- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞4 p% h% M, I3 c% m* e: y
# a. _7 y2 y4 Z) u% ~3 U% Z9 F& B: w3 I& V. x# P& x0 o- d
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。5 Z, W( V# g6 G# H+ l
% j' X4 x) l4 b, U# r( P. ] 比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。$ p& N$ H' d+ d" I& A
9 [5 W' l' {$ k$ P7 O5 h! ^* q
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。* B# \! v/ K0 l! F. z
7 f9 c; k! R0 f% s$ t1 k+ ?/ c
当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。0 O7 q$ m9 Q0 e5 l
" c$ }9 d) x/ p 于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
" P# \$ A- n4 _2 G5 x+ b b" F T2 H W% R4 e6 ^$ ]% m% H6 I
这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
% p* k( H8 R7 b7 |5 D3 j1 \3 p9 O8 s2 u* u4 d
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
" ]4 h- n% s4 [: b5 f. N0 B2 a' r: P. I& z8 k! [
“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”9 G2 }) B3 D7 s, a. i, |: @
( c" a( z; I& X0 X. M! X& k
那一串数字里的秘密
( R! z/ w- [7 }; d3 _5 h3 o5 ]1 \9 x+ |1 k5 F* S) I# `) {
陈方(化名)是那些莫明其妙的买单者之一。
8 a0 _# a' A Y5 y# m
! s* e r, n% [+ A5 F' b5 z% G8 M 这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
) E% G) u+ t3 B) X9 b! s0 z6 {0 q
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
# U% E( r1 X. m0 {! j9 U4 \3 a9 O7 P6 a4 X1 P. l/ r) j6 B
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
3 }5 i9 U! ^0 ~8 U0 {2 H
" ?8 ]% K% R& { “要填信用卡卡号啊?”陈方有点起疑。
2 W4 D k4 |: k3 n) Y
% ~0 m( _ v9 h+ W+ s3 [ G “放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。* n* x% Z) r3 X, {" ~2 `8 A- S) n; \# L
" Z$ \& s8 d1 b
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。9 C x, k2 f t! [7 x
8 O% l9 s$ O' o6 o5 C
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。8 [' c9 k5 C. w
; H/ s2 G3 E% v1 I 随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
! I- w9 }( |5 F1 C) P& O2 g9 H5 {" u4 @- o2 n9 q
记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。
! S2 y) ?5 @7 k/ i- c6 n7 j- e/ v8 |& H* L& j4 b, R
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。/ ^( z/ G4 L" f% ]& h
; ]- w( }5 t6 e! Q
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
1 K- _) z8 N! m! |0 l. I2 ?$ q9 P1 }* C7 {8 s" n, Q
“我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”! t' m9 I- W4 f% H8 U4 c+ h
# K& }8 a a$ F# u4 K6 B! t
至发稿时,“乐在上海”方面未对记者的求证作出回应。
* w5 u( k1 M6 M7 G, T0 ?1 E. }0 O. w$ n4 l- E0 o3 I
记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。
7 @+ B; a/ b% p) l h
4 r) u; @2 @% ]9 T+ r/ T! \* D# T 危险的“第二种密码”
8 U+ D) L$ g+ C/ e/ e7 k7 v) J2 K4 |) P* q7 M
“中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。/ M2 i9 U& q0 A" n" K* T! @2 N
2 t! M: V7 T' L6 J7 E0 I/ ] 信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
+ d' c$ H- S- @ {3 t! S! i. ^ B2 |! L: V6 i- |* Y% H9 x' `
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。2 z: m5 G F1 b' R2 O5 l" d
$ {$ q$ \8 h) h* _3 @6 K# h 在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。* Y" k- e, ` o$ I6 G! D, E
" D, I/ [. [& U8 S2 K3 w% z. c5 r 而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
! H4 D: @# ^1 |4 j9 ~; t6 G$ d/ ^# p
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。4 L( l, z4 T& F6 o. ^8 [5 d
* n) k! c2 I+ A
信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
" ~1 s' C4 C8 E1 Z
' h. ^7 R" F, I1 w3 }# A) g 根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。
2 |9 f" R# r' q! V2 I
' p* D5 u0 j, T- K# }" I 陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。
4 M5 E1 W4 w9 z7 p5 c( \+ S$ ^
9 W: X+ j( N/ c$ o4 J; D" g4 p 在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。: j% k+ `5 U! N! e- V' c. a
# N2 f1 C( \3 }% y5 F) r. n! E4 j 在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。- ^- K5 h/ P4 B- L6 }# ]/ O3 |% X% A
% p5 G3 V. D( ~8 W8 U9 L+ r2 d 绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。
2 w* ~( r' A! E+ R/ \, Y2 v7 k0 A [; }# H8 W) W+ s4 O
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。
3 V0 F+ B: Y1 |% t
5 S- P9 V- `9 h" S" J2 s5 F$ W; E. I 找不到买单者2 R$ V* ?" l' i0 m9 o. `( f3 U% ?# M& X
2 T* T) ^% Q% r3 P
正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。- B% u, c+ x; |/ G
! Q: G1 v2 l' N) W3 n1 z7 I 根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
, a2 J! B/ K# X& L1 J2 d# _3 S% b. K. A: |
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
6 _3 L. n' P4 {" x7 |7 S% d+ b! s1 b" w- I
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。( C2 t3 T( m. ?
2 i0 ?( e3 H; \2 r2 h 协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。+ O6 h9 q4 d' ~6 q
% |; g0 O& K' ~+ k$ D: p7 W
“责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”0 s% ^2 q) q' {$ I2 w7 q) }
. n" Q% O1 [& c- d' P% N3 Y
但招行自己并不在“乱设POS的收单银行”之外。" {" i5 c- y; V- {& j* S
2 R0 v5 V% B2 M9 f 据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。
0 B3 i# u! L3 s# V) h2 Z( q% n3 {3 J, o
这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。
. e2 a9 A2 t$ x) M4 U9 d% o6 J5 q2 [, {1 }3 c" d
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。7 Z) Q1 n' x0 K0 }+ B( m5 J
* ~1 [) |: S- I( r! D( {7 N 那么,商户资质审核是谁的责任?/ I) S5 t& [7 P6 V; U
7 D4 c: |' a4 C 在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
7 O, P1 E* _ Q, k u( M2 j7 F4 J3 p# W4 c% M9 e
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
( `: W. b8 |$ V3 J( I6 B! \2 L+ s
“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”8 M/ T3 y5 I7 W: Q- ?
" P' [7 @! e+ K! {$ m4 M6 u* ]7 e4 `3 x
第三方支付之患7 r3 l1 s9 R2 E! j. D0 [/ V0 M
7 L. i' V H, W9 e7 i; [# d 而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
+ ]( M$ r7 c% R/ U) L: {5 p3 V) ]
. l- \. i4 L4 y# L; n F “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。" [8 K/ `' C& F6 |1 d1 ?" ]/ t x
$ v3 Q r& Y" s9 b- c$ |. y 在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。. g8 Q4 }2 u. X; Z9 P: J- m
# \, l2 T. M v3 y$ T- p 至于此种“合约规避”是否合法,并无相关法规明确。& C% p( [" |5 Q# A3 r0 a
/ Y5 `; [& Z- Q1 k$ o8 @3 e5 D
“这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”' F) Q# K- J# g% ~6 g" I
+ d ~. S0 `6 [! N& i
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
3 D" n) A& ?. w B, I1 a7 A8 R/ a6 L0 K1 J: Q: b" ~7 N
至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”. Y5 B- I" I u% |5 Y) h! r
' L: t! w* O% A- r
而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
0 |2 H$ N, W% ^* ?# Y, @+ e; w1 D% @* b( D' E0 R- J- d! d
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。/ l$ v/ e. C& S6 W
% j3 n4 n) _3 P3 s% |! c
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。
: x) {$ @/ f2 a* H6 r7 }0 P& a' T+ y- r; s' S# H; v6 }
在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。7 u, k: b. M7 [' N4 @# L6 J" C
y! U6 t) P- p$ @
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
# n8 p0 x0 g% T6 Y. S" A: j! v
5 v+ P% R6 ]+ M+ q" { 这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。
# ?8 n9 U+ z0 W. x) o+ V$ K: W
; Q7 A6 j, \6 L3 w* Z6 E 或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。, J" V4 d3 [$ B# H4 O3 w2 K
( B+ X/ [' [# b+ R/ V$ l
“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