- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞4 E0 q6 o' h" _1 }
1 X- K* r* ^+ X3 _* s
\# _6 G5 h2 w5 I. s2 G4 [* ~
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。
! y7 _8 i8 W: G" E4 |8 |$ Z9 E! M! G2 W2 T
比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。6 z2 u! m4 [& L5 ^3 p3 }
6 v, x" b9 r5 w3 A/ w4 F 这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。* X5 d* Z3 C z; C# a0 q# F
/ V3 _( r- G% U( [4 J 当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
8 v; l& r. I/ R s+ F Z( M5 K9 b
' y" m5 k. g! P: e4 ~4 { 于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
, P0 b' ]/ }% u
8 x2 z% M9 n" n% j0 M8 @0 k9 q 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。! x9 L8 E+ I& w0 U- D' M! ^9 _
' m ^. _5 B0 ^9 n: { 6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。4 s$ h) y! B" S! H3 ^3 ~) _ \
4 \3 X+ L0 R/ `- r “(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”
4 b1 g$ F; `' f$ q) }* k2 ?/ d( U& c: }, I7 h9 T$ h
那一串数字里的秘密
( G6 e6 M1 R# R; k& n2 L- ]6 b x, Q3 w. T2 i" c4 S
陈方(化名)是那些莫明其妙的买单者之一。2 N. N3 E1 y; O7 ^
# X/ L5 i' H% a- W: }
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
7 ^! V8 j+ W$ ^1 d% ~$ F' X, I o4 c2 P% c J
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。* |" N& l. B3 s, Y% `
* m8 h6 i2 N# {. F7 W, Y, C+ w
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
6 w& D' Y( I5 P+ s& d( ?8 R4 `, d7 X; ~; l; q) O- ]; x
“要填信用卡卡号啊?”陈方有点起疑。' {: V3 v& x# k% r$ }
1 e* M2 _1 R" N2 X( v/ u
“放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。3 X! R9 r- F' c9 j7 d
" h9 s# l" T& K3 m. C& J: B
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。1 L/ M& ~5 N6 ?' N6 f
, M; ]2 I- M5 n/ S( d8 M. {/ l y
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。
% l& X3 W; d/ G* |% Z5 V7 }& D3 X5 X/ \; M" U. N
随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
0 d( _) ]% c% Y Z! A- K' c5 t1 Q4 o) N, e! b
记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。! g+ m9 y2 ` `+ p6 w/ P
. f, p; c+ |5 ~' J/ D" T, t, P
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。# r& W% B/ R. Y2 C
8 s# K4 q/ y% U: q* R' b. n
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”$ r) X( H0 M: Y9 e; U! U* \# ?
; |# `" ?3 U0 B; @+ _ “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”$ e- ? w6 q3 _( p) K" Y ~
, @: Q' g1 {1 N' F! N& a' r
至发稿时,“乐在上海”方面未对记者的求证作出回应。 G2 h; p6 ?3 u: } D8 v) [; M
2 E8 w" x. E3 u0 W5 l 记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。" @; {6 j% s; f( T. ]& v
; U- |$ t1 @6 p; r1 ^8 E/ P
危险的“第二种密码”
; f3 X# |) a: g' d
! D$ d0 Q& x9 u0 z “中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。. k: f2 }0 w& c. j
/ U6 E0 {: k+ }2 I- |: m
信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
4 m9 k7 o* n7 c! l Q2 u9 ]5 E4 L
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。
+ b% g9 @6 n1 I9 X5 t, m% f) e$ Q, H
在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
$ j& V/ i: t: n6 m3 g; V; z/ K6 D* g! S) z O8 u5 [; }, D9 i
而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
: O) k2 X: }0 d- |4 s, m
- g- z7 s, \) _6 Q “这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。. |# f5 I" Q, W# ?% {* U
) f+ T' T, E: L1 T
信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
2 C$ O; [+ E/ }) b/ o' f8 x, ]& _% l! p; K+ \( S
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。
4 l( O0 m+ V9 k# h V6 M/ F# |2 Z" O; H: y/ U
陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。( u% L/ j) C! E$ |3 ] I
! E! O \9 _ x5 N% X; \ 在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
