有惊无险 Payoneer用户资金险些被盗 Payoneer升级安全措施 跨境收款需要警惕防范各种恶意

事件进展更新:
Payoneer已经帮助用户追回所有被盗资金,并且承诺为客户开通短信验证码二次验证功能。


针对本次事件,Payoneer高度重视,成立了事件调查组,详细了解此次事件的原委,积极帮助用户解决问题。

根据事件暴露出的问题,Payoneer将作出相应的改进完善措施。其中,短信验证功能已经在2个月前推出,处于测试阶段。有需要的客户是可以单独打电话给客服申请开通手机短信验证码功能,转账、提现、更改账户信息操作都可以进行短信验证。并且预期会在2020年某个时候对所有账户全面启用短信验证。
客服支持方面,Payoneer很快会在华东区域成立全新的本地客户服务支持团队,提供24小时不间断中文客服支持。

 

开篇之前,我们先来聊一聊那个,到底“人之初性本善”还是“人之初性本恶”的哲学话题。《三字经》里开篇就说到“人之初性本善”,意思是人生来本是善良的,因为后天环境的影响,才会产生恶念。而荀子的想法刚好相反,认为人生来就是邪恶的,因为后天学习了道德、学习了分辨是非,才懂得什么该做,什么不该做。

两个论点并无对错之分,共同之处也都认定后天的环境影响所决定人性的善与恶。简单点说,当你整天处于勾心斗角、尔虞我诈、阿谀奉承、见风使舵的恶的环境中,整天为生计疲于奔命中,强烈的趋利性往往会让人迷失方向,反之亦然。这就不难理解无论是跨境电商还是其他行业都会存在各种各样为了利益毫无无节操、更无底线的事情。

荀子认为,人性本恶,是好利求欲的,人人都是“饥而欲食,寒而欲暖,劳而欲息,好利而恶害,是人之所生而有也。”由于人人都有物质欲望追求,是性中自有,不待学而自然的,正是这种物质欲望的追求,决定了人性的恶。司马迁说:天下熙熙皆为利来,天下攘攘皆为利往。我觉得这句话说得真好,这就是功利性的现实,赤裸裸的毫无遮拦。

好了,不说了,老人家们说了一大堆的至理名言,我只想用这么一段人性说提醒一下各位读者:向善与不作恶,同时时刻高度警惕防范各种恶意。这很重要,比如下面这个事件。

Payoneer用户资金险些被盗

Payoneer 是跨境电商卖家使用的最多的收跨境收款工具之一,Payoneer的使用用途广泛,增值服务多,功能也最齐全,Payoneer可以收取跨境电商平台、独立站PayPal提现、affiliate广告联盟、fiverr自由职业者平台以及与全球两千多家合作平台的下发资金。我在《2020年Payoneer派安盈注册与使用完整教程指南》一文中详细整理详述了关于Payoneer的相关知识。但今天,我们要将的是一个Payoneer账户持有人账号险些被盗的事件,希望能给大家一些警示。

昨天晚上大概9点左右,一位读者急匆匆向我反馈,告诉我,自己的Payoneer账户里的钱莫名其妙消失了,账户原有余额8万多,马上又会到账3万多。事情有些诡异,无论时间节点还是被盗手法,都显得非常专业。因为是周末,又是夜晚下班时,用户尝试联系Payoneer客服解决问题,但中文客服全部下线无人接听,用户只能联系美国的客服,一位客服接的电话,但交流也不是很顺利,好不容易弄清楚是怎么回事,紧急冻结,后来想想,细思极恐。

8万元,或许对大卖家来说,并不是一个什么太大的数字,但对中小卖家来说,可能直接影响到后面的生计。经过和用户的一番沟通交流,大致清楚了整个Payoneer账户余额如何被盗的过程,当然,万幸的是,在用户的及时反馈下,最后Payoneer冻结了正在转出的账户,进行了止付操作,不过,必须说的是,在这篇文章发出之时,被盗的资金仍然没有退回到卖家手中,仍然在走程序,当然,卖家已经报警处理。

