苹果手机用户出现盗刷事件 “免密支付”默认开通遭质疑

　　浙江在线10月17日讯（浙江在线编辑 吴盈秋）如果你发现最近支付宝账单里出现App Store&Apple Music的大额消费，请小心被坏人盗刷。近日，全国多地数百名苹果手机用户投诉自己的苹果ID绑定的支付渠道发生莫名其妙的扣款，最高损失已达上万元，而苹果中国公司目前表示无法对这些用户退款。

　　随着移动支付竞争白热化，快捷高效的免密支付应用越来越广泛，有的机构为了推广小额免密支付功能，甚至采取默认或强制开通的方式，导致不少消费者都不知道自己开通了免密支付。

　　小额免密免签支付，就是小额支付无须密码和消费者签名即可完成，在国际上，小额免密免签已是成熟的支付方式，在国内移动支付领域也广泛普及，包括支付宝、微信支付、银联在内的移动支付平台，用户均可以选择开通此功能。因为方便快捷，免密支付在打车、住宿、骑共享单车等小额消费场景中应用非常广泛。

　　而一旦发生盗刷，责任到底由谁承担呢？

　　上百名苹果手机用户被盗刷

　　据《法制晚报》报道，受害人刘女士称，9月24日22时10分，她突然看到自己的苹果手机跳出支付宝通知弹窗，显示于22时09分在App Store付款1000元，几秒钟后又又显示付款1000元。1分钟后，支付宝告知其“成功关闭Apple，and GCBD for iCloud的App Store。”刘女士赶紧查了自己90天内的购买记录。记录显示：她给几款游戏充了值、买了装备，支付达到几千元。而刘女士表示，这几款游戏她并未下载过。

　　刘女士查看了邮件提示和付款平台，发现自己的账户在一台iPhone6手机上登录，而她的手机型号是iPhone6 Plus，刘女士意识到自己的Apple ID（苹果账号）被盗了。刘女士绑定苹果账号的付款方式为支付宝，于是她打开支付宝查看扣款流程，发现先是使用零钱，后转为花呗付款，几笔盗刷是通过“支付宝余额+花呗”，刘女士这才意识到此前支付宝通知当中用过“关闭某项服务”的提醒，其实就是关闭免密支付功能。

　　据《每日经济新闻》报道，10月10日上午，来自辽宁的一位苹果手机用户表示，10日凌晨2点，他的苹果账号被盗，每笔被盗金额不超过1000元，共被盗刷6083元。苹果官方客服给他的回应表示，“他通过个人微信绑定的银行卡，将钱转移到Apple ID，并通过Apple ID为游戏充值。”

　　据媒体统计，本次盗刷事件的受害者达到了上百人，这些被盗刷的苹果用户，大多第一时间联系了苹果客服，有部分消费者获得了苹果的赔款，但是也有不少消费者得到的苹果官方答复是：“表示同情，但无法退款”。

　　据《国际金融报》10月15日报道，有用户甚至已经总结出苹果客服的“套路”：先是索要订单编号或进行个人验证，帮助在系统上申请退款，但系统并不会轻易地通过退款申请。不少用户已经分别与普通、主管、高级三级客服进行沟通，最后获得的反馈仍是“在72小时内进行邮件回复”。

　　10月10日凌晨，支付宝官方微博发布了一条“关于苹果手机的安全提示”。博文表示，支付宝监测到部分苹果用户的Apple ID被盗，由此带来相关账号绑定的支付工具遭到资金损失。对此，支付宝表示已经多次同苹果公司进行联系，苹果公司回复已经在积极解决。

　　支付宝微博声明

　　银行卡丢失后或被免密消费

　　“盗刷事件发生后，我查了微信支付钱包，竟然发现签约了不少免密支付项目，此前我根本没有意识到已经开通了这项功能。”陈小姐告诉记者。

　　黄先生则表示，不久前在百货商场购买了700多元的衣服，刷信用卡付费时竟然被告知不用输入密码，当时还觉得很诧异。最近留意盗刷事件的新闻后，才知道原来是银行卡在没有征求持卡人同意的情况下，已经默认开通了免密支付功能，而且额度高达1000元。

　　“这额度设置得太高了，此前完全没有相关的信息通知，如果哪天卡丢了，其他人捡到银行卡可以利用双免功能实现刷卡消费。”黄先生担忧道。

　　而央视财经频道还报道称，苹果手机“付款信息”中，开通支付宝支付功能的界面中出现了一份名为 《支付宝免密扣款授权的协议》，也就是说，开通支付宝支付功能同时就开通了免密支付。而记者在自己的支付宝账户设置中发现，已经签约开通了苹果应用商店的“免密支付”功能，而在设置“安全月限额”一栏中记者发现，限额被默认选择了“无限额”，而不是其提供的“有限额”选项。

