【高州情】高州人深圳站
标题:
只要你把信用卡给我看一眼,我就能取你的钱。信不信由你!
[打印本页]
作者:
Longe
时间:
2010-6-25 17:20:37
标题:
只要你把信用卡给我看一眼,我就能取你的钱。信不信由你!
信用卡存危险盗刷暗门:利用第三方支付系统漏洞
& M8 H) ^0 v8 Z4 r, p$ h/ v0 _" j
! _* m* ~% M7 k h
+ X6 F3 F. b6 C5 k* Q7 v
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。
9 r; m$ v. d" X
( G0 { ?/ U. G) m* G
比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。
" p( f+ O! D# @1 R4 c
. @' K. Q" y* e6 s3 Z6 B/ Q
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。
- w& K; h4 M- f
3 t/ d. v% t% e& k+ Y0 y
当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
; l8 q. G' i4 Y; C: i4 \' e8 t
* j4 ^% Y* ?9 _8 N! u/ E
于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
/ Q4 L) j# H& D2 V/ Z/ G
) S/ @' t5 A {! G
这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
" `7 q! t7 T; [& F& w' ^/ m
9 F2 q9 a+ T# W( g; k3 C
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
" u% H: m8 R/ _- g0 [, M% {
8 k( y# C, j- t5 k5 Q0 `
“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”
, k i9 Z$ Y3 J9 A$ I0 f+ `5 q
! P7 o( p+ {" I$ X2 e7 S
那一串数字里的秘密
; B* U$ S: ^2 Q3 \
' q1 f- g5 `' Z2 y
陈方(化名)是那些莫明其妙的买单者之一。
% P0 b" g8 V5 V8 C' P: U
. M1 ?( R% i' b
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
d4 T1 f& B8 h5 g/ ~& R, t
$ Z( T' c; V, `! A
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
' N+ ]! K. d0 N" b4 C1 V
o/ t& D3 y( v6 f' A: L; |/ I* e7 ]
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
6 T- g+ N6 _" K# b; T/ l
) \4 U% |! O; v4 G* c) S5 S+ b
“要填信用卡卡号啊?”陈方有点起疑。
2 f b& o3 a, A- S
/ O: R- J: k) M$ o
“放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。
* o" z$ j7 Z. ?6 T& o5 t+ L; g
$ T* G y) Z6 D9 [) w. ]
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。
- {2 I6 Y2 z8 {; V3 g' I' C# R9 ^. @
; L8 @; p" |/ C7 K( \( Z1 V6 h
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。
7 D9 W8 F0 p7 a/ s! M* C
/ N; R7 K( y+ Y, I0 D' b7 \
随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
. ?* l/ e" `0 E* m
: {& c9 d. v% |
记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。
$ F' B/ _) x* `! ?* I& _2 w) W" Z
+ Y. v! K& d0 d V# T0 k) z
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
7 m- ?. o2 t8 B' t& ^- u d
- O7 Y( Y( ?9 d9 W J1 w8 b% j" ^
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
5 C. {# E+ X4 i! ~0 D4 j
. V# Q$ E3 S u) I
“我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”
$ ]# T$ K* P6 }+ {$ F& ^6 O5 o) {+ ^
6 |1 ?# c8 q1 L' `; Y4 G0 C
至发稿时,“乐在上海”方面未对记者的求证作出回应。
/ m8 k! c0 w W) t3 B
2 r% t8 `: p2 C( [& ]' O
记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。
3 ~6 I9 y# W* s- `0 x( j9 b
5 I/ O& t+ f) \$ O
危险的“第二种密码”
2 [) w) o! M0 Q/ f- R
1 U5 i; j! w# E" Z+ { l* b) |2 |
“中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。
I/ w0 q9 V% ]5 `# w# t
. Z( q' ?, @2 ]) ?" u3 N: v
信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
8 l4 ^' [1 n) T+ [& x
& d' G( Z. t3 [8 t7 Q5 x: y' K( U
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。
4 ~. S$ r4 X- T0 T- k/ l
" M$ W4 u H+ f+ U6 l1 L6 c
在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
/ y* G" D T/ a5 X9 {
+ V2 O/ u' p8 L. _
而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
$ m4 [& U7 k: T) [
% B4 L2 M8 h# b, X! I1 C/ s, x
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。
+ Q' x2 d" N1 t' D" J( M4 H
+ ~7 b% g6 q) o D. u! f: n) j
信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
' U9 d' X8 h) q/ `( S
; Q" i( z0 W8 B3 H
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。
0 O% P! m j* R" b Z5 c
# }9 w' ~3 Y' k4 ~; k
陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。
( o. V6 F: a9 \