这里从第三方角度评估整件事情,在我看来,除了用户本身的缺乏足够的网络安全防范意识之外,Payoneer的账户安全性同样有很多地方受到质疑,严厉一点来说,使用Payoneer是不安全的,或者说,使用Payoneer更容易被黑客轻易盗取。用户反馈信息如下:

   

Payoneer资金被转走的过程

我们先来说说黑客是如何盗取Payoneer账户的整个过程,也希望这个事情能给大家带来足够警惕,希望Payoneer官方也能重新评估自身安全性,升级对用户的账户保护功能。整体来说,黑客的手法相当专业,或者说可能预谋已久,下面的一些细节相信大家都能看出。

第一步:

首先,黑客通过“各种方式”获得了用户的qq邮箱密码,而QQ邮箱也正是卖家注册Payoneer的登录账户邮箱。黑客为了避免触发QQ警告,并没有主动修改用户的邮箱密码。

事实上,黑客盗取qq账号在黑客产业内是一件很普通的事情,也很容易得逞,包括我本身在内也不止一次qq密码被盗。而大多数人的qq邮箱又和qq登陆密码一致,也就是说,黑客只要知道qq登陆密码,就可以登陆到qq邮箱上。

对于黑客来说,或许通过在卖家电脑上植入一个键盘记录器,就轻松获得了卖家的qq邮箱。至于怎么植入,我想卖家可能此前打开过一些陌生的邮件附件或者下载过一些不明的软件,在悄无声息的情况下就已经中招了。而键盘记录器可以记录下用户的所以键盘输入信息,并通过内置的程序自动发送到黑客的邮箱中,如此黑客就掌握了qq邮箱密码、payoneer密码以及一些敏感信息。而有些疏忽大意的卖家,为了便于记忆,往往又将邮箱密码和Payoneer密码设置为同一个密码,这就让事情变得更简单了。

第二步:

黑客登录到用户的payoneer账户中,将payoneer余额全部转移到提前注册好的另一个payoneer账户中。注意了,Payoneer是允许账户之间资金转账的,并且是完全免费的。此后,为了避免引起卖家察觉,并删除操作记录,黑客又马上通过电话或者其他方式联系Payoneer客服主动注销了卖家的Payoneer账户。账户注销后,之前的qq邮箱也就被释放出来了。然后,黑客又用这个qq邮箱重新注册了一个全新的Payoneer账户,新注册的账户信息与原先账户一致,误导用户,近期并没有资金入账,以此拖延提现时间。

在操作过程中,每一步都会有一封通知邮件发送到卖家的qq邮箱中,为了避免引起卖家注意,黑客故意将来自Payoneer的邮件设为垃圾邮件,当收到通知邮件后,立即删除。这就是为什么卖家始终没有得到Payoneer的任何邮件通知的原因。

第三步:

到这里,8万元资金已经顺利转入了黑客提前注册好的Payoneer账户中,并将资金进行提现转账。这里猜测黑客此前已经绑定好了提现用途的银行卡,是的,一切顺利的话,几个小时后,钱就顺利进入黑客的银行卡中。

卖家紧急处理:

卖家在下午登陆账号时喵了一眼余额,原本想着很快又会有3万多的英镑和欧元到账,干脆再一起进行提现。但几个小时候后再次登陆到Payoneer账户上查询是否到账时,发现原先的8万多余额全部不见了,并且账户的历史交易记录中没有任何信息,账户变成了一个全新的账户。

卖家立刻打电话给Payoneer客服,碰巧周末,又是下班时间,没有中文客服,找不到人处理,只能打给美国的英文客服。最后,经过一番沟通反馈,Payoneer客服查询后,告知这笔钱正在转账中,可以根据卖家的要求临时冻结这笔转账,并同时冻结这2个账户。然后,再进行后续处理操作。

