近日,北京市反诈中心披露了一类新型诈骗案件;诈骗分子以订餐为幌子,通过精心设计的话术和技术手段,诱导餐厅员工在视频通话中展示个人微信付款码,进而实施远程盗刷。此案件类型在短期内集中高发,已造成多家商户经济损失。 案件的典型作案流程是这样的:诈骗分子首先致电餐厅假意预订包间,要求按人均600元标准配菜。待餐厅发送收款码后,分子声称收款码无法使用,主动提议通过视频通话进行远程扫码支付。在视频通话中,分子以身在香港、跨境支付有限额为由,要求餐厅员工反复展示微信收款码。员工在毫无防备的情况下,用一部手机摄像头对准另一部手机的微信界面,让对方进行扫码操作。 诈骗分子利用的是支付平台的两个关键漏洞。首先,微信和支付宝禁止对付款码进行截屏和录屏,但分子通过诱导受害者用另一部手机拍摄付款码画面,绕过了平台的保护机制。其次,他们精准利用了小额免密支付功能。根据平台规则,微信付款码单笔金额不足1000元的交易无需密码验证,支付宝在未设置免密额度时,境内单笔1000元以内可免密支付。诈骗分子正是通过将盗刷金额控制在1000元以内,规避了密码验证环节。 在北京警方通报的一起案件中,三名餐厅员工在不到25分钟的视频通话中,账户共产生10笔扣款交易,总计8210元。受害者起初误以为收到的短信是到账提醒,直到发现账户余额未增加才意识到异常。这种手法之所以有效,在于它充分利用了受害者的心理预期。商户认为自己是收款方,不可能出现问题,因此放松了警惕。诈骗分子则通过视频通话制造的"实时互动"假象,强化了这种虚假的安全感。 从更深层看,这类案件反映出个人支付账户在远程交易中的脆弱性。付款码本质上是支付凭证,等同于电子现金。一旦被他人获取,即可在免密支付额度内直接扣款,而受害者往往事后才能发现。这与传统的密码盗取诈骗不同,它不需要获得账户密码,只需要一张付款码的图像。 针对这一风险,北京市公安部门建议公众采取以下防护措施:第一,关闭微信和支付宝的小额免密支付功能,这是防范此类诈骗的最直接手段。第二,启用手势验证、人脸识别、指纹或密码等多重安全认证机制。第三,在任何视频通话或远程交互中,都不应向陌生人展示付款码。第四,对于收到的支付对应的短信提示,应当及时核实,区分到账提醒和扣款提示。 商户和服务机构也应提高风险意识。在接到陌生订单时,应通过多种渠道验证客户身份。对于远程支付请求,可以建议客户使用转账功能或其他更安全的支付方式,而非通过展示付款码进行。一些餐饮企业已开始建立内部防范机制,要求员工在进行远程交易时向管理人员报告,以便及时发现异常。
在数字经济快速发展的今天,支付安全已成为社会治理的新课题。这系列案件警示我们:技术创新在带来便利的同时,也给犯罪分子提供了新的作案空间。只有政府、企业、个人三方协同发力,构建多层次防护体系,才能真正筑牢电子支付的安全防线。正如反诈民警所言:"安全意识是最好的防盗门。"