- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6984
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1840
- 精华
- 6
- 积分
- 15415
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6984
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1840
- 精华
- 6
- 积分
- 15415
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞
# Z7 q# g# `& S+ I- ?/ i% M" E. m2 N
: R$ a8 U5 {. v& X% U
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。
. n* d5 e1 R' x6 U0 w2 M9 [7 _; K5 x( P: }3 k0 \ g% ?; a
比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。: M+ M. Q4 s6 T% C4 A
n, W4 d3 c& \9 ^ { 这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。. L# C% \9 j2 A, `4 B( C
0 n% I9 I" u, m8 j; }# } 当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。2 m% i8 d5 K$ a R2 D! \ ~
( G. g1 W" I8 }; _
于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
* C6 Q# q2 Q5 O# G' G
+ L- n' l+ P. \: K8 k1 A 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
3 c/ s! J2 |9 g0 C2 L6 d' `" i+ r) B$ L7 @. E
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
5 m; H$ g; N+ _- x! l2 Z0 H1 L _( ^/ n5 E+ g5 Y& B2 c
“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”4 F- @" B+ o4 ^& S/ W/ h, R
" Q) q! T' r: \, x0 N `) s
那一串数字里的秘密9 ?+ A+ x2 Z. j9 J, K8 \9 I
- [# J* M' m6 G 陈方(化名)是那些莫明其妙的买单者之一。4 Q8 e7 c M. J9 o) M% I- L7 v
^( `0 ^$ `0 J: c. a* o) m 这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
5 S. o) h5 M6 _0 {6 o1 d, P: N2 U1 b$ G( l: l( l
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
: [: n( p' T, y) H' L/ a9 s3 p. }1 G X6 E/ I' e* j$ R
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
! b' b+ X( _% D0 R9 U6 A% O/ D
' t# }2 v/ l* o9 A s' K+ i “要填信用卡卡号啊?”陈方有点起疑。
' S* v9 H( F. Q: r( ~' h3 v A$ x) R
: @8 v, u! y# @% P. }. C “放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。# {% \% U# |" w( \6 [' j3 ]/ D
( |. L/ f6 G+ A5 Z* L9 D
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。
5 r J" g* K4 S0 m
/ N1 Z+ @" J- f8 ^ 后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。1 p7 s4 n8 V. O# a3 L
/ ?1 x! r' B4 a5 R 随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。4 H. f6 Z: g3 Q2 e1 n, e3 k
8 `# A5 Z" v, p+ K4 f; h
记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。
3 b- q2 K5 J0 Q8 s: r0 q. v0 z ?# f; t; h, h
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。& \: B$ |& E: [2 V4 P) W6 p
, S d8 Z, x; _
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”7 K# d$ ^# V) K9 `1 ~
# O) B) \! W$ V/ {0 q+ p/ i6 S' U- E “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”& ~0 M* ~3 P! P+ Z
! p) l( I& \2 A/ I1 Y2 o/ |* x& w* ?. E 至发稿时,“乐在上海”方面未对记者的求证作出回应。9 q* Q& z2 K# j' b9 S7 [
/ j) M6 _2 w+ P 记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。
2 O2 ], n; r( n Q' q! D. A+ d& m, |4 U# O& }
危险的“第二种密码”4 y( \4 k- d# }1 _4 z) N1 ]1 w
& m) ~6 X( F$ u; V( X# R
“中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。
7 z% \1 t4 W4 j3 _: M. ~, g4 V
" e j5 k g% E2 K) y 信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。( w- x' m: C9 c. i4 \( F4 Q' v
5 l6 [' V1 p @% a4 p7 j 离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。! U+ @3 |) m0 }6 [' N( c1 p
7 P; ~; }# f- J5 q4 t 在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
0 b8 V8 u4 N' C9 m0 {* X5 e1 L$ G* ?7 |* Z6 h- r
而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
; P, C# J' q. w: G2 i7 H
& Z+ O1 n% V _' \ “这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。
/ P+ K. x8 ]5 w- F) R% d+ z
. @% @- D5 e$ q) P- | 信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
0 A2 h8 l* }* r7 y$ h% {* G7 F ~
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。
; o D& T' f5 Q+ u, M) K+ M% T" i5 w7 V0 I
陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。
% a R7 l; n1 w9 e4 ~
1 R5 q3 r$ ]5 h& t 在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
8 ^2 E& q- r) L. `& v# G) P N' l; A- _" Q# `- D2 j$ F4 @$ T
在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。1 D% ]; V" b% o3 I1 _% v1 R5 P( |
, m e0 `6 y. j6 `0 E5 j% b
绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。6 ~* N' {1 P' \- V; `" u
, f. @7 X3 l Y 招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。1 n. [$ M. Y l
3 `1 t8 d8 h1 G. a, H$ M/ F' F 找不到买单者
+ M5 w. s; {! {/ E: Z+ b, o& y# v' ^8 O0 n. @+ ]7 s q9 @$ V4 ?
