人在场的情况下,提供个指纹验证或者人脸识别真的很复杂么?消费领域已经广泛普及的情况下,为什么用户隐私安全核心问题反而是最落后的,是否值得我们反思?
对于支付宝事实上很感谢财产用户险的设置,也表明支付宝其实一直知道盗刷风险的存在,事后也在尽可能去弥补用户损失以控制风险。
客观上如密码设置、被盗用户信息恢复、用户无密需密码即可实现新银行卡绑定等方面显然确实存在一些争议或者风险吧,相比之前的三个数字,怎么证明我是我?
相比以往我们是有选择的,至少可以给用户选择,便利性或是安全用户自己选择承担,前提是用户要有选择,而不是帮用户做选择,告知风险、教会用户正确的去看待风险、处理风险这应该也是企业的责任。
反思:有安全漏洞不可怕而现在我们应该试着解决它们
目前国内移动支付端获得的成就放眼世界都是数一数二的,而支付宝、微信等移动支付巨头的崛起早已成为我们生活的一部分,给我们生活中带了很多的便利性,也促进了移动支付产业的迅速发展,但与之相关的监管尤其是部分底层监管人员治理能力、用户学习等方面确实亦存在着这样或者那样的问题。
事实上对于大部分人尤其是新一代的年轻人而言或者未来社会发展而言,我们已经离不开他们了,我们也回不去了。
目前的成功不仅仅来自于幸运,而是因为大家的努力和进步,“遇山开路,遇水架桥”相信中国的移动支付会越来越强大!
明确声明,笔者无意针对任何人,更非地域黑,希望不要过分解读,就事论事。荥阳是一个安静、民风淳朴的地方,历史上也曾涌现出许多着名人物、社会贤达和仁人志士,战国时法家人物申不害、唐朝文人郑虔、晚唐诗人李商隐都出生于荥阳,个别人和事瑕不掩瑜。
希望将自己看到的或者想到的尽可能客观、完整的陈述出来,生活中遇到问题尽可能冷静处理,生活从来都是讲道理的,是问题总会找到解决办法的,也许力量是渺小的,但总要有人去做一点,试着努力一下,万一有进展呢。
“不忘初心,方得始终”,移动支付的蓬勃发展包括当下5G产业化的推进,“万物互联时代即将到来”。我们重视产业、商业层面技术进步蓬勃发展的同时,亦对于我们的监管环境提出了更高的要求。
不怕贼惦记,就怕他们比我们还努力、较劲,而我们的容忍是对他们“最好的奖励”。
