【高州情】高州人深圳站

标题: 只要你把信用卡给我看一眼,我就能取你的钱。信不信由你! [打印本页]
作者: Longe    时间: 2010-6-25 17:20:37     标题: 只要你把信用卡给我看一眼,我就能取你的钱。信不信由你!

信用卡存危险盗刷暗门:利用第三方支付系统漏洞$ x+ v) a! Y+ J5 `( A

+ z0 Z2 _; @# }9 p9 c& H0 b1 g
$ h# p# v+ s# i5 _( k: Q  每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。& L  h" Z9 i, q  ^/ n
. ^9 z! _" @' b3 b& u* n
  比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。% x; d( \- _1 a# B1 b2 X5 M

% i) q" X5 S" o  这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。8 Z+ I( x5 s% K' `+ d

% O8 u( j. D( ?0 p  当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
7 E1 k" U! T9 @
6 P4 I6 P+ e1 c, L# A6 J  于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。- l1 X1 m- j' Z
! o7 R1 x; M" e- |$ C; @* T0 `( }
  这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
8 T& k  H; k8 n8 G
% {5 {" A! b7 T- o; R- V" I  6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
9 s: z( A5 U8 v  {9 Q: E7 \" J! @" Z) O/ C3 N
  “(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”" v3 l/ e3 [" E8 _: H9 g

: @; Y1 H0 S- K9 H& T, e. @+ }8 m  那一串数字里的秘密0 O3 F' t- j( ~8 C8 v/ R$ H
5 ^/ u4 P8 x+ B6 v
  陈方(化名)是那些莫明其妙的买单者之一。# I& h; [- q, |: X' t

) h. `9 X. E8 z  这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。( I7 |, a( t! d. n
! r9 R+ G3 z1 k  ?
  陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
: v9 `3 r& h& i' t3 }" O2 H9 b6 Z3 W; U2 n$ \
  陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。' W( T5 k8 l9 L! D
8 H7 S- T/ t! O, K
  “要填信用卡卡号啊?”陈方有点起疑。
) n. d) O' D- z: o% X
5 D8 `) O  O/ @9 e# v  “放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。
3 H8 v/ w( u# D2 w) P9 u- {% C  s, L; K/ i( q
  陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。
; ^+ f7 H6 v. i* U9 z& u7 |/ M; J: U+ L: P. N/ O0 q$ B
  后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。
4 P3 i9 r4 u, @. Y% j& g! W. O
3 I4 P  L6 K" p1 s  随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
& Q5 J' u. c: _) N1 v. H5 f) ?( |* \. K
  记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。$ M+ l5 y& V2 i* _* g: _% n
: y- X) ~* R; i0 B' K! t
  “我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。5 }  p. u. C- K' q2 I

1 T/ G6 }9 R  p% C  “我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
9 Z" U+ n4 P/ L% P3 z- ]' ~# c" Y6 B7 E3 H& J2 Q
  “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”
3 \: Y! ]& }1 T, p4 g$ D$ g6 X, F0 Y
  至发稿时,“乐在上海”方面未对记者的求证作出回应。
: G1 m$ G7 Y2 J" I
& O) Q# D+ d9 u- o; x  记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。# i9 }8 Q  `$ @# E, L, d
- M- Q% i! \5 H# g1 v) o
  危险的“第二种密码”
+ [! p+ s2 A5 i% g
0 H3 R* W1 A5 o  “中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。. o+ P1 f! w2 b8 Z- {: H' r1 Z" @

/ O' p/ {0 q' b( ]0 f5 n' U# J  信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
, y* B7 J+ H$ u
" \3 T% I  U$ N: z  离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。- y- L- L- ]) Q) U2 {+ O, x7 I8 T
- ^5 S9 J6 f: C/ A* p: h. X4 x
  在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。3 w8 p2 j6 [6 n5 ^9 S

3 R" [2 ~8 M+ I7 U8 n  而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。; x% @9 n/ L. K4 B+ j+ w8 L

: {3 r& p+ ^) W6 d- q* B  “这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。: P# H- G' K  m
# W3 ]1 j5 x1 ]! E6 }
  信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。  x/ k- q; |8 O5 _! H

' I  G; z; U( ^4 u8 u2 f3 Q  根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。% D/ u1 A6 i& K3 D! V0 f- }" g$ H
8 O1 T0 `. Q# R, C, }
  陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。5 P- u% g+ g4 B1 C# x& E9 Y

4 u% N3 ?; _7 h  在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。0 v2 L4 x9 S/ x* U6 X( k
/ E/ J3 T* H$ k4 G
  在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
7 x$ C+ t2 O. C8 t9 }7 a
; L7 U2 F8 _: [7 ^7 l  绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。
; o' B1 l) P; S5 k) V6 t  b0 g  z, j
  招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。& }0 T4 l$ f. B) r5 f

+ Z  u6 D& }$ N  Q: x  找不到买单者$ I$ R* ]4 z! R: i- N. A- l

+ t+ x7 Z4 {( O7 ~  y1 x6 E; g  正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。
- ~3 }2 n$ d5 E. m, S, T, v2 r, f
  ]- x* `6 y3 V  根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
1 Z& V/ R% [; \5 U2 Q
; Z5 P" Y; c+ Z& D- W' c) Y  身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
3 n, C% y0 A9 E& F3 E5 R0 V- ~$ w6 r1 D, I; N8 K& d
  根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。
1 o8 N" @, ~2 B  Q: a+ o" D4 {  R5 I) `4 x
  协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
$ I8 y: u5 X5 }- W8 a8 H
( P' q, J  O8 L0 q6 A4 U2 Z; j# V  “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”# U$ n6 F2 e, Q0 @( S( Z

# m: k2 P) H" n" Z# s0 d) \3 M  但招行自己并不在“乱设POS的收单银行”之外。7 j( X; I2 l  y4 S
4 F% O1 u7 v9 }* n. C  K
  据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。7 _5 h' M8 r  g5 v* ~- S

8 k- t4 s3 K) y/ p  这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。
7 f! F% K2 k- y" {8 t* x& b% u
  而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。' b' }- j# v* C+ ]! b, K6 g, E: T1 ?5 E
! F0 [+ T: b" ~; t) ]
  那么,商户资质审核是谁的责任?& r3 W" `2 g7 E) I0 I# V" W3 t

: J; s0 N% b; f  在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
# H# q6 Y0 h1 f: Z( r$ B. Z" N4 Z4 x: R0 K, m: O; U0 {
  在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
2 l4 E2 L6 x2 G/ m( F
( [/ ?7 M- i" s, t6 g  “资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”0 J! |& e3 {: E  n+ x' f

9 h4 P# p& b  m  第三方支付之患
+ y' Q6 y, L) H! `! L5 D" f
* i) t+ s/ u7 S" @8 [  而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
9 F/ N6 v  Z% b; C2 I- ?/ q
6 @, k) I; T. P1 m3 Y5 @* o0 ~8 C  “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。  q- \# ^% P! F- ?9 e+ o0 ]  U

/ t7 q4 {3 X- V) h2 v' K  在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。6 s; I& o4 {# W8 |' E) h  u  P
( ?6 G; r: M# b3 O8 L% v4 U) l; o: s
  至于此种“合约规避”是否合法,并无相关法规明确。1 w. H2 g& n: X( ^+ |; g
. b- L5 F9 C" h2 m1 X" c
  “这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”4 v8 o4 g8 w/ r3 M6 ~; n
4 S/ L2 ^0 I6 ^, O  X$ C
  那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
2 h+ R: Y# N1 b
9 Y" Q0 p2 u! O  至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”+ V. R$ E) W( }# U. z7 ~. @' g

( z, o& ?7 E  |  而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
, C* u+ u7 E# m$ m. V/ q- V
1 K: `# O( |; J8 }6 {$ z  t" f; `# r  “这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。
; W3 i3 i8 r( r
* X5 I' n9 K; `$ w% H  该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。& ?: F. G& H7 L! ?% B) r

1 P2 w, l8 {+ g8 |- @) ^  在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。  y5 R5 e+ [3 G+ ]4 Z

+ u- d& F4 Q; f  F  然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
. w2 o1 H$ X  B+ F5 J1 W1 }% G  h* p
  这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。
4 \* F* S8 S9 W2 Y; B4 R: @1 \* L1 M  m) o# ^3 O6 j
  或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
, f* {, h4 L. _+ J: f& ?7 o( H1 p- f8 X& F" E  F' V* j' N' I% f6 J. d
  “考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。
作者: yupopp    时间: 2010-6-26 01:04:17

唉。。。。
作者: /sun鬼鬼    时间: 2010-6-26 14:36:04

  好采.我系穷人,矛信用卡



欢迎光临 【高州情】高州人深圳站 (https://www.0668qq.cn/) Powered by Discuz! X2