“这虚拟货币充了100万,现实账户中才进账1万,连个报警都没有,太不可思议了!”
一位醉心网游的无业人员,偶然发现了一种虚拟会员卡存在充值漏洞,便与好友疯狂申请账号,进行“网络造币”。不到一个月的时间内,一万余元借来的本钱,陡然变成了一百多万。
上海市普陀区法院目前正在审理的这一案件,引发了社会对网络支付及第三方支付安全的关注。接受《瞭望》新闻周刊采访的业内人士指出,此案暴露出传统预付卡在延伸网上交易时存在较大风险漏洞,亟待相关部门规范管理。
2元变4元的充值“魔术”
“80后”陈菁衎,高中文化,无业,网游高手。2009年10月28日,因自己账户中的Q币不足,他像往常一样,登录百联集团官网用虚拟会员卡为Q币充值。
网上买Q币手续比较复杂,但对陈菁衎来说,却是驾轻就熟:先要用网银工具,将银行卡中的金额,转购成百联的会员积点;然后再用会员积点,购买等值的Q币。
以往,充值金额与Q币数量会一一对应,充几块钱就得几个Q币。但那天,陈菁衎突然发现天上掉“馅饼”了。
当他通过网银为百联网上虚拟会员卡充值积点时,两个充值确认页面同时出现在电脑屏幕上。他在一个页面点击确定付款成功后,另外一个页面也显示付款成功,原本应该充值2元的操作,转眼就变为了4元。
花2元钱,却充值了4个百联积点(相当于4元)。一开始,陈菁衎自己都将信将疑,他一边尝试着继续充值看个究竟,一边反复检查百联的网站链接和自己的浏览器设置。终于明白是自己在浏览器上所做的特殊设置,影响了百联充值服务器的正常运作。
兴奋的陈菁衎连忙将“特大发现”告诉了同住的好友邢晓炯。为了让邢晓炯相信自己“变钱”的能耐,陈菁衎又更改了浏览器设置,让充值确认页面出现得更多。
邢晓炯也被陈菁衎在电脑上演示的结果震动,两人顿觉“暴富”的机会来了。“等咱赚了几千万元或者个把亿,就跑到国外远走高飞算了。”在上海市普陀区法院的庭审中,陈菁衎毫不讳言当初的心态。
疯狂的“造币”
“我们可以投入更多本钱,把事情做大。”陈菁衎和邢晓炯几经商量,策划出了一个自认“完美”的“投资”方案——先投入一定本金,利用网站漏洞赚取百联网 上会员积点,再利用游戏币、电话卡等充值交易,将非法赚取的积点变卖,金额存入银行卡,最后到银行ATM机上设法提现。
方案敲定,两人便向邢晓炯的表哥借了一万余元作为本钱。为了掩人耳目,他们还从网上购买他人的身份证来开设更多的银行账户。由于银行管理较为严格规范,两人买来的身份证并未能办理到银行卡。
不过,大卖场联华的“OK卡”并不需要严格的身份审核,而联华积点卡金额又可转入实体OK卡,OK卡又有现成的“黄牛”持币待购,套现并不太难。在表哥等人的帮助下,他们很快就办理了多张联华OK会员卡。
就这样,在短短数周内,两人分别利用充值漏洞、虚拟交易、会员卡变卖等方式,套取现金牟利。
起诉书显示,从2009年10月28日起至11月21日期间,两人在百联网上申请了40余个虚拟账号,先后投入18000余元至各银行账户,作为充值本金,每次从200元到500元不等,先后40多次利用上述手段进行重复充值,造成百联集团损失达110余万元。
随后,百联电子商务有限公司在发现情况异常后,对相关会员卡内的余额80余万元进行了扣回和冻结。截至案发,其中的29万余元已被犯罪嫌疑人套现花用。目前,该案还在进一步审理中。
并不高明的手法一路畅通
看似面临重重关卡,“网络造币”为何能畅通无阻地进行?