　　“小额”免密消费高达千元

　　随着移动支付竞争白热化，快捷高效的免密支付应用越来越广泛，第三方支付和银联都在这个领域持续发力，上千块钱都已经被划进了“小额”的范畴。据了解，不同支付平台的免密支付规定不尽相同。

　　如支付宝和微信的付款码的协议都需要开启免密支付后才能够看到。在支付宝“付款码”使用说明中的“付款额度”明确，在境内付款时，每笔小于或等于1000元的订单无须验证支付密码。而微信钱包的“付款码”使用说明中也将免密支付的额度限定在1000元~3000元以内。

　　而银联今年6月1日起对所有具备闪付功能的银行卡，均默认开通额度为1000元的免密支付功能，即1000元以下的消费无须输入密码、签名即可完成支付，单卡单日累计交易限额不高于3000元。

　　除了支付机构，很多商家为了提升消费体验，也设置了免密支付，支持其支付工具使用免密支付。如苹果APP商店绑定了支付宝、微信或是银联卡进行支付时，如开通免密支付则没有额度限制，同一身份证同一自然年的额度为300万元人民币。

　　设置免密支付阀值是关键

　　回顾事件，此次因Apple ID被盗造成的损失的用户，具有两个特征：一是用户的账号被盗，二是开通了绑定账号的移动支付平台上的免密支付或自动扣款功能。

　　有业内人士表示，盗窃者可能是通过撞库、黑进密保邮箱、钓鱼等方式获取到受害者的Apple ID和密码，而苹果账户的支付手段（微信/支付宝/银行卡等）是直接和账户绑定，只要盗窃者通过登录受害者的Apple ID，即可将账户里的钱，通过游戏内购、账户充值等形式给“偷”出来。

　　在此次事件中，因用户的Apple ID被盗，犯罪分子直接绕过“支付密码”或“指纹验证”，在苹果官方应用商店完成了支付流程，并购买了游戏道具等，将用户资金“偷出来”。 

　　不过，据了解，虽然苹果官方不限制免密支付额度，但并不意味着用户可以“完全不限额”的支付。

　　支付宝方面在微博中也提醒消费者，建议用户修改免密支付的月支付限额，对于开通了免密支付功能的苹果用户，人民网IT频道再次提醒，请苹果手机用户尽快将月支付限额修改为200元以内，以避免不必要的损失。

　　支付宝上的苹果APP商店免密支付，用户可以设置支付额度

　　持卡人可申请关闭双免功能

　　银联方面表示，双免功能是银联IC卡功能之一，与卡片同步开通，但并不强制使用，持卡人可向发卡行申请关闭双免功能。银联也明确要求各银行持续跟踪并推动银行做好持卡人业务告知工作。

　　另外，银联还表示，目前所有支持小额免密免签的商户均经过严格筛选，在交易时，银联及发卡银行都会通过后台风险监测保证用户的交易安全。

　　值得关注的是，为减少持卡人用卡安全顾虑，银联联合各商业银行为持卡人设置了专项补偿金，提供失卡保障“风险全赔付”服务，对于持卡人的正常用卡损失可进行足额补偿。补偿资金一般于2个工作日直接返回至持卡人指定账户。

　　支付宝也表示，支付宝一直在用技术保障安全，在智能风控的帮助下，目前支付宝的资损率低于千万分之五，远低于国际同行千分之二的水平。而且即便发生了小概率的盗刷，支付宝也有被盗全额赔付的用户保障机制，去年支付宝推出“你敢收、我敢赔”，将保障范围扩大到使用收钱码的码商：被套码也能获得赔付。

　　小贴士：苹果手机用户如何保证支付安全？

　　1、开通账号双重认证

　　对于如何预防Apple ID被盗刷问题，苹果工程师建议用户登录官网https://appleid.apple.com或通过手机设置，开启双重认证。

　　工程师解释说，有了双重认证，只能通过用户信任的设备（如 iPhone、iPad 或 Mac）才能访问本人的帐户。开启双重认证后，用户ID在首次登录一台新设备时，需要提供密码和自动显示在您的受信任设备上的六位验证码。输入验证码后，即确认您信任这台新设备。

　　据悉，双重认证是为 Apple ID 提供的一层额外安全保护，主要是保护用户本人可以访问自己的帐户，即使其他人知道密码也无法访问。

　　2、及时修改支付平台的免密支付额度

　　以支付宝平台为例，签署苹果应用商店免密支付协议的用户可以单独给Apple ID设置免密支付限额，可以在支付宝App里，点击【我的】-【设置】-【支付设置】-【免密支付/自动扣款】-【App Store, Apple Music, & iCloud】-【安全月限额】设定符合自己安全预期的月度限额。

　　微信账户可以选择微信【我】-【钱包】-点击右上角的四宫格图标-【支付管理】-【支付管理】-【自动扣费】-选择【已签约项目】逐个关闭服务即可。

　　（综合广州日报、人民网、北京青年报等）