新华社消息,中国人民银行支付结算司的权威人士指出,移动支付虽然推动了数字经济发展,但也把安全边界给拉长了。面对新出的电信诈骗花样,既需要监管部门完善技术标准,也离不开每一位用户提升安全意识。警方提醒商户务必守住“不轻信、不展示、细核实”的原则,把支付便捷性和安全性捏合到一块儿,共同筑起数字经济时代的社会治理防线。今年第三季度以来,全国公安机关侦破的涉二维码诈骗案件同比上涨了17%,这里面针对小微商户的占比超过了四成。移动支付诈骗正从过去那种靠骗你转钱的老路子,往“技术劫持”的新路上走。犯罪嫌疑人不光琢磨支付平台的交互逻辑,甚至自己写伪造的支付成功界面软件,把产业链都给搭起来了。公安机关分析,这种新的“截码盗刷”手法之所以有危害,是因为钻了支付设计的空子,也利用了商户急着服务客户的心理。一些支付应用为了图省事简化了收款码的步骤,在提醒安全上做得就不太到位。据各地公安机关通报的情况,这类诈骗通常分三个步骤走:第一步是骗子通过公开渠道弄到餐饮商户的电话,冒充团体客户要订餐,用“核对菜单”或者“确认账户”这类理由让商户加微信;第二步是加了微信后主动发起视频通话,说是为了实时操作,要商户拿另一部设备调出收款码,并让镜头对着那个码;最关键的一步在于大多数平台默认先显示付款码。商户操作的时候往往没注意界面有啥不一样,骗子利用短短几秒钟截下屏幕信息,马上就通过线下扫码把钱给盗走了。这个招数技术上很隐蔽、作案周期又短,已经把不少小微商户的钱给骗走了。针对这种情况,各地网安部门已经在做专项研判。刑侦专家说这种手法的危险点主要有两个:一个是利用了商户看重客户体验的心理,在“大额订单”的诱惑下容易松懈防备;另一个是抓住了支付交互设计的漏洞。为了守住支付安全的大门,警方联合金融监管部门推出了三个防护建议:第一是强化操作环境意识,凡是涉及支付界面的展示都要跟实时通讯环境隔离开来,商户可以用“截图发送”的方式代替直接展示收款码来确认信息;第二是优化账户安全设置,建议用户关掉小额免密支付功能,还得启用指纹识别、人脸验证这类多重生物认证措施。部分支付平台已经有“付款码隐藏”功能了,用户可以在设置里主动开启;第三是建立应急响应机制,商户要经常查查账户绑定的设备和授权列表,要是发现了异常扣款要马上通过官方渠道冻结账户并把聊天记录和视频片段保存下来当证据。警方还特别指出,当前移动支付诈骗的趋势正在改变。过去主要是骗你转账,现在变成了用技术手段把支付流程给劫持了。犯罪嫌疑人不光研究平台的交互逻辑,甚至还会编写伪造的成功界面软件形成黑产链条。