刚哥讲故事（3）Zelle转账漏洞的警示

在数字支付日益普及的今天，安全问题成为了我们不得不面对的挑战。本文深入探讨了国际支付巨头Zelle在即时转账交易中存在的支付漏洞，并分析了这些漏洞如何被诈骗分子利用，给消费者带来巨大财产损失。

引子：Zelle爆出转账漏洞

最近美国消费者金融保护局（CFPB）对摩根大通、富国银行和美国银行提起联邦诉讼，原因是Zelle支付平台上的欺诈行为。

Zelle是一款即时转账软件，用户只需输入对方的手机号或邮箱地址即可通过银行账户进行快速转账。

这里吊诡的是Zelle竟然允许通过邮箱地址绑定银行卡，并且在不输入户名的情况下接收转账。这显然为骗子提供了隐藏身份的机会。尽管Zelle有反欺诈机制，但平台和银行的推诿和不作为导致了消费者的巨大财产损失。

其实我们国内用户经常也会不理解“为什么我数币钱包提现要我实名认证？”、“为什么我给别人的卡充值要给我限额？”、“为什么我提取现金要问我用途，我自己的钱怎么用还要你来管？”。

其实这些规定都是一个个血淋淋的教训总结出来的。下面我们来了解下如何防范这些风险，最后根据今天介绍的知识给大家解释下Zelle的漏洞在哪里。

01 转账的同名与非同名

转账交易是基于账户余额的资金转入转出，也称余额交易，它包括充值、提现和转账。这里转入和转出账户之间都要进行实名认证，也被称为“同名”。如果有任何一方不是本人就是“非同名”。

讲同名是不是很土？

可能你会觉得同名、非同名这种说法很土，其实恰恰相反，能讲出这两个词的人都是业内的老炮。因为实名认证只能反映单个账户的实名情况，而同名则是说明了两个交易对手之间的账户是否实名认证。

图1 转账交易

1. 同名的交易

即交易双方的账户都是本人，主要交易是通过本人绑定的银行卡进行充值和提现，它可以保障用户收到的钱只能在自己的账户之间进行出入金的闭环交易。

1) 充值交易：

账户与绑定银行卡同名入金，线上开立的支付账户，银行Ⅱ/Ⅲ类电子账户需要绑定同名的银行卡才能完成入金。因此在开户时就需要绑定银行卡，并且要通过短信或者密码验证确认是其本人操作。

2) 提现交易：

是充值的反向交易，即账户与绑定卡同名出金。

2. 非同名交易

即交易双方账户不是本人或者有一方没有进行实名认证。这种交易从资金流上与收单交易非常相似，但账户又不需要通过严格的商户审核，因此非常容易被非法洗钱和诈骗分子所利用。这里就包括了代充、非同名入金、转账等。

1）代充交易：

使用他人银行卡进行充值，如代缴话费或代充游戏币，这种不是真正的充值，而是属于代充。它很容易被骗子伪装成正常交易进行诈骗。

2）非同名入金：

就是接受来非本人账户所支付的资金。常见的场景就是个人在线上开通账户接收资金。这里的账户包括了支付账户、虚拟账户、银行Ⅱ/Ⅲ类户等可以线上开户的账户。通常情况下这些入金交易都会被限额，因为资金来源不明。

3）非同名转账：

就是将钱转账给非本人的账户例如钱包之间的转账，这类交易主要的风险是场景不明，非常容易出现通过蚂蚁搬家的方式掩盖真实意图进行洗钱。

有人质疑，用自己的卡转账为什么还要经历繁琐的检查，感觉体验很差。但实际上，如果未进行实名绑卡认证，金融机构无法确认卡的真实归属，这会带来风险。因此，实名认证是必要的，不能仅凭用户“我知道”来代替。

3. 体验怎么办

实际上，风控和体验是相辅相成的。这些风控措施源于历史上的惨痛教训，主要针对大额未实名交易。一旦触发风控反洗钱拦截，首要任务是调查交易，防范金融风险，此时体验问题就显得次要了。而体验优化主要针对小额且经过实名认证的用户交易。

02 付款的简单与不简单

付款交易是非同名转账的一种，常用于汇款。由于其普遍性，这类交易在金融业务中易被用于洗钱，因此受到各国监管机构的严格监控。同时，企业在进行大额支付时，操作风险也需特别注意。下面我们就来说下付款交易中的简单与不简单。