或许只差1-2个小时,这些钱将落入黑客口袋。好在这场事件,最后有惊无险。不过,在我发布这篇文章,卖家仍然在和Payoneer协调处理账户被盗一事,账户与资金也只做了冻结,资金还没有返回到卖家手中。卖家已经报警,或许这个时候还在和公安部门协调冻结黑客银行卡。

事件分析与总结

先说卖家在网络安全上的疏忽大意。可以毫不夸张的说,绝大部分卖家都存在或多或少的网络安全问题。我们以卖家们最常用的qq邮箱为例,有多少卖家开通过二级独立密码,又有多少卖家是通过腾讯安全app进行二次验证登陆的,显然,大多数卖家为了方便,都没有启用这些繁琐的操作。

说到密码,又有多少卖家的邮箱、亚马逊账号、收款账户、qq邮箱都是共用同一个密码的?我大概能猜想出这个群体一定不在少数。想想看,如果卖家能在邮箱管理方面多一点安全防范意识,或许也不至于让黑客这么轻松得逞。

Payoneer安全上存在的问题

这里不得不说payoneer在账户安全方面做的非常欠缺。整件事情,让我不得不重新评估是否应该继续使用Payoneer账户。

1、Payoneer允许账户之间进行免费转账

允许账户之间进行转账,这是件方便用户的事情。但也留下了重大的安全隐患,因为用户在进行账户之间转账时,几乎没有什么限制就能轻松将账户里的钱转入到其他第三方账户中。毕竟涉及到钱款支付,如果Payoneer能像国内银行一样,多一道防线,能进行一次手机短信验证或者app授权验证,这个钱就不会如此轻易的转走。

2、Payoneer可以错名提现

很多人并不知道,用你的名字注册的Payoneer账号,实际上是可以绑定其他人的银行账号用于提现的。当然,这仍然是一件方便用户的事情,但同样也因为验证不严谨,留下了安全隐患。这种因为错名提现导致的纠纷在以往也发生过,有兴趣可以自行搜索了解。

3、Payoneer的客户本地化处理

Payoneer客服中文热线电话:(北京时间周一到周四9:00 – 20:00, 周五9:00 – 17:00)

Payoneer的中文客服电话在周末和非工作时期无法使用,即便是账户资金被盗的情况下,也没有国内客服可以提供直接支持。最后,而卖家在无法得到支持的情况下,甚至向我求助是否认识Payoneer的客户经理,希望能得到紧急处理,也是无奈之举。想想看,如果卖家发生资金被盗却只能想办法通过关系介绍认识客户经理的方式去解决,俨然这种客服支持有些让人绝望。最后,用户还是自己打电话到美国,用英文方式交流反馈。所以,如果你的英文不够好,你得想好了,尽量不要在夜晚或者周末碰到这种事情,会让你变得很无助。

4、Payoneer注销账户手续方便快捷

老实说,Payoneer注销账户手续真的很方便快捷。你可以选择电话注销或者在线方式注销,只要提供您的全名和地址,出生日期,银行账户后四位,他们注销的效率非常高。

而正是这种高效率,给了黑客可乘之机。这种注销方式,和我们常见的信用卡注销有些类似,但信用卡银行通常会有一个比较长的漫长的生效期。比如:银行通常为了保证持卡人在销户时账户没有欠款,销户申请一般在45天后正式生效,持卡人应在提出销户申请45天后需要再次联系银行确认是否彻底销户。而Payoneer的销户手续,当天销,当天就又可以重新注册。这种高效的意义又是什么?。

要想获得用于销户的信息似乎并不是什么难事。在卖家开设一些跨境电商平台或者帐号时,信息也掌握在一些第三方开户代理公司、或者所谓的招商经理提交完整的审核材料,包括了营业执照、身份信息、信用卡账单甚至银行卡账户信息。也就是说,如果你手上有一套卖家完整的材料,又碰巧获取到了卖家的邮箱密码,那么,卖家的Payoneer账户就变成了你的鱼肉,轻轻松松神不觉鬼不知的把钱转走,把账号销掉。

