- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6985
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1840
- 精华
- 6
- 积分
- 15415
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6985
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1840
- 精华
- 6
- 积分
- 15415
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞1 |$ U" a% v# K
; m' h( u; ?0 U; V: z% n/ c% Q' n
; }0 _1 k. B7 u% r7 a
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。
1 s2 W% a/ a% {2 Q8 T" y* k0 F+ d" c* \8 G% ~5 p5 P# X5 ]
比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。$ y' }6 _4 u$ @4 K
- k! w5 E4 Q3 q- A 这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。6 k* q, z$ ~* _7 t9 [
! T9 x, O% O% f1 o/ Z 当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
- i" f5 P, p( N% D8 s8 K
: N! s2 ]9 m9 s [/ H! E/ [- E 于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
7 ]1 ?9 g3 Z* H- y* B
8 p0 [2 ~- A( x3 M* d 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。9 C% w2 a+ y, U( c' Z; ~, K
; }( R) }* D. s' ~
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
1 Z8 L( D) Y: W# n2 P% B! ]% e; \( o. C
“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”6 e/ `: t; l, m1 x: z! f$ _/ Y9 a
% J( h7 l$ W1 y6 C) L, s, C7 g! b 那一串数字里的秘密
& A( a* Q0 \( b$ d6 N ?" M6 R2 n" r4 S1 A
陈方(化名)是那些莫明其妙的买单者之一。, r; M! @9 S. o7 k( B1 u6 u6 p
; Y4 m! r) Z. Z9 J t) u
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。 \' d% m5 ^; M7 z
2 T- D2 B2 N. U
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
0 b" n# A! S! J( I& G
5 M- u4 C: U9 \2 [6 K7 h8 w4 g 陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
4 {+ T' f$ K, X2 X6 F; S
* d% |: ^8 o8 B4 |) F$ D% z2 y “要填信用卡卡号啊?”陈方有点起疑。" }. f; u7 \+ N4 }$ G1 \
* a+ L F4 u8 n8 w3 B% C
“放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。' @6 @ A2 c$ y# P
% x' i X. B; Y6 Y1 a0 E
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。9 @% z0 t" t9 [3 |
; P) k8 J! j- N+ E$ E7 x( [8 g
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。
/ ?$ N! Q" s0 J+ ?2 A
3 P% ^. Q* L ?) g4 N e 随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。2 L# x/ ~, I d. L/ k7 c
$ O9 L! w4 u$ _4 x9 P 记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。; S3 v+ z2 C, c. q% D8 v) K
5 u5 u e+ ~# b* [/ s! e2 {
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
3 L: n( Y0 Z6 M2 [; V2 X6 K. a, n: w- g% _
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
( b, i- n) i! M; t$ E
- b k# l% K ?& r) e4 X “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”% [1 L) R9 q J9 L- y, Y% r! f
$ q/ F8 f: q3 X2 o
至发稿时,“乐在上海”方面未对记者的求证作出回应。7 H: j: Y9 N! p2 P5 Z
1 Q8 A( ^1 `+ O& t4 M 记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。
& x; C: G+ ], T$ T* A6 i7 j/ `* _0 L3 f
危险的“第二种密码”. \: Z# }* V) ]3 n0 l. J* J# P
( R* ]) C$ s4 Y( c9 U! i “中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。
9 f8 T3 J2 V" G) F3 S* F. z/ `9 b2 y" v- O, r. L" [1 B% K
信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
7 i2 i- j$ }& a0 t- v
6 K! Z/ G" d3 O$ I8 i 离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。' o2 r* P. a2 n/ K+ E, I
1 T6 @. n. U: ^- S 在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
* d0 L) ]7 \+ c! f( v" j) }6 \: c p/ v C) K0 a
而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
/ z5 |$ P% i6 V G! Y3 L5 r4 J& D5 D3 R" e x
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。
# d5 P# U4 U! z2 E# I
6 f, K% Q0 o: i8 \3 g: U" l 信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
0 q1 S& ]1 m: S {9 {/ {! x; R! y8 i$ b5 h! L( r! Z
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。% i1 K Y3 d; h# w4 J