* k8 R w" ?* c& V$ H4 o. p
在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
5 [# R' i0 L, y
) }) K+ ?* l+ D3 `( n
在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
8 z+ F) i" ^9 G3 K3 F' U- K
4 g# t2 e: @2 |: ~7 f. h. e- H
绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。
3 L' k! U! Y8 }; Z2 a$ x2 A
3 O( u% J) P: U# e4 o
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。
$ E* E3 y: B% N0 S3 k' Y8 Z& X
/ b9 A4 j: A/ S7 S6 M9 T
找不到买单者
0 V' g- R w+ f8 [$ M3 p
4 l# A+ S P2 g4 \, _+ n$ u/ h
正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。
& q7 U2 ^+ J$ w
9 _! U+ ~, ]: X2 o5 h7 ~# m/ r7 [2 C/ o0 j
根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
; ?; h% V0 B% X2 n8 `
5 @' G$ N- K& h; ]$ E/ ^
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
, P: |7 y- ~% W$ ?/ u
! A! q1 M# j: d) j# ?$ Y8 f# }
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。
3 a J2 I# |7 E
. m7 V, }# ~& o. P+ }) {5 z
协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
1 s% T8 o+ ^' B
! g5 y V9 o n1 m! l' ]4 t9 v G
“责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”
$ Y) f R, ~& F$ m1 e
/ M& K( x8 s$ C* u3 G
但招行自己并不在“乱设POS的收单银行”之外。
' R$ B, G" ~6 ?) s* ~- }8 q& H3 l* n
; _0 g9 {! j- r, h0 h7 I) P) V' D; O$ {
据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。
* i! C4 c$ c+ t8 y: V! n1 K s$ |
h' O9 O+ r. J/ [) j
这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。
* F' l1 s0 B0 R; |
5 l( X7 w4 [, V& T4 [5 l5 r! _
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。
% [( H- s6 a! B/ M: C, d1 X
M8 c" |( @3 p4 @* k) l& O
那么,商户资质审核是谁的责任?
% }( h* ? ^. U$ G; O# z. \
1 j2 M/ r8 ^. U. Q8 ]* R+ ?
在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
0 ~- J# v, f! U6 l8 @# U } H
) W: t- P' j. R. P
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
) p7 {6 Q9 T; Y/ l
+ ~5 G; {) i" f
“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”
7 z8 w0 R2 m$ I- I2 U
+ J* X; z8 @2 Q4 k; `+ D9 G7 d
第三方支付之患
! f" V) ?7 s3 F, W
' o4 ]. U7 t: C, b
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
2 u- E4 }" ^( e! d$ X5 Q$ s
7 _! A; a6 F, W: X2 i7 L
“我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。
8 A" z' I7 a; f1 N8 S) f8 o: \
0 X7 M( K% Y6 `" D
在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。
; p4 h8 d. u ]
& ^" p3 C3 O; r. G+ V
至于此种“合约规避”是否合法,并无相关法规明确。
# @# [) w- S; N. L) t& B" H
/ v/ h& }: z. c1 u; j
“这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”
# T; J& A z! V8 _. J
* l+ G' x' S& ~* J! O! c
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
" @! D: D# l( V E& F. R
. A6 ?; [6 z. i4 x
至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”
1 c! p" P$ [' e. m. [
& W" w$ S3 f& E3 A
而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
* M4 U0 o- o/ z# Y/ n# X
8 Y6 X( [% i3 m; Q) C
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。
. o! b' Y% }. U" s6 s4 _1 u9 P5 p
; k. P: U( f' N; f: ~ y' I
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。
) |) ~$ V' {& _" V
9 p% N8 b" S2 r& K8 }
在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。
3 I) t J0 Y3 P1 U( k
2 T6 u, D& _, ]: Z) i
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
9 [3 V+ f2 G4 ^7 P
, _; d4 Q+ L, e. E4 T$ l
这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。
7 q7 ]4 u& a9 S! @
( J5 b& f9 r' G3 _/ S
或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
' e( b" D: U6 x8 n% m$ }
8 I: X% U* {% `2 G5 o* I
“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。
作者:
yupopp
时间:
2010-6-26 01:04:17
唉。。。。
作者:
/sun鬼鬼
时间:
2010-6-26 14:36:04
好采.我系穷人,矛信用卡
欢迎光临 【高州情】高州人深圳站 (https://0668qq.cn/)
Powered by Discuz! X2
好采.我系穷人,矛信用卡