5、Payoneer提现操作

很多国内的收款公司包括pingping都会在卖家进行提现操作时要求验证手机验证码,这一点和国内的大多数银行官方的APP上进行转账汇款操作一样,也都会要进行手机验证才能完成操作。而Payoneer则完全没有手机验证码操作一说,一键提现倒是非常方便,但这也直接导致了最后一道防线可以被黑客轻易突破。

当然,或者可以将Payoneer使用过程中潜在的安全风险理解为国际惯例,因为在PayPal这样的支付公司中同样存在这些问题。所以,经常收到那些冒充PayPal公司的钓鱼邮件也就不难理解了。比如下面这张看似由PayPal官方发出的帐号被冻结邮件,当点击蓝色按钮后,会跳转到一个第三方网站中,提示让你输入PayPal用户名和密码。如果仔细观察地址栏信息,你会发现这并非PayPal官方网站的页面。这就是专门用于窃取PayPal用户的钓鱼邮件。

同样的情况,我也收到过一些来自冒充跨境电商平台的钓鱼邮件,大概告诉我,平台帐号因为违反政策被冻结,要求登录提交相关资料。或许因为碰的多了,也就习惯性的直接删除这种邮件。

如何账户防范被盗

钱款的安全性是卖家工作中的重中之重,每多一道防线,一个手续,看似让工作流程变得更加复杂,但往往因为这最后一道防线,拯救了自己。这里提供几条加强网络安全防范的参考建议。

1、保持密码的独立性

很多卖家为了方便记忆,会将邮箱、电商平台、QQ、ERP管理后台以及一些第三方网站注册账户的密码设置为一个共同的密码。这一点千万小心了。通常大的网站会比较安全,但如果在一些私人的第三方网站上注册时,要知道网站管理员时可以通过后台获得你的密码信息的。也就是说,这个第三方是可以进入你的邮箱,查看你的邮件记录,找出那些有价值的线索,继而入侵你的平台以及收款账户。所以,建议不同的网站设置不同的独立密码。也可以使用LastPass这样的密码管理器,存储常用的密码,但核心的账户密码建议还是保存在自己的脑子里。

2、有条件的请更新为Mac系统

众所周知,Windows系统使用用户数量最多,但也因为树大招风,一有漏洞就会被别有用心的人利用,大部分黑客软件都以windows版本为主。而Mac系统本身相对来说要安全的多,苹果的系统源自unix,相对更封闭。一般来说mac不需要什么杀毒软件,app store上架的APP都是经过苹果官方安全测试,原则上不要轻易输入自己的管理员密码,即可保证电脑的安全使用。

3、避免向第三方泄漏个人信息

在申请一些平台招商入驻时,会被要求提交各种各样的身份材料,包括营业执照、身份证、户口本甚至信用卡账单这些。原则上,请通过官方正式渠道提交,尽量避免通过第三方代理服务商提交材料。如上面Payoneer进行注销账户这种敏感操作时,只要求告知账户所有者的全名和地址,出生日期,银行账户后四位即可,而这些资料可能在之前申请入驻时就已经被保存在第三方手中,甚至已经发生泄漏。不要掉以轻心,即便像亚马逊这样的公司,也有贩卖用户信息的不良记录,小心为妙。

4、启用二次验证并绑定手机短信验证

如果是QQ邮箱,那么手机下载腾讯手机管家APP,并启用里面的邮箱保护功能。登录邮箱必须通过手机APP扫描授权,而且当QQ邮箱出现异常登录时,会及时提醒保护。

5、及时提现账户里的余额

我不止一次建议卖家不要在第三方收款账户中长时间保留余额。有的卖家可能考虑到汇率问题,希望等待一个比较好的汇率,可以多一些换汇收入,有的卖家或许并不急用钱,认为放在自己银行和第三方账户是一样的,而有的卖家是为了用于支付一些物流费、税费,必须保留这些余额。

