在數(shù)字支付日益普及的今天，安全問(wèn)題成為了我們不得不面對(duì)的挑戰(zhàn)。本文深入探討了國(guó)際支付巨頭Zelle在即時(shí)轉(zhuǎn)賬交易中存在的支付漏洞，并分析了這些漏洞如何被詐騙分子利用，給消費(fèi)者帶來(lái)巨大財(cái)產(chǎn)損失。

引子：Zelle爆出轉(zhuǎn)賬漏洞

最近美國(guó)消費(fèi)者金融保護(hù)局（CFPB）對(duì)摩根大通、富國(guó)銀行和美國(guó)銀行提起聯(lián)邦訴訟，原因是Zelle支付平臺(tái)上的欺詐行為。

Zelle是一款即時(shí)轉(zhuǎn)賬軟件，用戶只需輸入對(duì)方的手機(jī)號(hào)或郵箱地址即可通過(guò)銀行賬戶進(jìn)行快速轉(zhuǎn)賬。

這里吊詭的是Zelle竟然允許通過(guò)郵箱地址綁定銀行卡，并且在不輸入戶名的情況下接收轉(zhuǎn)賬。這顯然為騙子提供了隱藏身份的機(jī)會(huì)。盡管Zelle有反欺詐機(jī)制，但平臺(tái)和銀行的推諉和不作為導(dǎo)致了消費(fèi)者的巨大財(cái)產(chǎn)損失。

其實(shí)我們國(guó)內(nèi)用戶經(jīng)常也會(huì)不理解“為什么我數(shù)幣錢包提現(xiàn)要我實(shí)名認(rèn)證？”、“為什么我給別人的卡充值要給我限額？”、“為什么我提取現(xiàn)金要問(wèn)我用途，我自己的錢怎么用還要你來(lái)管？”。

其實(shí)這些規(guī)定都是一個(gè)個(gè)血淋淋的教訓(xùn)總結(jié)出來(lái)的。下面我們來(lái)了解下如何防范這些風(fēng)險(xiǎn)，最后根據(jù)今天介紹的知識(shí)給大家解釋下Zelle的漏洞在哪里。

01 轉(zhuǎn)賬的同名與非同名

轉(zhuǎn)賬交易是基于賬戶余額的資金轉(zhuǎn)入轉(zhuǎn)出，也稱余額交易，它包括充值、提現(xiàn)和轉(zhuǎn)賬。這里轉(zhuǎn)入和轉(zhuǎn)出賬戶之間都要進(jìn)行實(shí)名認(rèn)證，也被稱為“同名”。如果有任何一方不是本人就是“非同名”。

講同名是不是很土？

可能你會(huì)覺(jué)得同名、非同名這種說(shuō)法很土，其實(shí)恰恰相反，能講出這兩個(gè)詞的人都是業(yè)內(nèi)的老炮。因?yàn)閷?shí)名認(rèn)證只能反映單個(gè)賬戶的實(shí)名情況，而同名則是說(shuō)明了兩個(gè)交易對(duì)手之間的賬戶是否實(shí)名認(rèn)證。

圖1 轉(zhuǎn)賬交易

1. 同名的交易

即交易雙方的賬戶都是本人，主要交易是通過(guò)本人綁定的銀行卡進(jìn)行充值和提現(xiàn)，它可以保障用戶收到的錢只能在自己的賬戶之間進(jìn)行出入金的閉環(huán)交易。

1) 充值交易：

賬戶與綁定銀行卡同名入金，線上開立的支付賬戶，銀行Ⅱ/Ⅲ類電子賬戶需要綁定同名的銀行卡才能完成入金。因此在開戶時(shí)就需要綁定銀行卡，并且要通過(guò)短信或者密碼驗(yàn)證確認(rèn)是其本人操作。

2) 提現(xiàn)交易：

是充值的反向交易，即賬戶與綁定卡同名出金。

2. 非同名交易

即交易雙方賬戶不是本人或者有一方?jīng)]有進(jìn)行實(shí)名認(rèn)證。這種交易從資金流上與收單交易非常相似，但賬戶又不需要通過(guò)嚴(yán)格的商戶審核，因此非常容易被非法洗錢和詐騙分子所利用。這里就包括了代充、非同名入金、轉(zhuǎn)賬等。

1）代充交易：

使用他人銀行卡進(jìn)行充值，如代繳話費(fèi)或代充游戲幣，這種不是真正的充值，而是屬于代充。它很容易被騙子偽裝成正常交易進(jìn)行詐騙。

2）非同名入金：

就是接受來(lái)非本人賬戶所支付的資金。常見的場(chǎng)景就是個(gè)人在線上開通賬戶接收資金。這里的賬戶包括了支付賬戶、虛擬賬戶、銀行Ⅱ/Ⅲ類戶等可以線上開戶的賬戶。通常情況下這些入金交易都會(huì)被限額，因?yàn)橘Y金來(lái)源不明。

3）非同名轉(zhuǎn)賬：

就是將錢轉(zhuǎn)賬給非本人的賬戶例如錢包之間的轉(zhuǎn)賬，這類交易主要的風(fēng)險(xiǎn)是場(chǎng)景不明，非常容易出現(xiàn)通過(guò)螞蟻搬家的方式掩蓋真實(shí)意圖進(jìn)行洗錢。

有人質(zhì)疑，用自己的卡轉(zhuǎn)賬為什么還要經(jīng)歷繁瑣的檢查，感覺(jué)體驗(yàn)很差。但實(shí)際上，如果未進(jìn)行實(shí)名綁卡認(rèn)證，金融機(jī)構(gòu)無(wú)法確認(rèn)卡的真實(shí)歸屬，這會(huì)帶來(lái)風(fēng)險(xiǎn)。因此，實(shí)名認(rèn)證是必要的，不能僅憑用戶“我知道”來(lái)代替。

3. 體驗(yàn)怎么辦

實(shí)際上，風(fēng)控和體驗(yàn)是相輔相成的。這些風(fēng)控措施源于歷史上的慘痛教訓(xùn)，主要針對(duì)大額未實(shí)名交易。一旦觸發(fā)風(fēng)控反洗錢攔截，首要任務(wù)是調(diào)查交易，防范金融風(fēng)險(xiǎn)，此時(shí)體驗(yàn)問(wèn)題就顯得次要了。而體驗(yàn)優(yōu)化主要針對(duì)小額且經(jīng)過(guò)實(shí)名認(rèn)證的用戶交易。

02 付款的簡(jiǎn)單與不簡(jiǎn)單

付款交易是非同名轉(zhuǎn)賬的一種，常用于匯款。由于其普遍性，這類交易在金融業(yè)務(wù)中易被用于洗錢，因此受到各國(guó)監(jiān)管機(jī)構(gòu)的嚴(yán)格監(jiān)控。同時(shí)，企業(yè)在進(jìn)行大額支付時(shí)，操作風(fēng)險(xiǎn)也需特別注意。下面我們就來(lái)說(shuō)下付款交易中的簡(jiǎn)單與不簡(jiǎn)單。

1. 付款的簡(jiǎn)單

付款產(chǎn)品的簡(jiǎn)單在于他的產(chǎn)品形態(tài)較為單一，付款到卡為匯款、付款到戶為轉(zhuǎn)賬，同時(shí)為適應(yīng)不同場(chǎng)景還分為單筆付款、批量付款、文件付款等。付款產(chǎn)品操作起來(lái)也不復(fù)雜，只要賬戶上有錢，選好收款銀行、收款賬戶，客戶想付給誰(shuí)都可以，無(wú)需付款方確認(rèn)。

2. 付款不簡(jiǎn)單

1) 付款即結(jié)算

付款產(chǎn)品屬于沒(méi)有后悔藥吃的產(chǎn)品，特別是企業(yè)間付款金額一般都較大，如果選錯(cuò)賬號(hào)、輸錯(cuò)金額付出去那就直接到賬了，沒(méi)有撤銷、退款可以用。

唯一的辦法就是打電話給收款方讓他轉(zhuǎn)回來(lái)，否則就只能報(bào)警了。所以大額付款時(shí)，企業(yè)一般都比較謹(jǐn)慎，都要進(jìn)行多級(jí)審核，最終由專門的出納來(lái)執(zhí)行付款操作。

2) 付款與反洗錢

由于付款底層走的支付通道與金融機(jī)構(gòu)并無(wú)不同，所以擁有了付款能力實(shí)際就等于間接擁有了清算能力。

因此持牌機(jī)構(gòu)對(duì)于付款客戶的場(chǎng)景與額度審核是非常嚴(yán)格的，不僅要審核付款給誰(shuí)，還要審核錢從哪里來(lái)，貿(mào)易背景是什么，與收款人的協(xié)議關(guān)系是什么，付款的周期和額度是多少等等。其目的都是為了防止洗錢業(yè)務(wù)的發(fā)生。

03 Zelle的漏洞在哪里

我們今天了解了這些，我們?cè)賮?lái)看下Zelle的轉(zhuǎn)賬為什么會(huì)被騙子利用成為詐騙者的“金礦”。我們先介紹下Zelle這次出問(wèn)題的Send功能（就是即時(shí)轉(zhuǎn)賬）到底是個(gè)什么產(chǎn)品？