1. 付款的简单

付款产品的简单在于他的产品形态较为单一，付款到卡为汇款、付款到户为转账，同时为适应不同场景还分为单笔付款、批量付款、文件付款等。付款产品操作起来也不复杂，只要账户上有钱，选好收款银行、收款账户，客户想付给谁都可以，无需付款方确认。

2. 付款不简单

1) 付款即结算

付款产品属于没有后悔药吃的产品，特别是企业间付款金额一般都较大，如果选错账号、输错金额付出去那就直接到账了，没有撤销、退款可以用。

唯一的办法就是打电话给收款方让他转回来，否则就只能报警了。所以大额付款时，企业一般都比较谨慎，都要进行多级审核，最终由专门的出纳来执行付款操作。

2) 付款与反洗钱

由于付款底层走的支付通道与金融机构并无不同，所以拥有了付款能力实际就等于间接拥有了清算能力。

因此持牌机构对于付款客户的场景与额度审核是非常严格的，不仅要审核付款给谁，还要审核钱从哪里来，贸易背景是什么，与收款人的协议关系是什么，付款的周期和额度是多少等等。其目的都是为了防止洗钱业务的发生。

03 Zelle的漏洞在哪里

我们今天了解了这些，我们再来看下Zelle的转账为什么会被骗子利用成为诈骗者的“金矿”。我们先介绍下Zelle这次出问题的Send功能（就是即时转账）到底是个什么产品？

• Zelle是点对点个人银行卡转账网络，他仅支持美国境内的银行卡之间的转账。
• Zelle允许你用手机号和邮箱地址来注册和绑定你的银行卡，他不需要SSN实名认证。
• Zelle转账时只要输入对方注册的手机号或者邮箱就能进行转账，无需输入收款人名称和密码；
• Zelle不支持信用卡转账，转账免费，按不同银行有单笔和单日限额。
• Zelle转账成功不可撤销，但是出现欺诈可以联系Zelle或者银行进行申诉和拦截

其实这次的主要漏洞有三个。

1、Zelle允许用邮箱绑卡

Zelle不允许使用虚拟手机号注册，这点很专业。但是令人大跌眼镜的是，他尽然允许使用邮箱来绑定银行卡，谁都知道邮箱你随便注册多少都可以，根本没有实名认证。

其实这还不是最坏的，你邮箱仅做个转账id，你后面做好实名认证还是可以避免风险的。

2、Zelle没有SSN实名认证

在美国，申请PayPal账户、开设银行账户或申请社会福利通常需要进行SSN（社会安全号码）实名认证。然而，Zelle却不需要进行SSN认证。这里要简单解释下SSN认证：SSN号码：是由美国社会安全局发放的9位数字代码，用于识别美国公民、永久居民及部分非公民。这和我们国家的身份证差不多。SSN认证：是通过SSN号码来验证个人身份，确保金融服务或社会福利的接收者确实是其声称的人。

Zelle和提供账户服务的银行显然在这里犯了一个严重的错误，他让用户未做实名认证的情况下绑定了银行卡。这种情况下就构成了非同名绑定，骗子完全可以绑定任何盗窃的卡信息进行盗刷。

3、Zelle不需要收款人户名

我们国内转账的时候，需要输入对方的卡号、户名、开户银行才能转账。而Zelle只要输入一个邮箱号，无需确认收款人户名和开户银行直接完成转账，成功的让骗子在交易中隐藏了身份。

图2 Zelle的匿名转账流程

骗子通过诱使受害人向指定邮箱转账，实现匿名交易。得手后，他们迅速通过网络或线下ATM转移资金。虽然银行可以通过风控拦截快进快出转账，但银行和Zelle在受害者投诉和申请撤销交易时未采取行动，间接帮助了骗子。

最后，通过今天的介绍和对Zelle案例的分析，读者应该已明白实名认证的重要性，以及在转账和付款时确认对方身份是防止诈骗和错误转账的关键。

04 骗你认知以外的钱

最后，用一张血淋淋的搞笑图片来结束我们今天的文章“骗子永远骗的是你认知以外的钱”。

快过年了，骗子也要争取年终绩效了，大家要多注意防骗，学点反诈知识没坏处。

当然所谓的国际支付机构、国际银行，犯这么多低级错误被骗子利用，也只能说明是个“草台班子”。