卖家们应该始终记住一个跨境收款的原则:落袋为安。这个也特别适用PayPal。只有真正进入自己银行账户的钱才是自己的,存储在第三方收款公司,即便是有很强的品牌背景和官方背书,也同样会出现问题。

总结

尽管如此,想要完全杜绝黑客窃取事件仍然任重道远。但不得不说,从收款公司的账户安全防护角度来说,国内的大多数收款公司做得都比海外公司要更好。我们可以理解为中国的收款公司更接地气,更懂中国卖家。至于PayPal和Payoneer的安全性问题,这已经是老黄历了,网上搜索相关案例,你能找到一大把账户被盗的信息,特别是PayPal。因为这些安全问题、本地客服支持问题,海外的跨境收款机构屡遭诟病,这也难怪卖家在遇到账户如此轻易被盗事件后,忍不住破口大骂Payoneer垃圾的原因。

在目前国内跨境收款竞争越来越激烈的背景下,获得客户的成本也越来越高。卖家在选择收款公司时,会从费率、使用广泛度、创新能力、客户服务支持、品牌美誉度以及安全问题上,全面评估并做出最终选择。建立口碑并不容易,但毁掉自己却是分分钟的事情。作为一个使用Payoneer和PayPal超过10年的老用户,隐约有些体会,这2家来自美国的跨境收款公司所走的路线和运营方式像极了两兄弟。PayPal拿到了中国的第一张外资支付牌照,Payoneer传闻正在排队等待成为第二张牌照的跨境支付公司。两家公司有着非常多的相似之处,除了收费方面处于行业领先地位,在安全上的做法也沿用了国际惯例,保持了“舶来品”的一贯做法,因为品牌和知名度,以及海外专业的市场拓展能力,这2家公司做得出类拔萃,成为最被广泛使用的跨境收款公司。

当然,谈到“舶来品”,我们理解为不接地气,不懂中国国情。对付“舶来品”,历来也是中国企业的拿手办法,其最简单粗暴的方式就是把费率拉到海平面以下,这就不奇怪短短2-3年时间,费率就从行业平均3%,降低至0.5%,甚至更低。这让我想起了早年的淘宝和ebay之战,为了争夺市场,淘宝实行免费政策,短短一年不到,ebay就被迫撤离中国市场。今天的Payoneer似乎仍然如此,在行业内除了拥有最高费率1.2%外,这次爆出的安全性与客户支持问题,不得不替Payoneer捏把汗。价高质低,不应该成为Payoneer的代名词。

跨境创业方式:
⭐️亚马逊全球开店 ⭐️WooCommerce独立站 ⭐️Shopify独立站
⭐️Dropshipping独立站 ⭐️WordPress建立Affiliate网站 ⭐️WordPress博客写作 ⭐️YouTube频道运营
跨境收款方式:
⭐️PayPal 全能型跨境收款付款工具 ⭐️Payoneer 支持平台的收款工具
⭐️Stripe 主流信用卡收款渠道 ⭐️拍住赏Tap & Go 小额PayPal提现
⭐️Velo华美银行 可签发美国visa借记卡和担保信用卡
跨境常用工具
⭐️Siteground主机 性价比最高的主机
⭐️Avada模版 全球销量第一的商业主题模版
⭐️NameCheap 性价比最高的域名注册渠道
⭐️Helium10 亚马逊卖家必备工具包
⭐️AliDropship 用于woocommerce的dropshipping插件
⭐️实用的美国地址服务 US Global Mail
⭐️在国内也能申请得美国高福利信用卡
⭐️免费的美国电话号码:Google Voice
⭐️谷歌云300美元赠金
运营身份选择
⭐️运营身份对比 ⭐️注册美国公司 ⭐️申请EIN联邦税号
推荐阅读
⭐️跨境创业新人零基础入门导读
⭐️辞职做跨境电商的风险与警示
⭐️个人单打独斗开展跨境创业
⭐️在小城市生活赚大城市的收入
⭐️从跨境资金流向找准创业方向
Share: