今天，将揭露电信诈骗领域一个惊天漏洞 。这是一个较为专业的话题，看后可能会引起不适，请谨慎决定是否继续阅读 。
写在前面
早在一年半前，我们从各地反诈中心反馈的线索中已经掌握了这个漏洞的链条，但考虑到公开揭露会有教唆犯罪之嫌，迟迟没有下笔 。直到今天，这个漏洞已经成为诈骗界公开的秘密，多地反诈中心的工作效果也因此大打折扣，我们在反诈同行的建议下才写下这篇文章，希望能引起相关部门的重视 。
你知道吗？钱财转到骗子银行卡上后，挽回损失的黄金时间只有60分钟 。
如果两年前你的钱被骗子骗走，反诈中心通过与银行间建立的止付返还机制，有60%-80%的概率将这些钱追回 。而如今，如果你的钱——特别是大金额的钱款被骗子骗走，反诈中心就是有再牛逼、再顺畅的运作机制，迅速挽回钱款的概率也基本在10%以下，当然，这不包括破案后追回的赃款 。
这一切，都是因为骗子掌握了第三方支付的漏洞 。
什么是第三方支付呢?
简单来说，就是非金融机构作为中介提供的网络支付、预付卡、银行卡收单等支付服务 。我们最常见的第三方支付平台就是淘宝的支付宝、腾讯的财付通 。按照2016年的数据，这两家平台占了移动支付市场份额的92%、互联网支付市场份额的61.9% 。

文章插图
第三方支付结构图
这个漏洞有多厉害？我们先看一个警方截获的某骗子银行卡账户流水 。



文章插图
某骗子控制的银行账户，已做技术处理
从这个账户流水可以看到，受害人分两笔转入100万到该骗子账户后，骗子瞬间以每笔五万元，转出20笔（图中支*金是支付宝备付金的缩写），直至卡中还有112元的余额 。

那么，骗子一共用了多少时间呢？我们来看另外一张表 。


文章插图
警方调取的交易详表
从9月12日23时30分许诈骗转款发生，到9月13日0时30分最后一笔转出，只用了1个小时就把100万元全部转出，刚好过了止付的“黄金60分” 。

也许有人会问，支付宝都是实名认证，和银行卡号都是绑定的，那就可以直接查到这笔钱流向了哪张银行卡，再去止付不就行了？从道理上讲，是可以的 。但实际操作中就不是这样了 。因为按照交易规则，第三方平台无权掌握银行卡号信息，通过这些平台的每一笔交易都会生成一个“订单号” 。因此想要搞清楚这笔钱通过支付宝转到了哪里，还必须先找到订单号对应的银行卡号 。
怎么找呢？只能去求各银行的电子银行部 。由于这个查询权限要求较高，所以查询起来也异常麻烦 。少则几个小时、一天，多则十天半月 。个别银行对异地账户订单号码的查询规定得很死，必须通过总行才能进行，要至少一个月才能反馈结果 。等查询回来，银行卡上连根毛都没有了 。就这样的反馈时间，还是在工作日、工作时段 。如果在非工作日、非工作时段，时间还要往后延长 。就算警察24小时不眠不休开展冻结工作，由于很多银行没有24小时对接工作机制，也是“望号兴叹”，干着急，没办法 。


文章插图
也就是说，以前骗子在骗到钱以后，会通过迅速转账到二级、三级、四级等多个银行卡，来增加警察查案的难度，再去找“车手”取现 。近两年，各地反诈中心陆续建，警方与银行建立了紧密的合作关系，可以迅速对多级账户进行冻结，这条路基本堵死 。所以骗子就改进工作办法，在骗到钱后，通过第三方支付平台转来转去，每转一次就会增加一次查询的时间成本，等警察追查到去向时，早已经过了“黄金60分” 。

• 手机异地补卡需要多少钱 异地补办手机卡移动
• 天猫成交额实时数据直播 天猫成交额直播 官方
• 网游点卡批发 魔兽世界点卡批发价
• 刷卡机如何刷京东白条 京东白条如何刷卡刷出来
• 社保卡丢了去哪里补办,需要多久 社保卡丢了怎么补办要多久才能拿到钱
• mcn机构是啥 mcn机构是什么意思啊
• 为什么支付宝用起来卡 支付宝卡包在哪里
• 游标卡尺的精确度如何确定 游标卡尺怎样看读数
• 钉钉考勤打卡怎么导出到群文件夹 钉钉考勤打卡怎么放到桌面
• 苹果手机怎么用快手直播游戏 快手怎么开游戏直播权限设置