这是一个创建于 2801 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天银行卡转了几千到支付宝,不需要手机短信验证,直接支付宝的指纹验证就通过了。之前别的 app 开通了快捷支付也有这样的情况,无需手机短信验证,只需验证支付密码就直接把银行卡钱转到平台。 而支付宝和其他 app 是知道用户的支付密码的,可能有些平台还明文保存。 是不是可以这么说:假设支付宝或 xx 理财 心怀恶意的话,能直接不通过用户短信验证,直接转走用户银行卡的钱。
 |
1
honeycomb 2017-03-17 12:48:39 +08:00  1
类似的,亚马逊等特定平台可以在仅知道卡号但不知道 CVC 的情况下扣钱。
需要的话可以联系银行禁用卡的快捷支付能力。 这个特性最早只有招商银行提供,现在有更多的银行(建设银行,工商银行等)也支持禁用快捷支付了 |
 |
2
mozutaba 2017-03-17 12:48:43 +08:00 via Android
所以你知道监管有多重要了么。所以你知道支付宝搞定了多少压力么。
|
 |
3
kaneg 2017-03-17 12:59:22 +08:00 via iPhone
楼主的推理在理论上可能是成立的,但这些支付企业理论上都是处于国家的严格审查,不敢这么搞。在 IT 界类似的是提供 ssl 签名的公司可以私下里伪造合法证书,但是我们还是选择信任它们。
|
 |
4
a379395979 OP 这也太不安全了吧。 @kaneg 支付宝我当然信任, 主要是目前有些 P2P 理财 app 也是这么搞 ,那些感觉太不安全了。
|
 |
5
crab 2017-03-17 13:23:15 +08:00
@a379395979 理财这种担心的话,只能充值完后解绑。
|
 |
6
Midnight 2017-03-17 13:32:10 +08:00
我觉得其实相当于你是授权给支付宝 可以任支出限额内的交易,然后再由第三方来验证交易(指纹支付)
|
 |
7
121121121 2017-03-17 13:43:38 +08:00
第三方支付需要牌照
|
 |
8
gamexg 2017-03-17 13:55:40 +08:00 via Android
说个更扯的,前年询问工商银行,银行告知无法查询哪些公司能够通过快捷支付扣我银行卡的资金,更别说关闭了。银行声称快捷支付的安全责任归第三方快捷支付公司,不归属银行。
不过现在好像能够从网银查询了。 看情况,快捷支付只需要银行卡卡号、身份证号外加电话号码,第三方就能够完成快捷支付,虽然有个短信验证,但是这个是第三方自己做的,理论可以不做。 |
 |
9
popok 2017-03-17 14:06:09 +08:00
这个不是技术原理的问题,支付宝这种三方支付公司,直接和银行签约的,有接口,不需要密码,直接可以从卡里扣钱,当然前提是验证这个账户是银行卡本人,这个可能需要短信验证码,但是有时候支付宝之类的已经确定你是银行卡的主人,就不需要验证码。
具体的都是看支付宝的安全审核策略 |
|
10
popok 2017-03-17 14:10:34 +08:00
支付宝快捷支付刚出的那个时候,简直是谢天谢地啊,你知道原来付个东西都需要用 IE 这种垃圾去那些垃圾网银里操作,(还要装各种安全控件),那个 u 盘一样的数字证书,还需要安装驱动,反正是各种麻烦。
偶尔去网吧,需要付个钱,反正是各种折腾,弄 30 分钟都可能不一定搞的定。后来工行出了个密保卡,就是一个卡背面各种数字,稍微比 U 盾这种方便一些。再后来就是快捷支付了。彻底解放了。 |
|
12
kaneg 2017-03-17 14:27:55 +08:00 via iPhone
@a379395979
这些只能自己甄别了,说实话我们普通人要么远离这类第三方支付,要么只能信任,除此之外只能寄希望于国家监管了。否则还有其他更好的办法吗? |
 |
13
salary123 2017-03-17 14:50:04 +08:00
网络绑定的银行卡不要放太多钱就是了。用的时候存点。安全与快捷不可兼得。
|
 |
14
AstroProfundis 2017-03-17 14:58:34 +08:00
快捷支付绑定就是你签署了一个协议,同意银行在一定额度内允许某个第三方直接从你的账户扣款,效果上和一些在线使用信用卡的方式类似
所以不要给不信任的第三方授权快捷支付... |
 |
16
skylancer 2017-03-17 15:10:16 +08:00 via Android
@gamexg 前年?很早就能网银查询签约的公司了啊,之前还有应对柜台预留手机号的手工签约流程... 3 年前就这么搞了,估计是你没找到入口
|
|
17
gamexg 2017-03-17 15:15:28 +08:00
@skylancer #16 可能更早,当时在网银没找到,电话联系工行客服,告知无法查询,被通过快捷支付盗刷的责任在第三方公司,和工行没关系...
|
 |
18
BOYPT 2017-03-17 15:27:37 +08:00
"快捷支付"这个概念是支付宝发明出来的,其实银行系统里面并没有这个业务;
银行里面对应的是“协议扣款”,早在支付宝之前早就存在的,当年的电话费水电费通过银行代扣都是这个原理; 根据已有法例,“协议扣款”的责任方是扣款方而不是银行,因此也不存在可靠不可靠了,只要有牌照、账户信息,即可任意扣款。 因此去年年底实行的虚拟账户制度, II / III 类虚拟账户用来绑定一些信任度较低的平台,算是一个保护措施; 另外银行现在也开放接口查询已有协议扣款,可以自助解除用不上的协议方; |
 |
19
akira 2017-03-17 15:33:33 +08:00
你吧银行 和 支付宝 视为 同样的 东西就好了呗
|
 |
20
googlebot 2017-03-17 15:33:40 +08:00 via Android
在建行网银里是可以删除授权商户,其他银行应该有类似功能
|
|
21
BOYPT 2017-03-17 15:34:41 +08:00
工商银行的对应业务叫:委托代扣
http://www.icbc.com.cn/ICBC/%E4%B8%AA%E4%BA%BA%E9%87%91%E8%9E%8D/%E4%B8%AA%E4%BA%BA%E6%9C%8D%E5%8A%A1/%E4%BE%BF%E5%88%A9%E9%87%91%E8%9E%8D/%E5%A7%94%E6%89%98%E4%BB%A3%E6%89%A3/ 另外校验手机、支付密码这些其实全都是支付平台自己在校验,你账户银行不做校验,只要扣款指令确认就完成了(有些渠道甚至不会触发你的银行账户的余额变动!)。 所以近年推动的金融监管都在规范化这一块,现在要求 p2p 这些通过银行托管资金,扣款指令由平台的合作银行发给账户的银行,信息校验由合作银行完成;减少“监守自盗”的可能性; |
 |
22
RqPS6rhmP3Nyn3Tm 2017-03-17 15:45:31 +08:00
@akira #19 不可以视为同一种东西,银监会多次强调第三方支付禁止经营的业务。
|
Select Language