信用卡申請(qǐng)
首頁(yè) >  信用卡中心 >  信用卡資訊 >  危險(xiǎn)的“暗門(mén)”

危險(xiǎn)的“暗門(mén)”

      

   每張信用卡,都可以輕松盜刷,只要你懂得利用現(xiàn)行第三方支付系統(tǒng)中的一個(gè)小小的漏洞。

   比如,只要打通了信用卡“離線支付”和“過(guò)卡支付”——兩個(gè)原本并行無(wú)交集的系統(tǒng),你就可以從別人的銀行信用卡中把錢(qián)劃走。

   這些錢(qián),將如同多數(shù)的信用卡離線支付一樣,依次經(jīng)過(guò)發(fā)卡銀行、銀聯(lián)、收單銀行、第三方支付機(jī)構(gòu)之手,抵達(dá)你的賬上。

   當(dāng)然,信用卡持卡人可能總有一天會(huì)發(fā)覺(jué)錢(qián)不見(jiàn)了,但他也將無(wú)可奈何,因?yàn)檫@種無(wú)頭公案,最后總是找不到負(fù)責(zé)的人。從發(fā)卡銀行、銀聯(lián)、收單銀行,到第三方支付機(jī)構(gòu),都只會(huì)把他當(dāng)皮球踢。

   于是,這個(gè)可能釀成金融風(fēng)險(xiǎn)的漏洞迄今沒(méi)有完全補(bǔ)上。于是,被“盜刷”的錢(qián)仍在源源不斷的流入發(fā)現(xiàn)這玄機(jī)的精明鬼手里——這些第三方支付機(jī)構(gòu)的簽約客戶(hù),至今還沒(méi)有誰(shuí)被投入監(jiān)獄。

   這堪稱(chēng)世界上最安全的犯罪。直到最近的這一周,這一切混亂才終于引來(lái)一場(chǎng)監(jiān)管風(fēng)暴,矛頭指向給上述盜刷造就風(fēng)險(xiǎn)缺口的第三方支付平臺(tái)。

   6月21日,央行發(fā)布《非金融機(jī)構(gòu)支付服務(wù)管理辦法》,要求非金融機(jī)構(gòu)必須在申請(qǐng)和獲得相關(guān)牌照后,方可從事支付服務(wù)。

  “(第三方支付)這個(gè)領(lǐng)域新的風(fēng)險(xiǎn)隱患相繼產(chǎn)生?!毖胄邢嚓P(guān)負(fù)責(zé)人在解釋對(duì)第三方支付實(shí)施準(zhǔn)入制的背景時(shí)說(shuō),比如支付服務(wù)相關(guān)的信息系統(tǒng)安全問(wèn)題等。”

   那一串?dāng)?shù)字里的秘密

   陳方(化名)是那些莫明其妙的買(mǎi)單者之一。

   這位普通的工薪族,平時(shí)使用信用卡的次數(shù)很少,每個(gè)月都細(xì)心地核對(duì)對(duì)賬單。這讓他很容易發(fā)現(xiàn),在自己招商銀行信用卡的9月份扣款中,多出了記憶之外的一筆,金額300元。

   陳方給招商銀行信用卡中心撥去電話。幾番溝通后他獲知,這筆錢(qián)由網(wǎng)銀在線為“樂(lè)在上?!贝圩吡?。

   陳方回想起來(lái),一個(gè)多月前,他在街頭遇到“樂(lè)在上?!钡臄傸c(diǎn),工作人員熱情地向他推銷(xiāo)一種本市消費(fèi)折扣卡,并許諾30天試用期過(guò)后不續(xù)訂可自動(dòng)取消,然后遞給他一張?jiān)敿?xì)的個(gè)人資料登記單。

  “要填信用卡卡號(hào)???”陳方有點(diǎn)起疑。

  “放心好了,沒(méi)有密碼我們劃不了款,這只是個(gè)資料搜集。”工作人員說(shuō)。

   陳方想起自己的信用卡密碼,放下心來(lái),把卡上的數(shù)字抄在單子上。

   后來(lái)的事表明,正是這串“數(shù)字”,讓陳方的信用卡成了“樂(lè)在上海”的提款機(jī)。

   隨后,在與“樂(lè)在上?!?、招商銀行溝通均無(wú)果后,陳方聯(lián)系了本市電視臺(tái)新聞熱線。很快,一直聲稱(chēng)“持卡人責(zé)任自負(fù)”的招商銀行,歸還了陳方上述扣款。

