现在好多商户用移动支付收款,就把资金安全问题给暴露出来了。1月8日,北京市反诈中心接到了十几个针对餐饮行业的诈骗报警,作案手法都是先把团伙订餐当诱饵,再把资金给盗刷了。这事儿反映出电信诈骗开始往特定行业里钻空子了。这帮坏蛋通常冒充顾客,打电话或者在社交平台上找餐馆,拿“聚餐订桌”、“预付费用”这种话术来套近乎。到了付钱的时候,嫌疑人会说扫码失败或者系统异常,非要让商户开视频通话看收款码。可大多数支付软件打开后默认是付款码,不是收款码。商户按他说的切换界面时,坏人就截屏把付款码给拿走了。技术分析发现,这一招能得逞全靠两样东西:一是支付平台为了图方便设的小额免密支付功能,二是商户对收付款码怎么显示这事儿没数。现在主流工具对1000元以下的交易都支持免密支付,而视频通话时大家很难实时盯着屏幕看状态。北京市反诈中心的人说,这种骗术挺迷惑人的。商户在忙的时候容易松劲儿,视频通话的实时性又放大了操作风险。根据调查,受害商户一单亏的钱通常在500元到3000元之间。虽然单笔金额不大,但案子多了说明针对小微企业的诈骗在扩散。 从技术上说这是利用了人机交互时的信息不对称。平台为了让人用着顺手把高频用的付款码设成默认选项,本来是好设计,可普通商户未必懂这背后的安全逻辑。要是骗子制造紧张气氛催你操作,你就容易忽略界面提示。这时候正好赶上年底年初餐饮消费旺季。骗子看准了商家想接团餐的心理,编了个大场面来降低防备心。民警还发现有些商家是被“单位工会聚餐”、“公司年会订餐”这种听起来挺像回事的理由给骗了。这说明诈骗剧本做得越来越专业、越来越像真事。 移动支付让实体经济活了起来也方便了大家的生活,不过安全规范还得继续普及才行。这次“订餐诈骗”的案子既是对商户的警示也是对平台的提醒。市反诈中心告诉大家最好把小额免密支付功能给关了,收钱的时候一定要“面对面扫码、反复核界面”,千万别在视频通话里晒支付码。建议平台多加点风险提示功能或者推出个“商户收款专用模式”。只有商家、消费者、平台和警察一起管才能建起一道对付新诈骗的防线,维护好数字经营的环境。