只要你把信用卡给我看一眼，我就能取你的钱。信不信由你！

Longe

信用卡存危险盗刷暗门:利用第三方支付系统漏洞
+ Q% X  G/ {- B7 y% ^& @. I2 L

% ]/ n4 Q# M" R0 f　　每张信用卡，都可以轻松盗刷，只要你懂得利用现行第三方支付系统中的一个小小的漏洞。

　　比如，只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统，你就可以从别人的银行信用卡中把钱划走。
4 ?+ D. ?1 t' C* C$ k' G
* T* V3 ~3 [, a% c2 l4 x# d　　这些钱，将如同多数的信用卡离线支付一样，依次经过发卡银行、银联、收单银行、第三方支付机构之手，抵达你的账上。

5 M3 m5 {# s3 z2 U　　当然，信用卡持卡人可能总有一天会发觉钱不见了，但他也将无可奈何，因为这种无头公案，最后总是找不到负责的人。从发卡银行、银联、收单银行，到第三方支付机构，都只会把他当皮球踢。

　　于是，这个可能酿成金融风险的漏洞迄今没有完全补上。于是，被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户，至今还没有谁被投入监狱。
& u1 z* N6 d. P7 r3 S* n
, T: _2 @  C1 J+ w- e+ H. A　　这堪称世界上最安全的犯罪。直到最近的这一周，这一切混乱才终于引来一场监管风暴，矛头指向给上述盗刷造就风险缺口的第三方支付平台。

　　6月21日，央行发布《非金融机构支付服务管理办法》，要求非金融机构必须在申请和获得相关牌照后，方可从事支付服务。
& F  {! |7 ?2 S5 _, l5 D4 n' r7 ]
5 i' K& c8 n. H! Q( Z& `　　“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说，比如支付服务相关的信息系统安全问题等。”

　　那一串数字里的秘密

& }3 y1 ^3 J7 m) m: L　　陈方(化名)是那些莫明其妙的买单者之一。
" ^2 q! {! K$ L1 ^7 j! Y6 _
1 @, g* G! P0 o$ O+ j6 K* d' d　　这位普通的工薪族，平时使用信用卡的次数很少，每个月都细心地核对对账单。这让他很容易发现，在自己招商银行信用卡的9月份扣款中，多出了记忆之外的一笔，金额300元。
- f) g: v6 _, t, O' o
. |, R8 |1 o& E) p  K　　陈方给招商银行信用卡中心拨去电话。几番沟通后他获知，这笔钱由网银在线为“乐在上海”代扣走了。
; p: K7 k  O2 ]) F; g
　　陈方回想起来，一个多月前，他在街头遇到“乐在上海”的摊点，工作人员热情地向他推销一种本市消费折扣卡，并许诺30天试用期过后不续订可自动取消，然后递给他一张详细的个人资料登记单。
5 I! Z! u' T; ^6 p" L% \% ]
$ P% Y! w' f5 E( f& q  p　　“要填信用卡卡号啊？”陈方有点起疑。
- z( g0 L- u% M8 U# b$ x9 y, P5 O
% a: t7 |1 q  M# y1 ?5 X9 F) `　　“放心好了，没有密码我们划不了款，这只是个资料搜集。”工作人员说。

0 k8 z: K; A/ q/ w8 Q　　陈方想起自己的信用卡密码，放下心来，把卡上的数字抄在单子上。

1 |( e7 n" ^# n% s" K　　后来的事表明，正是这串“数字”，让陈方的信用卡成了“乐在上海”的提款机。

: {6 {% Y6 s! Q5 {$ X　　随后，在与“乐在上海”、招商银行沟通均无果后，陈方联系了本市电视台新闻热线。很快，一直声称“持卡人责任自负”的招商银行，归还了陈方上述扣款。
# e, C6 m# ]5 Z% y3 u
* _+ H# J9 F  o6 ?　　记者了解发现，上述款项，依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行，抵达“乐在上海”账上。
" H5 r9 H% t* s9 ]/ P, F
　　“我们是这件事的受害者，垫付了这笔钱，现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
7 a; t6 N" v& t  D5 m* }3 y1 A
　　“我从没听过这种案例，也不知道问题出在哪。”中国银联一位相关负责人说：“银联只是跨行信息转接，网上银行的控制由各银行控制，或者第三方支付机构。”