正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。5 R* D0 y( U9 T5 M/ _
/ P3 }; ]; f% R) C `
根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。9 s3 Y7 @% Y0 ^
X8 j, C4 x3 a* i% y9 c 身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。) q! V9 G. g3 K2 E* j% K
3 G5 K% ?! f5 z/ K4 V) }9 W 根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。
5 Z Z0 _' }8 Y+ q" E' R! _" P$ k) c$ m; ^
协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
# e1 {( n& _7 W) \
3 k' q# h8 u# {: V% c “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”
; f d4 H4 p0 h( n0 v' X0 M$ r) s
6 @7 q; w3 q" j 但招行自己并不在“乱设POS的收单银行”之外。
" X% Q4 b5 x- u
! `* U8 P/ A7 k: U) a* ?; W 据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。
6 J3 ?# N3 k+ z% w0 A
3 ^9 r w- i9 I9 u4 t! D# G 这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。$ n# ?, g% {! {, v) ~0 ]3 i% Z
* k/ } W. f7 A
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。6 g' _: U0 @. _, a
% k0 h0 t. L4 t3 }3 v( X: D
那么,商户资质审核是谁的责任?) [, c" u7 ~3 b
. z( i5 N# |9 B. j6 Y/ Y) \+ v
在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。5 ^6 R! @* Z. z8 a, x
" C5 N6 v o/ L: P
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。; j* z% B) g7 p
4 P& x' [- N! x “资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”
; c# j' g7 e# c; V( Q5 T9 t
5 F Y. u' P! v/ f; r 第三方支付之患' x& W+ o% S Z2 v, e$ m/ x
6 ` W; @5 _' ~5 Q; N
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。6 @& |- G) _+ c5 E
- Z& V2 w' w j5 |4 u# f' g7 R! a* C “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。9 O2 v$ |+ U7 z7 d3 B3 @
# q: U6 w3 U8 Q$ ` 在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。
0 R3 F( @( A8 V$ t' H$ B' @
( \) \, i: D8 [" Y, _1 v 至于此种“合约规避”是否合法,并无相关法规明确。$ `. F( Q$ r# N% O5 }' Z0 V
- I/ g( |. H! ~ “这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”1 E2 ^) O: D* ^, r# f1 D5 C
3 t9 u: s& N. W0 I 那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
9 ~( ~1 \8 M) J2 M5 V4 v Q4 m
) W* z" L4 N9 B4 z# Y, G# C 至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”# M% ~8 `2 {; Y4 c) k: h/ {
* o9 o3 ?4 @# \: o) ^$ v. O
而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
4 m5 T: ]3 A3 E. K( s0 Z' t0 Z9 T5 {9 |
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。. x3 l/ W; ^# i9 N2 Q7 j0 a
' P/ J+ z8 T5 S, h1 L
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。8 M8 a! C& }1 [8 v" x" w
4 q2 S2 J* A0 j' X4 _# j
在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。! X: m/ b: E9 X
4 V% h2 L; e$ W
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
1 s* u; U& e( Z: m* N" t, o9 f0 W4 T `( ]/ [
这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。6 X% u' o8 n7 H# p6 L5 R& W! Z
3 a8 ^% Q8 O" F5 }1 B2 t% O# n
或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。5 ^0 ] C; b9 m0 F
2 _1 R! A' C J% W! R" r1 i “考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