谷歌于2017年9月在印度以Google Tez的身份推出了Google Pay,在政府的统一支付界面(UPI)平台上进行了大量构建,用于基于移动的银行交易。尽管推出时间晚了,但Google Tez推出后的五周内在该国获得了750万用户。该服务最终于去年重命名为Google Pay,并且由于其易用性而持续流行。但是,此应用程序的易用性也为诈骗者提供了一些有趣的方法来骗取他们的钱,为此,Google现在引入了通知和短信提醒等功能,以进一步减少诈骗。
UPI平台的主要功能之一是不仅可以汇款,还可以发送“收款”请求以接收付款。此功能已通过不同的付款服务(例如Google Pay,PhonePe等)广泛滥用。从个人轶事上讲,诈骗者已经弄清楚了一种作案手法,即向另一端陌生人做出的最初承诺是向他们付款,但由于聪明的困惑,诈骗者发送了收款请求,而不是付款请求,用户然后由于付款服务上的UX设计不良而无意中批准了该申请。
例如,假设某人(卖方)想要出售他们的电话,并且为此,他们在销售平台上发布了清单。然后,卖方收到感兴趣的陌生人(买方)的报价,并安排了交接电话的聚会。在聚会之前,买方疯狂地打电话给卖方,并坚持以创造性的借口通过基于UPI的应用程序付款。买方进一步坚持要求立即转账,并要求卖方接受该请求,以便在其基于应用程序的钱包中收款。卖方在继续通话时接受了请求。但是,卖方没有收钱,而是将自己的钱转移给买方(骗子),因为骗子没有发送付款请求,而是发送了收款请求。惊喜,匆忙和困惑的元素,加上不良的UI决策(例如在付款请求和收款请求之间无法区分足够多的内容,以使用户无法轻松区分两者),骗子就可以成功骗取过目了的目标。这不仅是理论上的骗局,而且关于该骗局的实际报告也得到了广泛报道。
Google已经意识到这些欺诈行为的滋扰,因此采取了多种措施,使这些欺诈行为以及其他一般欺诈行为难以协调。Google Pay应用程序利用了Google的SafetyNet身份验证平台,该平台可防止该平台在面临更大威胁的设备上运行。该应用程序使用PIN输入屏幕来限制未经授权的访问。它还可以防止“已知的不良行为者”在应用程序上重新创建其帐户。如果用户从联系人中发现可疑或未收到某人的收集请求,则该应用会显示突出的“陌生人”警告。
为了使收款请求更加突出,Google现在引入了新的通知以及SMS警报来阐明资金流向。此通知和SMS将突出显示以下事实:批准请求将从用户的银行帐户中扣除款项。
发送收集请求并以这种简单方式接受它们的能力似乎是该平台的缺陷。由这种类型的请求产生的负债似乎比这种请求的实际使用要大得多。我们希望此设计缺陷能在将来得到纠正。