　　“我们不会插手。”网银在线人士对本报记者说：“风险控制是银行的事。”
" y) C1 k  Y  Y. _) [
　　至发稿时，“乐在上海”方面未对记者的求证作出回应。

　　记者了解发现，案例中的收单点签约，是由第三方支付机构——网银在线完成的；相应的风险控制漏洞，亦由此而来。
2 v. Z, c3 y/ B$ k9 y& C
- f8 y# T4 V+ b+ @8 n$ L　　危险的“第二种密码”

　　“中国信用卡使用规则和美国等地的通行规则不一致，造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。
7 \3 o7 V3 c, z, H3 v& V
$ ~' ^3 i% E2 g3 t: H! v; T　　信用卡的使用，分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”，并签字授权，完成交易。
  I% @* C' f- E5 |
& R3 c5 w- U4 o+ G9 J& Q　　离线交易，则常见于酒店、航空公司销售中心、公司财务等，同样通过POS系统，提供信用卡账号及其验证码，即可完成交易。

8 k+ f& K! Q* D5 z7 \　　在美国等信用卡起源地的多数西方国家，信用卡不设密码，两种交易方式中，交易凭证仅为签字或验证码。
+ c1 R, r& f& n" W2 G. j9 x
1 O' |1 }+ s  W　　而在中国，根据本土消费习惯，银行往往鼓励持卡人给信用卡设置密码，来保障用卡安全。

0 T( R8 f: u- a2 k; l　　“这种双轨制的信用卡体系下，中国消费者几乎都不知道验证码的存在，更没有相关的风险意识。”一位银联人士表示。

/ u8 |* v6 ?  [* ?　　信用卡的验证码，被称为CVV码。它是一串3位数字，由卡号、有效期和服务约束代码，经过发卡银行的编码规则和加密算法生成。
) [* E1 p8 a6 u0 G0 L0 p  r
　　根据信用卡卡种和印刷位置的不同，还有CVV2、CVC、CVC2等，一般印于信用卡卡面、卡号后面。
8 X" B; L) _* G: U. _
: v2 |6 i9 U6 E# j　　陈方在“乐在上海”资料单上填下的，正是其招商银行信用卡卡号和CVV码。

' b& a) W( w2 Y  M6 q0 ^* U6 C8 h　　在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上，都没有任何介绍性、警示性文字涉及CCV码。

　　在信用卡用户与招商银行签订的唯一一张合约，及银行网站上能找到的“信用卡介绍”中，CVV码丝毫未被提及。

7 o! F0 i! k6 U2 k5 j　　绝大多数的持卡人对CVV码的第一次接触，发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”，它也需要保护。
- m- [8 a  x1 v; d& u
　　招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程，上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。

2 y9 o* K3 p  T　　找不到买单者

, K8 S; D+ i4 ]4 R% K8 D　　正是利用这个惯例，“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统，找到了一条生财之道。
; _1 j2 A! L& [5 a5 G
　　根据其营业执照，“乐在上海”运营机构为上海鹏杨广告有限公司，它的经营范围仅为广告业务。实际经营中，鹏杨广告的主业则为发行“会员消费折扣卡”，向商户收取推广费并向“会员”收取会员费。

3 r" ~) e3 z2 o7 U- M% A　　身为实体店，“乐在上海”却向网银在线的上海分部，申办了“离线支付”业务。

/ q3 x* ~% k) O- v! L　　根据双方签订的服务协议，网银在线在互联网建立支付服务平台，向实体店“乐在上海提供”电子商务应用服务。
& g2 u. f2 Q  a' i5 b; ?
* Y) Z5 [* m$ l$ X　　协议期，“乐在上海”可登陆网银在线的服务平台，在“信用卡远程支付MOTOPAY(即离线支付)”一栏下，登陆被提供的账号，输入客户的信用卡卡号与CVV码，便可自行输入金额，进行划款。

: n0 K, C  V( @) z　　“责任就在这个环节，乐在上海的收单银行，对它没有进行应有的实体店资质监控。”丁诗妮认为：“它们乱设收单POS，授权POS。”

