- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞) T1 L) m J7 p1 P5 v
$ I; ?: L! p7 [8 ~! Y" }
' B- w4 X: R. k1 Z0 V 每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。 {2 S! P1 m: W! m" z+ U4 I
% s+ n5 H9 @& D& z& G; S0 {2 A 比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。
6 |7 j3 j: H6 a1 }5 z% V( L# k# d5 j+ k- e
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。
; l% B! G: U# f! I0 n. V
2 W3 P6 y- c; u5 n: Q 当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
d; n: t1 G: W- y8 H; _; D
' N5 F3 G" M! z 于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。3 R1 A1 w6 Q2 f. P& s( B7 H& l
" ]" Q \! _- n% P* W2 o 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。! q- K8 |2 I1 l# S% a
2 R: c/ w1 e5 B C# ]
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。0 O& U h8 J1 G6 B O/ M# b0 H
, |' D \& S4 w( m) v “(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”
! o0 Y3 r: ~" t) K' o, U
; q1 H h& Q1 q( H- B3 a# C 那一串数字里的秘密
+ R( s( Q+ R8 P9 k8 _4 N2 K
4 O H) x& D- n* X" y: K; p( Z 陈方(化名)是那些莫明其妙的买单者之一。
* |8 [1 n: N Q7 y6 _. ^3 L$ n8 M1 L. J5 I( I2 Q u3 V4 ^3 t' g. |
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
z- j8 h4 ?: o+ S
: Q/ W( B+ N; k 陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
) d7 e$ u1 U C3 c; @
# {4 I$ Z' X/ b/ } 陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
6 d- A7 ?6 K/ B9 X2 Z8 c
. h+ H$ `; B0 |* r4 D; ? “要填信用卡卡号啊?”陈方有点起疑。
+ j6 d3 i% s A( r% M8 F+ h Y% N/ T6 x5 s
“放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。$ O0 }6 t4 v0 b' o$ V) F" g
0 o( z8 g5 x; j* s. w. q
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。$ E% ^5 K% q1 z- g8 c
# O* Z6 l$ B9 d% K9 g, Z& ]
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。 Z) B$ `* c G4 L0 N# n
1 P7 J& Q) n, t/ a" G3 s+ q2 r, h 随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
! n9 Q5 y, I- w! @$ P" t; f
" e# [. h% F. C8 W8 T8 E( l 记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。
: z& A$ i! a- }; }: N
2 _: K2 n$ e# w “我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。( R5 F: G7 }7 G5 }+ H3 c# F
$ g7 T& o2 C; m' P& | “我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
/ b5 J5 D0 W) u* Z) p, Z5 U+ m8 s2 T ]9 q( B9 y, F2 p- |4 N
“我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。” a) s1 a; |3 V" N" k& q
5 o0 u2 l$ }& O; s
至发稿时,“乐在上海”方面未对记者的求证作出回应。
5 q/ l1 n9 g' K% _- O/ R, i2 M: r C& H0 S* \
记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。
, {" n- b( O9 |/ o& x, ]; F$ R9 d1 F
9 P/ g3 M+ Z* u/ |3 x& p 危险的“第二种密码”
; m' ^" _9 W# h/ h3 b3 F7 e
) u! \3 I# b9 c+ p, _& N “中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。; W2 e/ ?8 g9 K: [! S
6 z% l( t9 L: {% R1 T- ~
信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。4 K( I3 f. O8 ]1 n& t
. r3 A' E/ Q6 a$ N" s
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。4 d v- E, ?- t
( c1 Z# A T- f2 x. [# | s
在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
& j6 W; h1 N5 ~2 ~7 ^5 N
/ w8 @- @: J" r4 B3 O/ A 而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。( z6 V" z8 h% Y8 b
5 t& i# F2 @" n+ o4 D, r* a
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。' j- s1 l4 i# |3 `) c- h8 c
+ n8 u2 c5 R, ] J
信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
3 P5 ~6 N1 u; y( J/ p: f6 q# {4 a* A/ E8 E2 }% I/ |9 H' g+ Q
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。0 W; [) @- l. e2 i& Q% x
* R4 j; ?$ t$ ?/ l: h3 E: N 陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。6 F- m9 r) T. F) A/ b' L