   記者了解發(fā)現(xiàn),上述款項(xiàng),依次經(jīng)過(guò)招商銀行(發(fā)卡銀行)、銀聯(lián)、網(wǎng)銀在線(第三方支付平臺(tái))、收單銀行,抵達(dá)“樂(lè)在上?!辟~上。

  “我們是這件事的受害者,墊付了這筆錢(qián),現(xiàn)在只能計(jì)入壞賬?!闭猩蹄y行信用卡中心宣傳策劃室副經(jīng)理丁詩(shī)妮表示。

  “我從沒(méi)聽(tīng)過(guò)這種案例,也不知道問(wèn)題出在哪?!敝袊?guó)銀聯(lián)一位相關(guān)負(fù)責(zé)人說(shuō):“銀聯(lián)只是跨行信息轉(zhuǎn)接,網(wǎng)上銀行的控制由各銀行控制,或者第三方支付機(jī)構(gòu)。”

  “我們不會(huì)插手?!本W(wǎng)銀在線人士對(duì)本報(bào)記者說(shuō):“風(fēng)險(xiǎn)控制是銀行的事?!?/FONT>

   至發(fā)稿時(shí),“樂(lè)在上?!狈矫嫖磳?duì)記者的求證作出回應(yīng)。

   記者了解發(fā)現(xiàn),案例中的收單點(diǎn)簽約,是由第三方支付機(jī)構(gòu)——網(wǎng)銀在線完成的;相應(yīng)的風(fēng)險(xiǎn)控制漏洞,亦由此而來(lái)。

   危險(xiǎn)的“第二種密碼”

   “中國(guó)信用卡使用規(guī)則和美國(guó)等地的通行規(guī)則不一致,造成了操作上的混亂?!币晃恢袊?guó)銀聯(lián)美國(guó)分部人士告訴記者。

   信用卡的使用,分為“過(guò)卡交易”和“離線交易”兩種。前者由持卡人持信用卡在商場(chǎng)、超市等“實(shí)體店”的POS(銷(xiāo)售終端)機(jī)“刷卡”,并簽字授權(quán),完成交易。

   離線交易,則常見(jiàn)于酒店、航空公司銷(xiāo)售中心、公司財(cái)務(wù)等,同樣通過(guò)POS系統(tǒng),提供信用卡賬號(hào)及其驗(yàn)證碼,即可完成交易。

   在美國(guó)等信用卡起源地的多數(shù)西方國(guó)家,信用卡不設(shè)密碼,兩種交易方式中,交易憑證僅為簽字或驗(yàn)證碼。

   而在中國(guó),根據(jù)本土消費(fèi)習(xí)慣,銀行往往鼓勵(lì)持卡人給信用卡設(shè)置密碼,來(lái)保障用卡安全。

  “這種雙軌制的信用卡體系下,中國(guó)消費(fèi)者幾乎都不知道驗(yàn)證碼的存在,更沒(méi)有相關(guān)的風(fēng)險(xiǎn)意識(shí)。”一位銀聯(lián)人士表示。

   信用卡的驗(yàn)證碼,被稱(chēng)為CVV碼。它是一串3位數(shù)字,由卡號(hào)、有效期和服務(wù)約束代碼,經(jīng)過(guò)發(fā)卡銀行的編碼規(guī)則和加密算法生成。

   根據(jù)信用卡卡種和印刷位置的不同,還有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡號(hào)后面。

   陳方在“樂(lè)在上海”資料單上填下的,正是其招商銀行信用卡卡號(hào)和CVV碼。

   在招商銀行信用卡中心提供的“信用卡(個(gè)人卡)通用申請(qǐng)表”及所附“信用卡(個(gè)人卡)通用領(lǐng)用合約”上,都沒(méi)有任何介紹性、警示性文字涉及CCV碼。

   在信用卡用戶(hù)與招商銀行簽訂的唯一一張合約,及銀行網(wǎng)站上能找到的“信用卡介紹”中,CVV碼絲毫未被提及。

   絕大多數(shù)的持卡人對(duì)CVV碼的第一次接觸,發(fā)生在網(wǎng)絡(luò)支付的實(shí)際操作中——“請(qǐng)輸入信用卡卡號(hào)后三位數(shù)字”。但沒(méi)有多少持卡人意識(shí)到自己正在使用另一種“密碼”,它也需要保護(hù)。