　　但招行自己并不在“乱设POS的收单银行”之外。

7 l7 P5 `3 ^% G0 H2 T0 O" r1 j& h　　据记者了解，在网银在线向“乐在上海”提供的支付服务中，协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。

3 |+ s$ S+ V4 B: C1 s% e7 I) m　　这意味着，几乎中国所有的银行，都被网银在线网罗，会向“乐在上海”们提供收单服务。
. `" G' o7 P" I1 S) @
8 |; {. U: z9 {! N3 W2 P0 h　　而拓展这种收单服务中，第三方支付机构网银在线向市场铺设各类POS时，银行与实体店并不发生任何接触，亦没有相关资质审核。

　　那么，商户资质审核是谁的责任？
; j7 ~$ }$ ?8 r% K* t) H3 [
　　在各类离线支付过程，在发卡银行和收单银行之间，至少1个或2个“中转商”，或是第三方支付平台；或者是第三方支付平台和银联。
7 B4 Y* U; _& `, S8 |7 n
　　在这种“离线支付”产业链中，银联作为信息转接者，的确不涉及商户的资质管理、风险控制。不过，银联亦有子公司进行第三方支付业务，并在该行业市场份额占据前三。
& Q7 Z, Q8 T1 {* Z7 E
　　“资质管理的责任，在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者：“谁对接商户，就应该谁对这个实体店进行资质管理。”

* e6 R- T& j. N# e/ h; x4 W! Y6 z　　第三方支付之患
8 t$ Q% e" f7 u5 M$ J& J
　　而这个案例中，商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
6 c$ _3 X+ g. J+ B7 T  h  x+ U
- d* `6 L1 I! W, F% h+ h　　“我们不会插手，此事由商户与用户协商处理。” 前述网银在线总部人士说。
, `/ J4 K6 g+ g. Z
. x- R, D/ Y7 ~( W' ~　　在网银在线与“乐在上海”等各类商户的合约中，此类风险被明文“规避”。按照合约，网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷，商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任，由商户负责或追究有关方面的责任，与网银在线无关。
# R: y2 |7 X( ^2 p
　　至于此种“合约规避”是否合法，并无相关法规明确。
8 r. w4 b  L% y' ~5 L
　　“这是行业通行规则，交易风险是商户的责任。”网银在线人士对记者说：“信用卡欺诈的防范义务在于商户，我们提供信用卡防欺诈系统，给他们一定参考。”
. s  f7 j  z" l5 e
　　那么，如果不是消费者失误而是商户有意“欺诈”，防范义务又在谁呢？这一点并不清晰。

4 c5 ^- q4 Z' }　　至于对商户的资质审核，网银在线认为：“乐在上海说他们是网银的合作伙伴，那资质一定没问题了。”
" Y- R; c  m* ^& }: i' Y
　　而“合作伙伴”一说，其依据是“乐在上海”自己在某个网页上发布的一段广告。
+ V, G  }5 }" C* {8 j
　　“这是个行业性问题。”一位第三方支付行业风险控制人士说，作为创新性很大的新兴行业，第三方支付存在不断更新的欺诈手段。

' ~1 }) e* o" k4 s　　该人士认为，案例的风险控制缺口在于，网银在线作为第三方支付平台，理想状态下，应该保证自己的签约商户不会保存客户核心支付资料，特别是案例中信用卡卡号、CVV码等。

　　在支付行业的国际通行认证PC中，上述商户资质审核被明确要求。

5 a, M0 p3 }& y9 y' E" b! g! A) `　　然而，根据公开材料，网银在线直至2010年2月，方通过PCI认证。

) _: r3 P; ?2 B' p: _4 C' ^　　这是否意味着此前的网银在线签约商户，均未通过上述资质审核？而网银在线之外的其他众多支付企业，又有多少仍未经过PCI认证？仍不得而知。

0 d7 h$ Z1 N2 D8 D　　或许，央行即将实施的第三方支付行业准入制，可能是目前能寄望的一条出路。
8 V! e# `" H" h( Z6 V: o
　　“考虑支付服务的专业性和安全性要求等，(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示，将会在随后的管理办法实施细则中，细化技术安全检测认证证明等方面的法规。

yupopp

唉。。。。

/sun鬼鬼

  好采.我系穷人,矛信用卡