7 C& Z1 s( g3 k! g7 l4 e# J4 X6 p
在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
7 u2 r3 [6 w$ m
$ o4 y) Y! W( s 在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。. K) V. @ f; d% B' o# ~/ _
2 d+ N0 v5 @$ W$ _6 w5 z- [/ h" l 绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。% G4 t, M, p- m3 F+ A$ J" |% Y
( T, j; c, w4 J2 |
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。# {. G& f: `4 `: ]0 M
* n7 ?. p$ L& V
找不到买单者
7 H: |1 s3 V( P4 I+ Q! H4 e3 |8 C( Z {" c/ i, N' X
正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。
2 n9 @+ b+ ^2 E D+ O! X& G/ k3 p$ Q% a o9 U
根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
) A' z8 v) @7 m1 \; I- v+ W
1 q- l# N; F1 _0 S. [- B0 F3 { 身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。$ p& S; g1 i8 ^6 i
( H1 {* U2 p$ [2 o
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。2 T+ n4 T2 J( m
1 f) J8 {" u S( b6 j3 i 协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
; A' _$ w& ~) U
% W/ b( }/ R0 X2 O* s/ y4 M1 b “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”8 M Q, ^) H3 O# E' `
6 g6 ?; b2 T( G/ ^5 H
但招行自己并不在“乱设POS的收单银行”之外。0 \% |4 _0 \+ F5 x3 a) i
- J2 D$ ^3 V/ U3 o' j6 e$ L$ g 据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。5 e3 X1 ~( w) N# r+ w, A6 i, |
7 I3 ` _* v& S' V 这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。
* ]4 u! a% Z* Z* J. x& P. ^7 H: S$ f6 D* l! ]
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。
$ v& _. H S8 M: o4 x3 [4 U+ N* g7 o; ]: h% _6 F. R
那么,商户资质审核是谁的责任?
1 j$ s7 d# N2 G4 }1 r$ i5 \) k
. b6 t# F1 G. z6 X+ t1 ^2 i4 ] 在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
0 B& E# `0 j" e7 J( m2 P
& m5 d- r# f' J& V9 z. [* V# M7 R 在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
2 W1 \' L9 h! e& C t# X1 M8 ]+ |) z9 w) ^! W7 C0 P. ?! W& V
“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”
, L) \1 ^3 a1 [" I, @2 L% P
- D% h- a2 ?2 Q, j 第三方支付之患
- n v4 S# o) U D$ t' t! q9 S' U$ T. n
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。2 u7 J- o& q" ~! a! ]: `
9 H7 @1 T/ Y/ [( [' n2 } “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。( t- ?2 e+ x0 F& f) }
4 }! t! F1 m6 ?" |3 o 在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。
0 s2 C6 r G( ]; ~
0 h" d" e/ q" H% h. P 至于此种“合约规避”是否合法,并无相关法规明确。! D. o' z S9 ^6 l4 K- B
% U& o0 h+ t& J& y7 z: G
“这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”; B7 l: _% c. F5 p6 [3 _7 d/ H+ K
5 w1 d' a5 I9 B3 I2 r- ^
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
& p# M& }" i4 E! h3 M# L
1 I/ }# W: J/ p n" q 至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”' U w% o. |, E( z
, e; W/ e1 g2 T% D8 @
而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。1 Z+ T# o/ v1 |: s2 S
' Z1 Y2 L n. [ “这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。( }- ] s" z4 W1 d+ h
# k6 [' s8 X+ n$ a- o" D. w
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。
& s5 L$ z& B) y
6 Q3 _/ Q$ P4 ^# _8 u 在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。
5 g2 I3 R0 \0 o& W! K
9 u- ~ z# x& ]6 C' s0 {$ g4 n2 l 然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。+ U. e+ ]$ M, d) d
8 K9 s; d' v2 N3 U' V5 D
这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。. V9 Y \) T# |, J, s
4 W) h9 x: a) s4 v% T ?9 Z
或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
* H8 n5 e3 L) F4 P8 c
8 E6 m2 A! v' i8 G. p$ g “考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