- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞- |+ n* i+ v* v! A
6 [* G ~5 ~8 D; p% p7 Q3 d+ p
- t& F7 W5 _3 U7 z4 C. T, ~( C
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。$ h. W8 A1 n. I8 S* B: c/ T
3 [& K' R) F3 j; a9 O4 g t
比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。
% q# `: r; \4 V. x0 J6 y9 b/ M4 t- d- S5 w* G, ?
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。
( I, w. O( ~& e7 ~# T7 a% o9 x2 }" o+ K8 p" L' v# X" T- ]9 m. c0 a
当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。) l1 Q- n% J2 }! t0 x
: m% b& U/ z: x) c! U
于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。: H! Q, R% ], y6 S
* w0 c8 \5 o6 Z% d) W: B0 u 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
2 Y7 C: y8 m6 I; ^' ]( `$ s
: U4 c3 e' ?& z" d 6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
( X5 t9 `: C! m) K8 D0 V7 s4 q( s" _5 m( |7 C g: h
“(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”
( W, I; x/ w1 P+ J4 q
! H y! l5 u/ v 那一串数字里的秘密
$ s" m% J4 ~1 ~. [( W1 U1 M# N7 n. }& l& P H3 n6 [; D
陈方(化名)是那些莫明其妙的买单者之一。9 K% f% p* j* R9 E2 ?6 W2 X
% J2 C- D1 h. T- k# b9 ]
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
9 q8 D1 g( b6 R, h, a x0 I. V- {* w2 f( i: c
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。/ r/ T! @( x; U) }8 n& H
W( H+ Q8 X) c
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
3 G; B# k/ r' s8 m, W! p
) q9 g- q: g' B; @% N3 D “要填信用卡卡号啊?”陈方有点起疑。
2 i, p- Q) q, S y$ g
" v9 ~% h' e" F. O# H “放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。
7 s: \2 |! o$ R$ O! J t. R
5 C/ l: z5 g- o. A1 q r 陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。( ^7 F8 H/ _# P
0 ~1 T% X2 K. ?- M: p, j
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。3 Z9 T0 T* [7 I" q% i/ o
, U! k; W. y- m! `9 J. [
随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。. f" c) _7 E; P! n9 g4 z, Q% g
1 R% k% W1 h1 w c
记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。! a8 l( i( O9 s
( K( D1 ] n( H* K, X “我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
5 `4 `# ^* t0 A: J3 u4 L" h, f" M. W7 x* f( R5 t9 B
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”! O( ^, j9 r& ]# c
' X! e- U4 l# \- {: Q “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”
1 ?! w( [9 E7 b A
# Q5 Z9 @ d- F9 { 至发稿时,“乐在上海”方面未对记者的求证作出回应。$ g/ ~) k C! }
) y' }% p% g- X5 Y) e3 @& j0 Z3 w
记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。( D. z: e7 a' F1 E1 Z$ \
1 r- E- z- W( ?4 z, }. `
危险的“第二种密码”2 _; ^3 n6 S$ L7 L6 y
) ]# M0 e$ X6 _* @8 n( t
“中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。7 w8 b% P3 J( H: a! Y
! H) F$ t0 m* n2 {9 r3 m. D+ f 信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
' m4 O% V( M- H8 K, v- P6 `- j3 _$ t+ m! E. M/ w
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。
4 s! ?0 u( i: q) L& Q+ o1 c8 a! r( ]% u1 B) }: m4 `
在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
; e: P& W5 d) Z& e; P$ f) F3 I4 Q* u
而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。4 a2 J: Y% ]7 D
. z" u3 u5 w+ P5 K$ s, i9 U
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。* V/ A$ u$ j, b+ x; a
$ y( A5 o" d7 \7 B7 y; Q 信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。5 w+ M- G1 u" f! n8 Z
% D: i7 T! P& \- M' g7 {4 X
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。1 h) |9 i! o% A
- N' A ^* Q# T) C* f5 ` 陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。* }. b4 k% \/ W I, P5 b
( ]5 z0 O, ]: @* c6 k4 s7 g0 h8 y/ Z" H
在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
* q* d+ o* j% w u' A9 T2 h
4 w7 n) j2 `9 W; ], D- w) B 在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。/ S/ r& e6 Y) Y, L! Q
1 \' K/ o! M% H7 x3 j7 f5 G 绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。
# J1 T8 z! v' b) c8 ~, L/ a- A# U b# M& f/ x, @# U
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。- `9 d! D! O0 Y9 R% m) x; n: F
- `- H0 }( J! ?1 C
找不到买单者' `$ W& s, a$ Z4 U) }9 ]0 ^
$ J8 p! F* D) T6 h( I3 c 正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。9 o% F( r- O: t5 M
" x; y% U( y7 ^# Y3 f' F/ V
根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。* i- P( K8 b% Q6 r0 Q
5 y0 G E! e; N2 l/ t( P 身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
/ S3 S$ Z7 L4 x& D4 l7 T- z6 n4 R% B) r; O: O h# l: m
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。+ o4 G+ _) G' c+ J p2 U/ ?
