剛哥講故事(3)Zelle轉賬漏洞的警示

1 評論 643 瀏覽 0 收藏 13 分鐘

在數字支付日益普及的今天,安全問題成為了我們不得不面對的挑戰。本文深入探討了國際支付巨頭Zelle在即時轉賬交易中存在的支付漏洞,并分析了這些漏洞如何被詐騙分子利用,給消費者帶來巨大財產損失。

引子:Zelle爆出轉賬漏洞

最近美國消費者金融保護局(CFPB)對摩根大通、富國銀行和美國銀行提起聯邦訴訟,原因是Zelle支付平臺上的欺詐行為。

Zelle是一款即時轉賬軟件,用戶只需輸入對方的手機號或郵箱地址即可通過銀行賬戶進行快速轉賬。

這里吊詭的是Zelle竟然允許通過郵箱地址綁定銀行卡,并且在不輸入戶名的情況下接收轉賬。這顯然為騙子提供了隱藏身份的機會。盡管Zelle有反欺詐機制,但平臺和銀行的推諉和不作為導致了消費者的巨大財產損失。

其實我們國內用戶經常也會不理解“為什么我數幣錢包提現要我實名認證?”、“為什么我給別人的卡充值要給我限額?”、“為什么我提取現金要問我用途,我自己的錢怎么用還要你來管?”。

其實這些規定都是一個個血淋淋的教訓總結出來的。下面我們來了解下如何防范這些風險,最后根據今天介紹的知識給大家解釋下Zelle的漏洞在哪里。

01 轉賬的同名與非同名

轉賬交易是基于賬戶余額的資金轉入轉出,也稱余額交易,它包括充值、提現和轉賬。這里轉入和轉出賬戶之間都要進行實名認證,也被稱為“同名”。如果有任何一方不是本人就是“非同名”。

講同名是不是很土?

可能你會覺得同名、非同名這種說法很土,其實恰恰相反,能講出這兩個詞的人都是業內的老炮。因為實名認證只能反映單個賬戶的實名情況,而同名則是說明了兩個交易對手之間的賬戶是否實名認證。

圖1 轉賬交易

1. 同名的交易

即交易雙方的賬戶都是本人,主要交易是通過本人綁定的銀行卡進行充值和提現,它可以保障用戶收到的錢只能在自己的賬戶之間進行出入金的閉環交易。

1) 充值交易:

賬戶與綁定銀行卡同名入金,線上開立的支付賬戶,銀行Ⅱ/Ⅲ類電子賬戶需要綁定同名的銀行卡才能完成入金。因此在開戶時就需要綁定銀行卡,并且要通過短信或者密碼驗證確認是其本人操作。

2) 提現交易:

是充值的反向交易,即賬戶與綁定卡同名出金。

2. 非同名交易

即交易雙方賬戶不是本人或者有一方沒有進行實名認證。這種交易從資金流上與收單交易非常相似,但賬戶又不需要通過嚴格的商戶審核,因此非常容易被非法洗錢和詐騙分子所利用。這里就包括了代充、非同名入金、轉賬等。

1)代充交易:

使用他人銀行卡進行充值,如代繳話費或代充游戲幣,這種不是真正的充值,而是屬于代充。它很容易被騙子偽裝成正常交易進行詐騙。

2)非同名入金:

就是接受來非本人賬戶所支付的資金。常見的場景就是個人在線上開通賬戶接收資金。這里的賬戶包括了支付賬戶、虛擬賬戶、銀行Ⅱ/Ⅲ類戶等可以線上開戶的賬戶。通常情況下這些入金交易都會被限額,因為資金來源不明。

3)非同名轉賬:

就是將錢轉賬給非本人的賬戶例如錢包之間的轉賬,這類交易主要的風險是場景不明,非常容易出現通過螞蟻搬家的方式掩蓋真實意圖進行洗錢。

有人質疑,用自己的卡轉賬為什么還要經歷繁瑣的檢查,感覺體驗很差。但實際上,如果未進行實名綁卡認證,金融機構無法確認卡的真實歸屬,這會帶來風險。因此,實名認證是必要的,不能僅憑用戶“我知道”來代替。

3. 體驗怎么辦

實際上,風控和體驗是相輔相成的。這些風控措施源于歷史上的慘痛教訓,主要針對大額未實名交易。一旦觸發風控反洗錢攔截,首要任務是調查交易,防范金融風險,此時體驗問題就顯得次要了。而體驗優化主要針對小額且經過實名認證的用戶交易。

02 付款的簡單與不簡單

付款交易是非同名轉賬的一種,常用于匯款。由于其普遍性,這類交易在金融業務中易被用于洗錢,因此受到各國監管機構的嚴格監控。同時,企業在進行大額支付時,操作風險也需特別注意。下面我們就來說下付款交易中的簡單與不簡單。

1. 付款的簡單

付款產品的簡單在于他的產品形態較為單一,付款到卡為匯款、付款到戶為轉賬,同時為適應不同場景還分為單筆付款、批量付款、文件付款等。付款產品操作起來也不復雜,只要賬戶上有錢,選好收款銀行、收款賬戶,客戶想付給誰都可以,無需付款方確認。

2. 付款不簡單

1) 付款即結算

付款產品屬于沒有后悔藥吃的產品,特別是企業間付款金額一般都較大,如果選錯賬號、輸錯金額付出去那就直接到賬了,沒有撤銷、退款可以用。

唯一的辦法就是打電話給收款方讓他轉回來,否則就只能報警了。所以大額付款時,企業一般都比較謹慎,都要進行多級審核,最終由專門的出納來執行付款操作。

2) 付款與反洗錢

由于付款底層走的支付通道與金融機構并無不同,所以擁有了付款能力實際就等于間接擁有了清算能力。

因此持牌機構對于付款客戶的場景與額度審核是非常嚴格的,不僅要審核付款給誰,還要審核錢從哪里來,貿易背景是什么,與收款人的協議關系是什么,付款的周期和額度是多少等等。其目的都是為了防止洗錢業務的發生。

03 Zelle的漏洞在哪里

我們今天了解了這些,我們再來看下Zelle的轉賬為什么會被騙子利用成為詐騙者的“金礦”。我們先介紹下Zelle這次出問題的Send功能(就是即時轉賬)到底是個什么產品?

  • Zelle是點對點個人銀行卡轉賬網絡,他僅支持美國境內的銀行卡之間的轉賬。
  • Zelle允許你用手機號和郵箱地址來注冊和綁定你的銀行卡,他不需要SSN實名認證。
  • Zelle轉賬時只要輸入對方注冊的手機號或者郵箱就能進行轉賬,無需輸入收款人名稱和密碼;
  • Zelle不支持信用卡轉賬,轉賬免費,按不同銀行有單筆和單日限額。
  • Zelle轉賬成功不可撤銷,但是出現欺詐可以聯系Zelle或者銀行進行申訴和攔截

其實這次的主要漏洞有三個。

1、Zelle允許用郵箱綁卡

Zelle不允許使用虛擬手機號注冊,這點很專業。但是令人大跌眼鏡的是,他盡然允許使用郵箱來綁定銀行卡,誰都知道郵箱你隨便注冊多少都可以,根本沒有實名認證。

其實這還不是最壞的,你郵箱僅做個轉賬id,你后面做好實名認證還是可以避免風險的。

2、Zelle沒有SSN實名認證

在美國,申請PayPal賬戶、開設銀行賬戶或申請社會福利通常需要進行SSN(社會安全號碼)實名認證。然而,Zelle卻不需要進行SSN認證。這里要簡單解釋下SSN認證:SSN號碼:是由美國社會安全局發放的9位數字代碼,用于識別美國公民、永久居民及部分非公民。這和我們國家的身份證差不多。SSN認證:是通過SSN號碼來驗證個人身份,確保金融服務或社會福利的接收者確實是其聲稱的人。

Zelle和提供賬戶服務的銀行顯然在這里犯了一個嚴重的錯誤,他讓用戶未做實名認證的情況下綁定了銀行卡。這種情況下就構成了非同名綁定,騙子完全可以綁定任何盜竊的卡信息進行盜刷。

3、Zelle不需要收款人戶名

我們國內轉賬的時候,需要輸入對方的卡號、戶名、開戶銀行才能轉賬。而Zelle只要輸入一個郵箱號,無需確認收款人戶名和開戶銀行直接完成轉賬,成功的讓騙子在交易中隱藏了身份。

圖2 Zelle的匿名轉賬流程

騙子通過誘使受害人向指定郵箱轉賬,實現匿名交易。得手后,他們迅速通過網絡或線下ATM轉移資金。雖然銀行可以通過風控攔截快進快出轉賬,但銀行和Zelle在受害者投訴和申請撤銷交易時未采取行動,間接幫助了騙子。

最后,通過今天的介紹和對Zelle案例的分析,讀者應該已明白實名認證的重要性,以及在轉賬和付款時確認對方身份是防止詐騙和錯誤轉賬的關鍵。

04 騙你認知以外的錢

最后,用一張血淋淋的搞笑圖片來結束我們今天的文章“騙子永遠騙的是你認知以外的錢”。

快過年了,騙子也要爭取年終績效了,大家要多注意防騙,學點反詐知識沒壞處。

當然所謂的國際支付機構、國際銀行,犯這么多低級錯誤被騙子利用,也只能說明是個“草臺班子”。

本文由人人都是產品經理作者【剛哥】,微信公眾號:【剛哥白話】,原創/授權 發布于人人都是產品經理,未經許可,禁止轉載。

題圖來自Unsplash,基于 CC0 協議。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
剛哥
公眾號:剛哥白話,支付產品總監,18年銀行、三方支付機構產品研發和設計經驗
30篇作品 108963總閱讀量
02-142273 瀏覽
字節等不及“吃”外賣了
12-041547 瀏覽
企業交付能力建設的重要性
03-107604 瀏覽
B端產品經理雜記:簡單聊一下物聯網平臺的功能配置
05-161886 瀏覽
“AI孫燕姿”們侵了誰的權?
12-151610 瀏覽
產品周報277期 | 蘋果發布 iOS 17.2 正式版,微信短劇小程序開始收取保證金
評論
評論請登錄

  1. “剛哥講故事(3)Zelle轉賬漏洞的警示”聽起來像是一個關于網絡安全和金融科技風險的故事。Zelle是一個在美國廣泛使用的即時支付服務,它允許用戶通過銀行賬戶進行快速轉賬。

    來自中國 回復