   招商銀行不是孤例。記者查閱了建設(shè)銀行、工商銀行等行提供的信用卡章程,上面均無(wú)任何CVV碼的使用保管提示。這似乎是個(gè)沒(méi)有公開(kāi)原因的行業(yè)慣例。

   找不到買(mǎi)單者

   正是利用這個(gè)慣例,“樂(lè)在上?!贝蛲诵庞每ㄖ小半x線支付”和“實(shí)體店”——兩個(gè)原本并行無(wú)交集的支付系統(tǒng),找到了一條生財(cái)之道。

   根據(jù)其營(yíng)業(yè)執(zhí)照,“樂(lè)在上?!边\(yùn)營(yíng)機(jī)構(gòu)為上海鵬楊廣告有限公司,它的經(jīng)營(yíng)范圍僅為廣告業(yè)務(wù)。實(shí)際經(jīng)營(yíng)中,鵬楊廣告的主業(yè)則為發(fā)行“會(huì)員消費(fèi)折扣卡”,向商戶(hù)收取推廣費(fèi)并向“會(huì)員”收取會(huì)員費(fèi)。

   身為實(shí)體店,“樂(lè)在上海”卻向網(wǎng)銀在線的上海分部,申辦了“離線支付”業(yè)務(wù)。

   根據(jù)雙方簽訂的服務(wù)協(xié)議,網(wǎng)銀在線在互聯(lián)網(wǎng)建立支付服務(wù)平臺(tái),向?qū)嶓w店“樂(lè)在上海提供”電子商務(wù)應(yīng)用服務(wù)。

   協(xié)議期,“樂(lè)在上?!笨傻顷懢W(wǎng)銀在線的服務(wù)平臺(tái),在“信用卡遠(yuǎn)程支付MOTOPAY(即離線支付)”一欄下,登陸被提供的賬號(hào),輸入客戶(hù)的信用卡卡號(hào)與CVV碼,便可自行輸入金額,進(jìn)行劃款。

  “責(zé)任就在這個(gè)環(huán)節(jié),樂(lè)在上海的收單銀行,對(duì)它沒(méi)有進(jìn)行應(yīng)有的實(shí)體店資質(zhì)監(jiān)控?!倍≡?shī)妮認(rèn)為:“它們亂設(shè)收單POS,授權(quán)POS?!?/FONT>

   但招行自己并不在“亂設(shè)POS的收單銀行”之外。

   據(jù)記者了解,在網(wǎng)銀在線向“樂(lè)在上海”提供的支付服務(wù)中,協(xié)議銀行包括招商銀行、中國(guó)工商銀行、中國(guó)建設(shè)銀行、興業(yè)銀行、廣東發(fā)展銀行、中國(guó)銀行及VISA、mastercard等多個(gè)境外銀行聯(lián)盟。

   這意味著,幾乎中國(guó)所有的銀行,都被網(wǎng)銀在線網(wǎng)羅,會(huì)向“樂(lè)在上?!眰兲峁┦諉畏?wù)。

   而拓展這種收單服務(wù)中,第三方支付機(jī)構(gòu)網(wǎng)銀在線向市場(chǎng)鋪設(shè)各類(lèi)POS時(shí),銀行與實(shí)體店并不發(fā)生任何接觸,亦沒(méi)有相關(guān)資質(zhì)審核。

   那么,商戶(hù)資質(zhì)審核是誰(shuí)的責(zé)任?

   在各類(lèi)離線支付過(guò)程,在發(fā)卡銀行和收單銀行之間,至少1個(gè)或2個(gè)“中轉(zhuǎn)商”,或是第三方支付平臺(tái);或者是第三方支付平臺(tái)和銀聯(lián)。

   在這種“離線支付”產(chǎn)業(yè)鏈中,銀聯(lián)作為信息轉(zhuǎn)接者,的確不涉及商戶(hù)的資質(zhì)管理、風(fēng)險(xiǎn)控制。不過(guò),銀聯(lián)亦有子公司進(jìn)行第三方支付業(yè)務(wù),并在該行業(yè)市場(chǎng)份額占據(jù)前三。

   “資質(zhì)管理的責(zé)任,在商戶(hù)備案的收單機(jī)構(gòu)?!闭猩蹄y行信用卡中心項(xiàng)目經(jīng)理張記洲告訴記者:“誰(shuí)對(duì)接商戶(hù),就應(yīng)該誰(shuí)對(duì)這個(gè)實(shí)體店進(jìn)行資質(zhì)管理。”