/ G5 _4 u `6 X 协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。& w5 B. d" h$ w; \) d( L
) u5 l3 h# i$ w3 C; P/ V
“责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”5 v; E6 h3 C/ S4 L, j9 q
$ @3 j( @7 a! L9 r4 Z+ y
但招行自己并不在“乱设POS的收单银行”之外。( b9 A% S3 K# @
3 V5 M {1 m1 u2 \# C" b
据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。& `+ l# c/ ?" a
) _% e% y/ p9 W1 A 这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。 U" O& r! a) o; m
. ~2 F4 R( N4 M+ Z* M
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。: n. d6 w9 T$ E3 C' V3 d
# O2 B; o4 g5 n9 i+ X) P! F% ]: | 那么,商户资质审核是谁的责任?
8 z2 `$ s' F& `# S9 `6 H# Y( } Z; N( \4 f& V* V1 X
在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。0 z/ F5 i. r0 ]- P+ o& v! f7 {/ f
A) R/ s2 t( B! [2 r* Z" ?+ J 在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。0 }' ?' g7 O% \1 A1 j& J+ v4 X
6 V" \8 l) t1 E1 v4 H( l
“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”
0 Q# C- P6 h' r/ M$ L* z o
& [3 e6 p' z% `3 y 第三方支付之患- E$ @, e; R! N; H' E4 ^: g: Y
4 x* ]7 K) \. [/ F4 L) d5 |: g 而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。. \' e: ~4 O3 N& L3 R
! F+ o% ?4 K7 k1 G
“我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。) T* j, E" h6 W2 E2 d P9 A
5 q- d* c& G8 D7 J; Q- r* [( v4 N
在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。5 _) D4 ?& r+ N$ R; m
( p* O4 q3 N8 i$ u" } 至于此种“合约规避”是否合法,并无相关法规明确。
b( s& ^; H) m9 I% V* k; }) M" {0 s+ B
7 E5 g9 i4 B# c; Y: E “这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”) ~; O; i7 C: a. V! l9 U7 q' Y5 ?
u# K; y `! f- p+ M. Y
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
9 z; q. s( @, p# e
( ?% z$ O0 y, ~2 ^( W/ p* I 至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”9 v: B( o- Z, F0 G; R3 t: c7 u
6 [. Q; s) f( _$ Q; s: ^ 而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。0 L6 ?" |( Y5 K. [! f2 _
1 `$ X ~! f# i6 R1 j+ d' Z
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。( s0 u# p% a- o4 H% {$ b9 E; S* v7 e3 r
2 V$ j5 j, f7 A9 _8 f5 K6 G
该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。
$ S! e. i; \0 D/ d l1 r
) G7 r7 @7 P1 [6 V, q 在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。+ P+ z0 h( z0 ?/ y' c
5 c: b/ U. J/ L9 s- C& u5 E5 o0 Y
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。8 |( ^ }3 O W: v
1 U9 Q' N1 z; \3 r( {$ S9 _ 这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。
2 z" i6 a7 z( t2 x4 @) k3 d+ q
7 q* s$ E( A' [7 }8 i 或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
2 h& [+ z c. D3 @0 Z, _+ s1 b& o3 U7 C6 B" G( w; [
“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