近期,围绕餐饮商户“订餐”支付场景,以视频通话“截码”实施盗刷的诈骗手法呈上升趋势。北京市反诈中心通报的案例显示,犯罪分子常以“单位订餐”“大额预订”“临时加单”等话术制造紧迫感,诱导商户转到社交平台沟通并发起视频通话。随后以“扫码付款更快”“视频对一下码更清楚”等为由,要求商户用另一部手机打开收款码,再用正视频的手机对准该屏幕展示。由于操作中需要频繁切换界面,部分支付应用进入有关页面时可能先展示付款码,不法分子便利用短暂窗口截屏,并在有效期内用截取的付款码完成盗刷。 从“问题”看,此类案件的关键风险不在传统意义上的“收款码泄露”,而在“付款码被截取并被冒用”。付款码本质上是一次性或短时有效的支付凭证,一旦被截屏并在有效期内使用,可能在未触发二次确认的情况下完成扣款,直接造成商户资金损失。与短信验证码、钓鱼链接等方式相比,这类手法更强调“实时”和“误导”——让受害人以为自己在收款——实际上暴露的是付款入口。 从“原因”看,诈骗得手主要与三上因素叠加有关:一是场景贴近经营实际。餐饮店确有线上订餐、转账结算、临时沟通等需求,陌生来电未必立即引起警觉。二是认知差异与操作误区。不少商户对“收款码”和“付款码”的区别不够清楚,误以为“展示码”就是让对方付款,在视频中完整展示支付页面,客观上给对方提供了可截取信息。三是支付安全设置在“方便”与“安全”之间存在取舍。部分用户开启免密支付或小额免验证,提高了效率,也降低了拦截门槛;一旦付款码被盗用,损失可能在短时间内扩大。 从“影响”看,这类诈骗不仅直接威胁商户资金安全,还可能带来连锁影响:其一,商户为止损往往需要暂停账户使用、联系平台申诉核查,影响正常收款和经营周转;其二,若支付账户关联多平台服务,盗刷可能引发更多关联扣款或带来隐私风险;其三,若案件在本地集中出现,可能削弱商户群体对线上支付的信任,进而影响数字化经营环境。对小微商户而言,单笔或连续扣款带来的现金流压力更为突出。 从“对策”看,防范重点应聚焦三条主线:不给对方截取支付凭证的机会、提高交易二次验证强度、异常发生后快速处置。第一,坚决不要在视频通话、屏幕共享或聊天中向陌生人展示任何形式的支付码页面,包括收款码、付款码及包含二维码的完整支付界面;对方如坚持“必须视频对码”,应立即提高警惕,改用正规点餐平台下单或到店支付。第二,尽快自查并关闭免密支付等高风险便捷功能,同时开启手势验证、指纹或人脸识别等验证方式,必要时提高小额支付的验证要求,为账户加一道“安全闸门”。第三,完善商户内部收款流程,避免在忙碌时由不熟悉支付设置的员工临时处理陌生订单;可将收款设备与个人社交账号适当分离,减少被诱导操作的可能。第四,一旦发现异常扣款或支付提示异常,应第一时间截屏或保存交易记录等证据,立即暂停相关账户使用,尽快联系支付平台客服止付核查,并同步向公安机关报案,争取在资金流转前拦截追缴。 从“前景”看,随着线上交易与即时沟通工具深入经营活动,针对真实支付流程的“场景化欺诈”仍可能持续演化。相关平台与机构有必要在产品设计层面完善风险提示与默认展示逻辑,强化对异常设备、异常交易频次、可疑截屏等风险信号的识别与拦截;同时,面向商户的反诈宣传应更突出“付款码不可外泄”“视频展示同样属于信息泄露”等要点,通过行业协会、外卖平台商家端、支付应用弹窗等渠道,把提醒嵌入高风险操作环节。对商户而言,只有在可控风险的前提下追求便捷,数字化经营才能更稳更长久。
数字化生活深入日常,支付安全已成为需要长期应对的现实议题。此次事件既提醒商户提高警惕,也检验支付生态的风险防护能力。只有用户、企业与监管部门形成合力,才能减少移动支付中的安全漏洞,让技术更安全地服务日常生活。