   第三方支付之患

   而這個(gè)案例中,商戶(hù)對(duì)接的是網(wǎng)銀在線。但網(wǎng)銀在線并不認(rèn)為自己應(yīng)對(duì)此事責(zé)任。

  “我們不會(huì)插手,此事由商戶(hù)與用戶(hù)協(xié)商處理?!?前述網(wǎng)銀在線總部人士說(shuō)。

   在網(wǎng)銀在線與“樂(lè)在上?!钡雀黝?lèi)商戶(hù)的合約中,此類(lèi)風(fēng)險(xiǎn)被明文“規(guī)避”。按照合約,網(wǎng)銀在線不介入商戶(hù)和持卡消費(fèi)者或任何第三方之間的交易糾紛,商戶(hù)應(yīng)獨(dú)自承擔(dān)因其銷(xiāo)售的商品或服務(wù)引起的各類(lèi)責(zé)任。由于商戶(hù)責(zé)任造成網(wǎng)銀在線所提供服務(wù)引起的法律上的責(zé)任,由商戶(hù)負(fù)責(zé)或追究有關(guān)方面的責(zé)任,與網(wǎng)銀在線無(wú)關(guān)。

   至于此種“合約規(guī)避”是否合法,并無(wú)相關(guān)法規(guī)明確。

  “這是行業(yè)通行規(guī)則,交易風(fēng)險(xiǎn)是商戶(hù)的責(zé)任?!本W(wǎng)銀在線人士對(duì)記者說(shuō):“信用卡欺詐的防范義務(wù)在于商戶(hù),我們提供信用卡防欺詐系統(tǒng),給他們一定參考?!?/FONT>

   那么,如果不是消費(fèi)者失誤而是商戶(hù)有意“欺詐”,防范義務(wù)又在誰(shuí)呢?這一點(diǎn)并不清晰。

   至于對(duì)商戶(hù)的資質(zhì)審核,網(wǎng)銀在線認(rèn)為:“樂(lè)在上海說(shuō)他們是網(wǎng)銀的合作伙伴,那資質(zhì)一定沒(méi)問(wèn)題了?!?/FONT>

   而“合作伙伴”一說(shuō),其依據(jù)是“樂(lè)在上?!弊约涸谀硞€(gè)網(wǎng)頁(yè)上發(fā)布的一段廣告。

  “這是個(gè)行業(yè)性問(wèn)題?!币晃坏谌街Ц缎袠I(yè)風(fēng)險(xiǎn)控制人士說(shuō),作為創(chuàng)新性很大的新興行業(yè),第三方支付存在不斷更新的欺詐手段。

   該人士認(rèn)為,案例的風(fēng)險(xiǎn)控制缺口在于,網(wǎng)銀在線作為第三方支付平臺(tái),理想狀態(tài)下,應(yīng)該保證自己的簽約商戶(hù)不會(huì)保存客戶(hù)核心支付資料,特別是案例中信用卡卡號(hào)、CVV碼等。

   在支付行業(yè)的國(guó)際通行認(rèn)證PC中,上述商戶(hù)資質(zhì)審核被明確要求。

   然而,根據(jù)公開(kāi)材料,網(wǎng)銀在線直至2010年2月,方通過(guò)PCI認(rèn)證。

   這是否意味著此前的網(wǎng)銀在線簽約商戶(hù),均未通過(guò)上述資質(zhì)審核?而網(wǎng)銀在線之外的其他眾多支付企業(yè),又有多少仍未經(jīng)過(guò)PCI認(rèn)證?仍不得而知。

   或許,央行即將實(shí)施的第三方支付行業(yè)準(zhǔn)入制,可能是目前能寄望的一條出路。

  “考慮支付服務(wù)的專(zhuān)業(yè)性和安全性要求等,(支付服務(wù)牌照)申請(qǐng)人應(yīng)符合內(nèi)控制度、風(fēng)控措施等方面的規(guī)定”。央行相關(guān)負(fù)責(zé)人在6月21日表示,將會(huì)在隨后的管理辦法實(shí)施細(xì)則中,細(xì)化技術(shù)安全檢測(cè)認(rèn)證證明等方面的法規(guī)。

關(guān)注 卡寶寶 (ID:cardbaobao2021)公眾號(hào) ,獲取更多放水資訊,學(xué)習(xí)更多提額秘方。


卡寶寶公眾號(hào) 卡寶寶申卡
看過(guò)該文章的網(wǎng)友還看了