9 G+ j# o* V) {5 o7 v; z4 S8 e4 s% B 陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。
2 [8 @6 @ w$ b! N, B
, f0 C V: h; P8 h2 P 在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
9 K T/ a) q4 _6 P5 n4 y
* o+ q: a: k! p9 H! k: k0 \- U 在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
" D' \; D: R* k. Z) w* E- _) Q4 {& ]" R8 U
绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。& {1 Q ]. W. W& y/ X8 [
5 ~. f, c5 X- ^" S
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。
% D1 R/ G/ ?% T# [, n- R- C6 C5 I3 N+ {# l! ] `# n- y
找不到买单者5 F: Z/ s! g) c) h' N) o
4 h I/ ?- n8 k2 @) ^
正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。
! r7 I" E9 R; g* Q# O- E
: d* X, ~( j0 A2 H% U8 O6 v 根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。% F6 K' O! @; U
- L Q; y& u5 T5 r n
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。4 C( ~2 k- ]* Y6 b( j4 ^) E1 @! A
' o, ~; |8 C' y' F
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。
- W( A \; s+ P2 \
2 M. k8 Z0 z6 a2 ? 协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。3 V9 {2 N3 X0 G% }
* e# L0 e2 T; U; j& S9 S ? [ “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”4 Q1 G* R) |2 x3 Q
: K. z, V: Z% }* r* ?
但招行自己并不在“乱设POS的收单银行”之外。- A8 G2 }: t, w8 ~/ ~# X! ]; R: ^
- n& V' z; Y6 v. D2 P* {8 O; x
据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。* y: T! T% E9 I! i. W, _2 o7 r0 G
4 M9 v! z4 U+ T0 o9 l
这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。0 g$ f" z. [9 ^/ k) l
+ ~7 i. I5 f" |- V7 ]7 g3 }( _ 而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。0 o! ?$ ~& b9 t2 R% {4 S' Y' K
- D; i8 o* R6 t
那么,商户资质审核是谁的责任?* L* M) {# o1 @. `3 y
7 q6 ]* \: X: q- Z 在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。" J! {6 l% i2 d. E( Q8 e
9 \. w: T: H; v
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
9 D$ U! B( S3 }7 m2 z, r& Q+ o
5 b) D; z' l- X8 W: S+ O “资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”* D- l. p- p4 F6 O& X" p: ^# X5 T
; U: z* b7 h2 K& z% R; [7 q
第三方支付之患
! y) i% `3 Q7 R0 r' j2 t
' y' u/ y$ ^' B, T: E 而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
4 [ O( S' \# D8 G& w9 |
) f' K& ?" C1 p6 P* c4 U0 L, v3 L “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。$ ? a3 l, Z' {6 K/ p
% }) t* {& l) l1 q' c8 H, l
在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。; J$ z) c) I8 O& c
& O/ {, ]7 X- G
至于此种“合约规避”是否合法,并无相关法规明确。* x( _+ B4 I8 ?" n! Z, ?
9 Q8 g' c% m* s0 H4 g! [+ ]
“这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”
( Q: u, c% l$ n! X! B2 w8 n$ V3 y/ t: V [8 K0 K8 c
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
/ l0 O2 w3 {4 ~2 e) T |: w u. C0 i0 p' J
至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”, z" \4 M& M) ~4 S5 |
) R% Z' ~- x# l$ h7 t, ~) O 而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
& e, F, h5 v+ S# c5 Y7 n& N
" Y6 p' b6 T4 r# S/ C3 Q “这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。. Y P# i# q7 v2 }$ J8 l& n- D
, b& |$ ?5 W1 A: b3 A) [
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。- }* r8 Z2 e% t& S4 a
" S" D9 `& X4 z u& U1 j1 q 在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。
]* f p% |3 Y# V6 ?7 i2 P! ~+ Z9 N4 o4 n. Q( f
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。0 O; A. n' ?+ F( v4 w
& Z8 ^9 O0 |! j7 w 这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。
) V4 L" b1 {% }" Q! o% w4 D
$ d8 g6 _- _5 G5 ] 或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
6 Q! a) A* e# y3 ^( G q) [" x8 ]. u4 s) a
“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