• Zelle是點(diǎn)對(duì)點(diǎn)個(gè)人銀行卡轉(zhuǎn)賬網(wǎng)絡(luò)，他僅支持美國(guó)境內(nèi)的銀行卡之間的轉(zhuǎn)賬。
• Zelle允許你用手機(jī)號(hào)和郵箱地址來(lái)注冊(cè)和綁定你的銀行卡，他不需要SSN實(shí)名認(rèn)證。
• Zelle轉(zhuǎn)賬時(shí)只要輸入對(duì)方注冊(cè)的手機(jī)號(hào)或者郵箱就能進(jìn)行轉(zhuǎn)賬，無(wú)需輸入收款人名稱和密碼；
• Zelle不支持信用卡轉(zhuǎn)賬，轉(zhuǎn)賬免費(fèi)，按不同銀行有單筆和單日限額。
• Zelle轉(zhuǎn)賬成功不可撤銷，但是出現(xiàn)欺詐可以聯(lián)系Zelle或者銀行進(jìn)行申訴和攔截

其實(shí)這次的主要漏洞有三個(gè)。

1、Zelle允許用郵箱綁卡

Zelle不允許使用虛擬手機(jī)號(hào)注冊(cè)，這點(diǎn)很專業(yè)。但是令人大跌眼鏡的是，他盡然允許使用郵箱來(lái)綁定銀行卡，誰(shuí)都知道郵箱你隨便注冊(cè)多少都可以，根本沒(méi)有實(shí)名認(rèn)證。

其實(shí)這還不是最壞的，你郵箱僅做個(gè)轉(zhuǎn)賬id，你后面做好實(shí)名認(rèn)證還是可以避免風(fēng)險(xiǎn)的。

2、Zelle沒(méi)有SSN實(shí)名認(rèn)證

在美國(guó)，申請(qǐng)PayPal賬戶、開設(shè)銀行賬戶或申請(qǐng)社會(huì)福利通常需要進(jìn)行SSN（社會(huì)安全號(hào)碼）實(shí)名認(rèn)證。然而，Zelle卻不需要進(jìn)行SSN認(rèn)證。這里要簡(jiǎn)單解釋下SSN認(rèn)證：SSN號(hào)碼：是由美國(guó)社會(huì)安全局發(fā)放的9位數(shù)字代碼，用于識(shí)別美國(guó)公民、永久居民及部分非公民。這和我們國(guó)家的身份證差不多。SSN認(rèn)證：是通過(guò)SSN號(hào)碼來(lái)驗(yàn)證個(gè)人身份，確保金融服務(wù)或社會(huì)福利的接收者確實(shí)是其聲稱的人。

Zelle和提供賬戶服務(wù)的銀行顯然在這里犯了一個(gè)嚴(yán)重的錯(cuò)誤，他讓用戶未做實(shí)名認(rèn)證的情況下綁定了銀行卡。這種情況下就構(gòu)成了非同名綁定，騙子完全可以綁定任何盜竊的卡信息進(jìn)行盜刷。

3、Zelle不需要收款人戶名

我們國(guó)內(nèi)轉(zhuǎn)賬的時(shí)候，需要輸入對(duì)方的卡號(hào)、戶名、開戶銀行才能轉(zhuǎn)賬。而Zelle只要輸入一個(gè)郵箱號(hào)，無(wú)需確認(rèn)收款人戶名和開戶銀行直接完成轉(zhuǎn)賬，成功的讓騙子在交易中隱藏了身份。

圖2 Zelle的匿名轉(zhuǎn)賬流程

騙子通過(guò)誘使受害人向指定郵箱轉(zhuǎn)賬，實(shí)現(xiàn)匿名交易。得手后，他們迅速通過(guò)網(wǎng)絡(luò)或線下ATM轉(zhuǎn)移資金。雖然銀行可以通過(guò)風(fēng)控?cái)r截快進(jìn)快出轉(zhuǎn)賬，但銀行和Zelle在受害者投訴和申請(qǐng)撤銷交易時(shí)未采取行動(dòng)，間接幫助了騙子。

最后，通過(guò)今天的介紹和對(duì)Zelle案例的分析，讀者應(yīng)該已明白實(shí)名認(rèn)證的重要性，以及在轉(zhuǎn)賬和付款時(shí)確認(rèn)對(duì)方身份是防止詐騙和錯(cuò)誤轉(zhuǎn)賬的關(guān)鍵。

04 騙你認(rèn)知以外的錢

最后，用一張血淋淋的搞笑圖片來(lái)結(jié)束我們今天的文章“騙子永遠(yuǎn)騙的是你認(rèn)知以外的錢”。

快過(guò)年了，騙子也要爭(zhēng)取年終績(jī)效了，大家要多注意防騙，學(xué)點(diǎn)反詐知識(shí)沒(méi)壞處。

當(dāng)然所謂的國(guó)際支付機(jī)構(gòu)、國(guó)際銀行，犯這么多低級(jí)錯(cuò)誤被騙子利用，也只能說(shuō)明是個(gè)“草臺(tái)班子”。