支付宝代扣被利用 利用免密代扣盗刷店主钱款

消费是每天都必不可少的行为，在现今移动网络支付如此流行的时候，支付宝也成了人们生活中常用的支付工具之一，为了更方便消费，有不少人开通了免密支付或是免密代扣功能，然而，谁能想到，支付宝代扣被利用了，不法分子利用免密代扣盗刷店主钱款。

怡同是一名淘宝店的店主，近期，她向媒体反映支付宝代扣被利用一事，表明现如今已有不少淘宝店主因支付宝代扣功能被刷走钱款。据统计，截至目前，被骗的淘宝店主已将近百人，这些店主被骗的金额大部分在两三千元左右，不过也有被骗数额比较大的店主，这到底是怎么办到的？

根据怡同讲述，她是在支付宝“淘宝网店铺完善认证签约”的页面上看到“支付宝代扣功能”这些字样的，当时怡同输入密码并确认后，就收到了“恭喜，支付宝代扣开通成功”的通知。谁料这才没过多久，怡同支付宝上就有5笔200元的扣款被接连盗刷，时间不足1分钟。

怡同说，这些被盗刷的扣款最后均被用于购买“北京畅游时代数码技术有限公司”的畅游币了，所谓的畅游币也就是虚拟游戏货币。直到看到这个，怡同才发现自己被骗了，可除了怡同外，被骗的淘宝店主还不少，据被骗店主们自发统计，总人数超过百人，目前能够确认被盗刷具体多少金额的人有68人，一共超过了18万人民币元。

自不法分子利用免密代扣盗刷店主钱款之后，被骗淘宝店主多次向支付宝申诉但均未成功，原因是“无法认定交易违规”。可是怡同等人至今仍不清楚不法分子是如何获取了他们的信息，又是如何开通了他们的支付宝免密代扣的。面对这些疑问，支付宝方面通过技术分析做出了相应的事件还原。

支付宝方面表示，支付宝代扣被利用了，不法分子在畅游官网上充值时，会有多种付款方式可以选择，在绑定支付宝之后，不法分子可通过扫畅游官网界面显示的二维码，进而开通代扣服务，也就是“一键支付”，不用输入支付宝密码就能自动扣款购买畅游币。

关键问题实际在于官网的二维码，不法分子将其替换为“淘宝店铺认证”的客服二维码后发送给淘宝店主，一旦有人扫描，就等于是自己开通了这项功能，所以店主所看到的页面实际是假的钓鱼页面，在引导淘宝店主扫描登录后，再次自行输入支付密码即可完成整个代扣交易开通，随后再利用免密代扣规则进行充值，每次充值200元以下，直到达到当日限额。