网络盗刷理赔难 平台责任的边界在哪里?

来源:财经网 2019/12/03
分享到:
导语

在盗刷事件中,账户的所有者无疑最直接的受害者,但他们又始终被隔离在这场互联网金融平台与盗刷者们的攻防战之外。除了提高警惕意识,用户们似乎已经别无选择。

9月25日,31岁的黄先生向廊坊市公安局广阳辖区派出所报案——他一年多没使用过的京东金融账号被盗刷了2400余元。

事情发生在大约十天前,黄先生突然收到一条京东白条的还款通知短信。他随即向京东金融客服求证,对方表示,他的身份证号码下不存在白条借款信息。同时,京东金融客服还表示,发送该短信通知的号码“不存在”,请黄先生“不要相信虚假信息”。

然而,一口气还没来得及松下,黄先生再次收到催还贷款的信息,这一次京东金融客服告知他,需要偿还其名下的白条账单。

黄先生意识到自己遭遇了盗刷,于是向京东金融提出了申诉并报警。

“当时京东表示需要调查,有结果会通知我们。但是之后我们一直没有收到调查结果的通知。”黄先生告诉财经网,他一直等到9月30日,再次致电京东金融,询问调查情况,客服表示“还在调查中”。但据黄先生说,通话一结束,他就收到了调查结果的短信通知,告知其“不在赔付范围内”,并要求他尽快偿还白条欠款。

黄先生心里对这次的盗刷有许多疑问:是被谁盗刷的?怎么盗刷的?他希望能从蛛丝马迹中找到盗刷者的信息。

黄先生很快发现,这笔白条账单来自一个自己许久不用的京东账号,而且这个账号所绑定的手机号已经被更改。更改过的手机号也被关联到另外一个京东实名账号,另一个账号的所有者会是盗刷者吗?他通过警方向京东金融询问,但被告知需要派发协查函,才能提供其他用户的信息。

黄先生又通过上传手持身份证照片把账号找回,发现该账号被异地登陆并下单购买了一个珠宝手串,其价格与白条账单相吻合。黄先生拨打了盗刷者留下的收件人电话,却发现是个空号。线索到这里也就断了。

“先还钱吧,谁让我们没把不用的账号注销呢。”黄先生把京东白条偿清,这次的盗刷也就不了了之了。

黄先生的经历似乎是层出不穷的盗刷事件中一个小小的缩影。在盗刷事件中,账户的所有者无疑最直接的受害者,但他们又始终被隔离在这场互联网金融平台与盗刷者们的攻防战之外。

用户提出申诉后,平台方除了简单给出一句"能否理赔"的处理结果外,不再提供其他信息,这几乎是每位用户都向财经网表达过的困惑。而盗刷者在实施盗刷行为时,往往能轻易绕过用户感知,即使在用户账户上留下交易信息,也是很快就会变成空号的电话号码和无处追寻的陌生地址。这也导致了用户在被盗刷后,几乎无法取得未来可以用于起诉的关键证据。面对线上盗刷时,除了提高警惕意识,他们似乎已经别无选择。

平台方的责任边界尚显模糊

京东金融方面告诉财经网,黄先生的账号被盗刷,是因为被盗刷账号绑定的手机号码为虚拟手机号,即他曾经租用过的一个阿里小号。

阿里小号是阿里通信公司为用户提供隐私保护而推出的虚拟手机号,可在不新增SIM卡的情况下,满足用户使用新号码收发短信、接打电话等需求。根据中国公安部下属媒体中国警察网报道,阿里小号部分为闲置电话号码,会进行循环使用,即用户申请的阿里小号到期后,将被租给下一个使用者,存在个人信息泄漏的风险。

“黄先生就是因为在虚拟手机号过期前没有将手机号与金融账户解绑,导致手机号码再流通后,被他人发起交易行为。这种因个人保管不当导致的信息泄漏,不是盗刷,也不在赔付范围内。”京东金融方面表示。

那么,这是否意味着盗刷者取得手机号码和验证码后,就可以在京东完成交易行为?