一位不愿透露姓名的支付宝工作人员告诉《瞭望》新闻周刊记者,百联网上虚拟积点卡的业务逻辑并不复杂,是第三方支付平台与银行之间最为平常的接口业务,其中的环节为:向银行发送请求、确认充值成功、修改数据库等,但由于相关部门缺乏严谨的核查运营机制,缺乏足够强的技术团队,才暴露出网络漏洞。
“通过侦查实验还原网络痕迹发现,其实两个小伙子发现网络漏洞时的计算机设置手法并不高明,属于常见的防止木马病毒的安全设置。”上海市普陀区检察院检察官薛明坚说。
据犯罪嫌疑人陈菁衎交代,由于使用“Opera”浏览器的时候并不稳定,他在网上花了30元钱向黑客购买了一台虚拟服务器,帮助他顺利进行网页定格。在网页定格的帮助下,陈菁衎更加如鱼得水,可以凭500元本金,反复进行无需付款的重复充值,先后按下40次“确认”,转眼间500元就升值为2万元。
“在这种情形下,商家都没有相应的异常报警机制,直到损失110余万元时才有所发现,实在令人咋舌。”薛明坚说,“在不高明的技术设置下,商家也缺乏相应的‘抵抗力’,跳出了数个充值窗口,表明有关电子商务网站安全防范能力还存在一定的缺失。”
由于百联虚拟账号注册没有实名制要求,两名犯罪嫌疑人申请的虚拟账号名多为“张三”、“李四”之类,注册的电话号码也都是“照葫芦画瓢”,一律采用“138”为首的相同手机号码,电子邮箱也有随机键入的痕迹,许多电子邮箱地址事实上并不存在。
薛明坚告诉记者,这给网络取证带来了挑战。“虽然我们掌握了申请虚拟账号的确切IP地址,但犯罪嫌疑人可以辩称是黑客潜入其电脑里远程申请的虚拟账号,责任认定上有一定困难。”
预付卡线上交易有风险
28岁的张衡是网络游戏的资深玩家,拥有“海量”虚拟装备、游戏币。当他听闻”网络造币”案时,第一反应是:“如果虚拟财产通过不安全的预付卡线上交易翻倍变为现实中的钱,那我不亏大了?!”
联华OK卡是上海较具代表性的预付卡,除了能在各大百货商店、餐饮等场所消费,还能为手机充值、缴付水电煤气等公用事业费,目前更将业务扩展到网上商城(百联E城)、网络团购等。消费者既可以通过发卡机构购买实体卡,也可以通过网上银行给OK会员卡充值。据上海相关部门统计,联华OK卡的年发行金额目前 在100亿元左右。
本刊记者采访发现,传统预付卡(也称储值卡)将业务延伸拓展至网上在线交易时,由于缺乏相关经验和风险防范措施,容易形成漏洞,而由于预付卡本身具有“准货币”的性质,其套利风险远远大于普通电子商务。
张衡对此表示,支付平台不仅要在“充值入口”上把好安全关,更要及时地对数据库中的数据进行核查,“这虚拟货币充了100万,现实账户中才进账1万,连个报警都没有,太不可思议了!”
中国电子商务研究中心分析师方盈芝认为,通常所说的第三方支付在线支付平台,起步初期也经历过类似的问题,订单重复提交,页面刷新就可以用同样的金额买到2件物品。随着不断发现问题、功能改善提升,第三方网上支付平台目前已相对成熟。但对于预付卡机构拓展网上业务来说,由于技术上还处于开发阶段,风险往往高发。而线上交易量大,小额交易的异常情况很难被察觉。未来预付卡向线上交易延伸或将成为行业发展趋势,相关部门在牌照发放等环节上应提高门槛,加强风 险监管和防范。
发展中的乱象
根据艾瑞咨询公司发布的2010年第三季度中国第三方网上支付市场监测数据,2010年 第三季度国内第三方支付行业的交易规模达到2482亿元,同比上升达80.5%。艾瑞公司分析认为,从应用领域来看,第三方支付涉及的行业已经由之前的网络购物、航空机票,逐渐向网上保险、线下物流、商品直销等领域扩展,签约商户也不断增加。
本刊记者登录国内各知名电子商务网站发现,网站上的充值平台服务功能已日趋全面,从点卡充值、Q币充值、到网游物品充值,都应有尽有。但除了预付卡的线上交易欠成熟外,形形色色的支付平台、各种不正当的充值支付方式也“乱象丛生”。
复旦大学国际关系与公共事务学院的大四学生蔡蒙对记者说,有一次,他点击了一个某游戏网站跳出的“魔幻界面”,进去溜达了一圈,做了一个10道题的心理测试,出来就发现自己的账户中竟然少了8元。
还有不少网游玩家向记者表示,在支付平台上浏览时,一旦用个人账户成功登录,点击鼠标时就要特别小心,因为有些看似吸引人的链接或按钮都是指向付费项目。一旦打开或确认,就将自动从个人支付平台账户中扣取服务费。
上海市协力律师事务所主任游闽键认为,网上支付平台在我国虽快速发展,但由于监管不力、取证难、违法成本较低等原因,时常还充斥着鱼龙混杂的现象,让戒备心不强的消费者上当受骗,支付平台的收益也存在风险。这种新兴交易方式的发展,亟待加强监管和健全相关法律法规。
多位受访的业内人士还建议,与经营和交易相关的网络服务应采用“前台匿名、后台实名”的机制,一方面保障公民个人信息的安全,另一方面又可以维护正常的网络秩序。
上海市泛洋律师事务所合伙人律师刘春泉则提醒,在相关电子商务行业的监管思路上,除了应该借鉴金融监管注重安全外,也应为科技与商业创新留下必要的空间。 | 
