利用“京东白条”漏洞盗刷110万，消费金融风控隐忧仍存

本篇文章1469字，读完约4分钟

图片来源:中国视觉

近日，长沙市天心区法院对2017年大学生“京东白条”诈骗案进行了一审判决。王某等9人利用他人身份注册京东账户恶意赊购，骗取京东金融110多万元货款，构成诈骗罪。上述9人，包括王某，因诈骗罪被判处有期徒刑10年9个月至1年2个月。

这起欺诈案还导致京东金融陷入舆论争议。京东金融告诉时代财经，2017年7月，该公司先后发现犯罪分子窃取他人身份信息并开立欠条账户。“出于安全考虑，我们在事故发生后及时取消了这种核方法，并将其升级为智能核手段，如人脸识别。”

漏洞

官方网站显示，“京东白条”是京东推出的全新支付方式，消费者可以通过“京东白条”在京东商城享受先消费后支付的待遇。这种支付方式让湖南大学生王发现了所谓的“商机”。

2017年2月，王在长沙一所大学附近的网吧里买了一张学生丢失的身份证，然后他又买了一张手机卡。

面对当时的人工审查，王某挖了空，先用购买的身份证上的信息和新购买的手机号码在Xuexin.com注册了一个账户，并查询了该身份证对应的学生身份信息。随后，通过查询学生身份信息，王申请了京东账号，并提交了“京东白条”信用购买业务的申请。

提交“京东白条”申请后，王将自己的身份证和学生身份信息交给同乡张，张利用身份证持有者的学生身份信息来到学校，找到学校主管京东面对面签证官(当时一般是大学生兼职)进行现场面对面签证。根据案件资料，面签人员在没有仔细核对当时身份信息的情况下完成了初步审查，然后将初步审查数据发送到公司后台进行最终审查。

经批准后，王利用“京东白条”的信用额度在京东平台上购买了一部价格超过6000元的手机，并将其投递到张在平台上留下的地址。手机到手后，王立即将手机邮寄到深圳，然后以88%的价格将赃物卖出，获利5200元。

尝到甜头后，王某和张某开始大规模招兵买马。通过上述类似手段，王某等9人骗取京东金融110多万元货款。

“京东白条漏洞欺诈是指欺诈者利用平台的技术和审计漏洞，利用他人的身份信息进行欺诈的行为。该平台不仅面临财务损失的风险，而且被窃取身份信息的用户还面临还款和个人信用风险。”互联网金融研究机构零一研究所所长俞白成在接受时代财经采访时表示。

风力控制

事实上，“京东白条”并不是这样。近年来，随着消费金融市场的不断扩大，利用漏洞套现和骗取贷款的案件频频发生。

2018年6月，消费金融公司“即时金融”也爆出了员工贷款诈骗案。即时金融前员工陈某多次与他人合作窃取他人身份信息，诈骗即时金融8.8万元。

业内人士表示，随着消费金融的快速发展，行业竞争加剧，许多消费金融公司没有适当的风险控制来抢占市场也是一个普遍现象。例如，在这种情况下，“京东白条”为学生开辟了一个专属渠道，只需提供姓名、身份证号码、手机号码、学校位置和学生身份等基本信息，并通过了大学生兼职“面授”考试。事件发生后，“京东白条”立即取消了这种人工审核方式，将其升级为智能核手段，如人脸识别。

“欺诈团伙利用平台的技术能力薄弱、缺乏风险控制能力，成批购买身份证来骗取贷款。许多平台也采取了行动。”余白成说道。

互联网金融研究机构“萨克研究所”的高级研究员苏持有类似观点。她认为，虽然大平台拥有相对完整的风险控制体系，但不排除在大平台上推出新业务时，由于以往经验不足等原因造成漏洞，造成平台损失。

对于消费金融公司来说，风险控制与业务量密切相关，相互制衡。宽松的风险控制政策可以带来较大的业务量，但可能导致风险聚合；严格的风险控制政策可以减少风险暴露的机会，但在扩大规模和盈利方面可能会有不利之处。