在一次测试中,财经网尝试使用手机验证码获得一个京东白条账户的控制权,发现在支付环节与找回密码环节均需要支付密码或银行卡号及手机验证码进行多重验证。这意味着,仅仅用手机号无法获得京东金融账户的控制权。对此,京东金融方面拒绝作出解释。

中闻律师事务所合伙人律师贾虹认为,黄先生遇到的情况是冒用金融账户所有人的名义导致账户内资金透支的行为,确实属于盗刷范围。

根据2018年6月最高人民法院发布的《关于审理银行卡民事纠纷案件若干问题的规定》(征求意见稿),网络盗刷是指他人冒用持卡人名义、使用持卡人网络交易身份认证信息进行网络交易,导致持卡人银行卡账户资金减少或者透支金额增加的行为。

但贾虹指出,在盗刷事件中,盗刷者才是最终民事责任和刑事责任的承担人,平台和用户之间民事责任分配通常要看是哪一方的过错导致。

“如果用户自己对账户的密码、短信验证码管理不善导致盗刷或者自己进入一些不正规的网站点击不明链接导致手机中毒被盗取信息,盗刷的主要责任应在于用户;如果是由于平台管理不善,导致用户信息泄露,或者是由于平台的软件系统未达国家标准,即安全级别不够,从而导致平台被黑客盗取了用户信息,这种情况下主要责任在平台承担。”贾虹认为,黄先生的案例中,存在自身保管信息不善的问题,如果起诉,只能以盗刷者作为被告方。

“但是用户很难取得盗刷者的信息。”她表示。

因此,贾虹也提醒,用户对自己金融账户的账号、密码、数字证书、短信校验码、支付盾、电话号码、手机号码、身份证件号码及指纹信息、人脸信息、眼纹信息都务必妥善保管好,通常使用这些身份要素进行的任何操作、发出的任何指令都会视为本人做出。

而在部分实际案例中,平台方被认为拥有金融专业知识、信息技术以及更强的举证能力,应当承担更多的责任。

据法制日报报道,江西省南昌市市民王某因被骗取手机验证码,导致其建设银行银行卡被盗刷1万元。王某以银行卡被银行自动开通了“账号支付”功能,即直接输入“银行卡号+手机短信验证码”就可以完成支付的功能为由,诉至法院,要求银行赔偿被盗刷款项。建设银行方面则辩称,王某作为完全民事行为能力人,将验证码告诉不法分子造成损失明显存在过错。

由于建设银行方面未能举证己方尽到风险告知和审慎审查义务,法院判令银行对王某资金被骗承担70%的责任,即7000元;王某自身泄露动态密码,承担30%的责任,即3000元。

做出上述判令的法官庭后表示,在盗用人未知的情况下,银行应在其过错范围内先行承担赔偿责任,之后可另行向盗用人追偿。

想获得理赔 先要“自证清白”

在多个京东金融盗刷理赔案例中,财经网发现,用户想要获得平台方赔偿,必须先要“自证清白”。一位成功获得理赔的京东金融用户向财经网分享了他的经历。

23岁的董先生今年刚刚大学毕业,10月初,他突然收到京东白条的还款短信通知,发现自己的账号被盗刷了。董先生向京东金融提出了申诉,客服人员询问其账号上绑定的三张银行卡是否为其本人所有。董先生确认了其中两张卡,但另一张工商银行信用卡并非他自己所有。“我没有开通过信用卡。”董先生表示。京东金融客服随即让董先生等待调查结果。

两周后,董先生收到来自京东金融的短信通知,告知其不是盗刷,不在赔付范围内。

董先生提出了二次申诉。

再次申诉后,京东金融告知他,有人通过绑定工商信用卡,更改了账户信息。通过这张工商信用卡,董先生找到了可以“自证清白”的证据。

“我请工行调查后发现,盗刷者6月28日在网上申请了一张信用卡,工行审核后发现存在问题,没给发卡,并在7月份进行冻结销卡。但在此期间,盗刷者凭这张未完成审核的卡绑定了我的京东账号,并修改了交易所需的信息。”董先生说。

在董先生向京东金融提交了工商银行的证明文件后,京东金融终于“同意被盗理赔”。而在董先生提起申诉,直到取得工商银行的证明文件期间,依然多次收到京东金融的催收电话。

“盗刷案件的诉讼目前依然遵循‘谁主张谁举证’原则,所以用户要证明‘盗刷的损失不是因为自己泄露账户、密码、短信认证码等信息造成’。”贾虹表示,“一般这种案件都是走刑事,向公安报案,很少进行民事诉讼,因为用户要举证是平台的责任太难了。”

2018年6月,华东政法大学虞伟庆金融法律研究院曾举行过一场关于第三方支付及网贷司法解释的研讨会,平台方的举证责任边界成为研讨会上的焦点。

据媒体报道,在这次研讨会上有专家认为,在司法解释的制定过程中,从保护消费者的角度考虑,可以规定非因客户自身过错造成客户经济损失,客户请求非银行支付机构赔偿损失的,人民法院应予支持;非银行支付机构以损失系客户自身过错所致进行抗辩的,应当对其主张承担举证证明责任。但蚂蚁金服等第三方支付代表企业均认为这一举证责任过重。

此外,第三方支付平台目前多采用人工智能反欺诈等技术进行风控,这是否意味着能够通过平台风控机制的交易行为,就可以被判定为“非盗刷”?对此,在司法解释中尚未有统一标准。

高昂的诉讼费则是另一大难题。财经网了解到,目前有上百名京东金融账户被盗刷的受害者正在寻求集体诉讼的可能,但高昂的律师诉讼费让不少人望而却步。

有业内人士表示,律师费一般要在起诉前支付,有按照标的额收费和风险代理两种方式,标的额是起诉请求赔偿的数额,风险代理是按照判决最后赔偿金额的一定比例收费,但后者的收取比例一般比较大。

根据一位盗刷受害者提供的信息,部分律师按照参与集体诉讼者每人5000到10000元的标准收费,并要求在起诉前支付。这甚至超过了部分受害者的损失金额。

盗刷是如何发生的

“盗刷行为发生的前后,用户都不会获得太多信号,甚至不会有任何感知。对于盗刷行为留下的路径信息,在平台方表现得更加明显。”反欺诈平台DataVisor的黑产专家周君桢表示。

他向财经网介绍了线上盗刷的几种常见攻击链路:有的黑产通过安全防范较差的视频应用或网站等,收集到一些手机号和密码,再利用这些信息去贷款平台“撞库”,例如利用已收集到的个人信息,尝试批量登录其他网站,很多用户在不同网站使用的账号密码相同,黑产就可以获得这些账户的控制权,去进行虚假贷款等操作;还有的黑产会把一些恶意程序植入软件,用户下载后,这类恶意软件就会在手机后台静默运行,对手机短信等个人信息进行读取和操作。

“这类软件不仅可以读取手机上的个人信息,甚至可以对这些信息进行改写。”周君桢说,“比如黑产向装有恶意软件的手机发送了一个验证码,在后台偷偷运行的软件就可以在读取验证码后,把短信删除,而这个过程用户是几乎毫无感知的。”

此外,他表示,伪基站也是过去黑产常用的手段,这种设备可以在一定范围内屏蔽用户的手机信号,将发送至用户手机的验证码短信直接拦截。

上述盗刷攻击中,用户很难发现自己的账户正在被他人操控。盗刷者有时会采取干扰手段,降低用户的警觉性,周君桢表示,"比如用短信轰炸,把带有验证码信息的短信裹挟在大量垃圾短信中,或者短时间内进行大量骚扰电话轰炸,用户无法屏蔽,只能选择关机,盗刷操作就在用户关机期间悄无声息地完成了。"

“一些高明的盗刷手段下,用户几乎不会感觉到任何信号。”周君桢说。这也导致许多用户一直到被催还贷款时,才会发现自己被盗刷,更别提如何阻止盗刷了。

此外,周君桢告诉财经网,现在最让平台头疼的,其实是日益增加的电信诈骗。黑产通过给用户一些诱导性信息,一步步引导用户泄漏个人信息,或进行贷款和转账操作。由于这些都是用户自行操作的,支付或贷款平台很难将其与正常行为进行区分,成为风控的一大难点。

财经网此前报道,近半年来,陆续有多位用户遭遇京东白条被盗刷事件。这些用户多数是在京东购买商品后,接到佯称"京东客服"的电话。伪装为"京东客服"的盗刷分子利用个人信息的详细情报骗取受害人信任。其中,一位王女士告诉财经网,致电给她的"京东客服"说出了她的购物订单号、下单时间、地址和电话。另一位受害者小何说,对方连他的京东金融信用分和白条额度都能准确报出。

王女士表示,在盗刷分子取得她的信任后,以她购买的商品存在质量问题需要退货为由,给她发送了一个退货链接。该网页被伪装成京东商城的界面,王女士毫无戒备地输入了自己的银行卡和电话信息,并试图获取验证码。随即,她的京东白条被盗刷。

据王女士说,她一共被盗刷了17397.92元。京东金融方面认为,王女士的行为导致了自己的信息泄漏,因此不提供赔付。因为担心影响自己的征信,她现在已经借钱归还了部分白条盗刷金额“共13306元”。

周君桢告诉财经网,从获取个人信息、控制账户、降低用户感知、实施盗刷到最后的变现,在这一系列的攻击链路上,最重要的两个要素:一是用户的个人信息,如手机号码和身份证号码;二是交易的关键信息,如账户密码和手机验证码。

“不要下载和使用不明来源的APP,对授权APP使用的个人信息范畴要有所警惕,长期不用的账号及时注销。”周君桢提醒。他表示,提高警惕就是用户能做的最好防御了。

编辑: 杜晓彤
分享到:

相关新闻