0 N2 V8 }% [% _% |' g+ f& T- j" N( k. a9 C
在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
4 m7 q/ ~& @- J6 U$ S
; w0 Z$ h0 j% u2 {9 M7 l0 r 绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。
5 {, p7 x; t& ?! S. c' y; _# q2 i$ V8 ]- C" h7 p2 }' v
招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。5 Q/ z& |. L7 b! w2 @7 P. O' Z
" l7 Z A+ D8 h/ q! ]
找不到买单者
: m2 U. X4 K B# Q Y0 b# t' Y9 p- C
& j" h/ \& ?4 j A9 L7 a) j4 f! V 正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。
0 _4 z1 }. i8 e8 f) u: G$ s4 p& U
$ h3 u$ O; t$ u0 {4 m# n 根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
$ O/ G" d! H, d9 R3 F8 I. I7 |5 e% E; j3 L& X& Y {
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
, \9 k) ~2 {. j: u* @! S h8 _: l1 c9 H, U
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。
& M1 V* L9 K, _1 T- ^
# k6 ~0 l- b! ^; i! R- a9 S 协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
: @! K7 `/ s! @: W4 h1 K2 `
- x9 U# K+ @' F, E( f' \ “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”
! @7 K6 U7 m1 I, W7 ]3 o5 Q) Z0 A
但招行自己并不在“乱设POS的收单银行”之外。
: r/ ?+ w- l9 C" R: _2 A! Z+ R5 G9 o% v+ N! G. y, z' P1 D
据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。; G a/ U* M) m& f$ B
4 S' V0 ]8 n) C; @) g+ D7 ?
这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。
& L: V8 }6 d# j3 A4 i9 i
8 _2 H" p" I) r! J4 Y8 j: N# L3 e 而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。+ z( Q$ e* D8 }+ k, a9 U
& n7 o8 @5 U' n( Y* H: _4 N0 c+ n) ? 那么,商户资质审核是谁的责任?7 E$ Q1 s F0 E0 F' K
0 o0 k+ z1 h' G/ q# ^5 Z; t% L. L) y
在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
& J. i* p+ j" G9 b, i% c& r! C! b
( w; u1 i) f! \* D 在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
' U& @. s6 X1 B' [
2 B& L9 Y# u6 Z& M5 b, a. x8 f “资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”1 u8 g# s# d0 i. C9 V+ C: N5 Z
% T4 d7 S; N* u8 ` v+ i" E 第三方支付之患
5 g' S1 c* ? G" ~2 b8 ]) C s$ Z' [9 P9 ^, @
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。
: i; s9 J; z- k% E2 u+ Z* g7 e2 n
' _$ U: q7 s O n' b' Y/ ` “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。- `$ X$ G7 s1 b4 M# _0 b
" Y/ s t1 M* ]& }& n* z% t
在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。. \* k( i B1 @$ b; W0 I4 D& Q1 |6 C* Q: O
3 l8 N4 e1 p' H- k8 O4 }& O 至于此种“合约规避”是否合法,并无相关法规明确。
y: u8 v3 b) t) K7 w
; `& S4 [8 H# ^: u “这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”5 G- c( R. I3 V, y. |& j8 s
3 l. S! k4 D: m2 I
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。
7 k0 X$ T' n2 K, x4 r+ z1 n8 b; x! \( t
至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”
& J( d J, L. S; Z. o/ w2 x! s# m" [+ ^
而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。
0 i9 |8 t4 S4 G; W8 E' k/ j; H" }6 u6 H, K; T7 Z5 O
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。1 Q! y" `! B4 U. i ^/ p
0 U! U: `' p; ^5 B' L( {( q, @ 该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。 O' ]2 Y7 d* P& B* q
+ \& O, N0 E6 g* L. n/ H4 Q& B
在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。; |- R* x( e( d" y( s
& j2 J( n/ z$ E3 Y% F
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
% j" C$ r; x; G' L/ D! w. y" z" V) p: Q" F4 I1 q
这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。: M+ c/ R4 D( K2 [- a
$ D$ B( ], a0 w4 `% e, O4 w+ G
或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。% ?4 ^: d; ^' J! v/ x: r7 M
( t, P2 L+ b. l# Y" d% x
“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡
