- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
 
- 威望
- 9084
- 在线时间
- 1242 小时
- 金币
- 6988
- 贡献
- 300
- 存款
- 1660001
- 最后登录
- 2026-5-10
- 注册时间
- 2006-5-10
- 帖子
- 1841
- 精华
- 6
- 积分
- 15416
- 阅读权限
- 200
- UID
- 10
|
信用卡存危险盗刷暗门:利用第三方支付系统漏洞
8 l) ]& ^ l% L1 D6 j+ J, y; W$ u2 x3 k
+ l8 Y/ j1 A2 G5 \2 o1 {
每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。: ~6 T# T4 d' f( s# a! X0 h' M/ Q! ^
3 A! P1 \9 a8 @6 P# S 比如,只要打通了信用卡“离线支付”和“过卡支付”——两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。
2 A% b, A0 }' Y9 d3 Y' z9 S, U* h0 e: A: r7 w6 l
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。
( j% m' K( j# n( N; }, {7 `1 @) [, _* O7 d6 A( s( H
当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
0 H" p0 O5 J0 S7 W1 ?" K8 u4 D% _2 Y+ D: C+ I3 i- r( C
于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里——这些第三方支付机构的签约客户,至今还没有谁被投入监狱。4 D, `3 K, { ?# v3 ]
, A; ~, [3 O/ F0 u/ F 这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。* ~* s" I4 Y \7 L
& _3 i2 G$ a; u, ~
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
$ [( q5 f' |2 H* X8 ~% Y% x
, T6 R9 }; F0 R* Z" p: } “(第三方支付)这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。”6 U6 F8 t N2 ]
& [, i1 Z3 ^7 h2 n# ?2 Y1 P 那一串数字里的秘密5 [8 b, C& c% P* m4 n
2 @, O( A; `& L: H9 u: {, x
陈方(化名)是那些莫明其妙的买单者之一。5 L* M) [+ g( ^! _: ?* H% S2 n4 T8 k
6 |' n+ E% K7 ~" \) ~" a A( X
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
. b4 ?4 C3 Y+ P, L( w" }" O5 i
/ Q& t6 L/ f$ \: e 陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。9 t h! M( x! x! k
E E! I. R9 a( D+ z3 j
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。" a- j7 K$ u( Q. d4 L) m
5 z8 E+ |1 _8 I% v- ^; p
“要填信用卡卡号啊?”陈方有点起疑。
% _* B, {3 w& R, T
3 |( j- q* p# q9 \( Z, ] “放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。
$ G+ C+ u$ M# N. @% e. ?- q- q# M! A. l2 o% e; J8 \
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。) h. O% a0 X1 k- T5 r" q
& g* d5 N8 j& H
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。6 q) D4 o, ~1 E: r1 |' X
5 }6 h! f! U1 U* r9 _' L& u; f
随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。% T6 @" @. v$ f$ b* Z+ n7 ` x8 g: Z
* A3 f2 U5 B9 Q$ I* B# G 记者了解发现,上述款项,依次经过招商银行(发卡银行)、银联、网银在线(第三方支付平台)、收单银行,抵达“乐在上海”账上。: x! r' t& _* b7 A$ F9 r
) M. [; G3 P* r3 N) P1 U4 o* x: A; u
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
; N& i ?, {' l+ |& ]0 i6 c$ ]2 _3 ~3 ^* V# T" Y9 c4 _- W
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”% P7 Y7 b1 Y/ k! S3 O: p6 Z
0 A/ {; a2 g" \9 e6 s “我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”
: ?( m* q3 Y6 g# y, O( v' f% \
" {# g. ^' ?& B 至发稿时,“乐在上海”方面未对记者的求证作出回应。
0 ?+ }; R' M6 o. Z+ {, x. E5 T8 J1 X8 s7 ]
记者了解发现,案例中的收单点签约,是由第三方支付机构——网银在线完成的;相应的风险控制漏洞,亦由此而来。0 u3 G/ z( V& D6 l. ~( ]
+ l3 X# g; H) { 危险的“第二种密码”
. d0 X' t4 ]1 t8 I# a+ c' W# n) E! I Y4 s6 s8 A# _8 L
“中国信用卡使用规则和美国等地的通行规则不一致,造成了操作上的混乱。”一位中国银联美国分部人士告诉记者。3 X( D" O' a& k9 i9 U L" g5 V
% `& T4 _8 Y3 d4 e) [) V0 I9 V 信用卡的使用,分为“过卡交易”和“离线交易”两种。前者由持卡人持信用卡在商场、超市等“实体店”的POS(销售终端)机“刷卡”,并签字授权,完成交易。
A b3 Y" t9 M6 P/ [6 v+ J# I# Y% m S
离线交易,则常见于酒店、航空公司销售中心、公司财务等,同样通过POS系统,提供信用卡账号及其验证码,即可完成交易。
* U8 y$ x: D+ t! ?& d8 j) x2 _; g
: I: `5 V" F& j& v& W& {/ H 在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方式中,交易凭证仅为签字或验证码。
. w+ l0 x) b8 S
6 D: {! d7 p7 ?1 U: V$ J8 D 而在中国,根据本土消费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。. S. U# @1 U X9 A |: M
$ W/ D- y8 n1 l! y
“这种双轨制的信用卡体系下,中国消费者几乎都不知道验证码的存在,更没有相关的风险意识。”一位银联人士表示。
: A7 [; e( F) k, d" b/ B
9 U/ G3 l5 T9 L& x 信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。
" b. \( q0 \5 F+ g; y% S; w U1 K* l- u0 x9 [8 S( _8 n
根据信用卡卡种和印刷位置的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。/ E1 X/ b$ s V6 B9 Z
7 d+ j! m; X* S9 Q' _0 N
陈方在“乐在上海”资料单上填下的,正是其招商银行信用卡卡号和CVV码。) l# @/ `! C, S0 m2 f1 i& D
: C0 s% `' K2 z2 f/ Q1 K/ c( z. U
在招商银行信用卡中心提供的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。8 ]6 A* }, {: _1 G2 B' {5 E
7 R( `& d6 @. P- D. {5 a
在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
# o2 K$ P3 v5 I( r" p0 V/ R. b: O5 d
绝大多数的持卡人对CVV码的第一次接触,发生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在使用另一种“密码”,它也需要保护。% O; ~1 p* K, K& x, o9 H9 D
* o1 Q: Q. A: t$ g3 b3 S+ k; l 招商银行不是孤例。记者查阅了建设银行、工商银行等行提供的信用卡章程,上面均无任何CVV码的使用保管提示。这似乎是个没有公开原因的行业惯例。
' h/ H; j0 g# j: c
! @' o- n; y7 O% a2 w7 \ 找不到买单者
. t1 m# N! r% |0 U/ ?
3 Q" V) R: S, L+ ^ 正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。. c3 U, c( x0 x5 p$ e
2 }+ Z8 U+ Y/ K8 s 根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。
# }; f, N; z: }6 T' ?" h( H' p: ~& J, N4 H+ K7 O+ O& h2 ^# W# x
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。, ?! V4 E H* M- M6 w( T: f: z
% a& K4 h, `+ h8 j2 D 根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。 S+ B) I3 O. A* b& `
; c% v5 ^) t+ C- `% r
协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。; G. m0 n! T- B
, Q% z, Q' H" I1 X8 ^. J9 V; e “责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”
! y- f7 [: z4 P1 d
+ z. n% o+ D9 [, ~% G1 ]# d 但招行自己并不在“乱设POS的收单银行”之外。
, m8 ]2 @' m% O; N( o$ h9 ?8 j5 H% e# \ W! F4 Q" [8 z
据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。+ w4 X$ ]3 d7 o
, \5 j, e3 z( k# T5 ~ 这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。1 d5 W# S0 s# e: @- m. E. w2 t) w
3 s0 [8 Q1 {" b) y, [
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。7 F* y% g1 o2 B3 F8 V
5 B' N0 T1 D; O) H1 v; [ 那么,商户资质审核是谁的责任?4 p$ N: X4 d" g: k& |: V- g3 D- h
0 ?9 m' V! C( d) O6 z& ]" q7 P, Y 在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
0 r% {; L9 i2 J" `' @0 W: t: ]$ o- D2 s' }4 B7 e
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。
0 U* }0 X6 `; S: v( G$ k$ ?4 i6 G2 X( A# S
“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”' u6 R3 R7 K$ G# T- t
, R8 l4 l3 ?7 C7 o6 e. i 第三方支付之患) }6 p B4 u+ M
4 D6 m# k4 K' M" i* S$ s
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。( L$ O4 B- Z1 w: B2 }
( v0 `& E( M5 t( @9 c+ \ “我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。0 A# E% @) e3 E# G
: ]# i+ d. q9 d2 M5 Y7 A4 i0 \, U 在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。
1 h" c( W7 y( M: c9 u9 B# Q2 x
@1 v5 o# E# m' Q, N: o) f$ x, P 至于此种“合约规避”是否合法,并无相关法规明确。$ L1 B1 G; |9 j: s! S4 m. [
# L6 @& q/ T: S8 G; g/ {; m0 _ “这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”
/ v; n/ h: T) b( S: O/ d+ ~) Z" d+ i$ f; l8 Z( E1 x& c
那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。5 ^4 e& p2 g+ s, Y: x& ^0 p7 ?
7 e; D& V" y( G9 U. ~3 G 至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”- \4 q8 a) z: {& h* p
1 @; }' M6 E) f% g% q 而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。/ L+ s& O5 ]2 i7 R% b
# H% o, y+ A/ u1 V2 P6 ~
“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。
. [& n, k4 ~! C0 G3 @# S
- |. e* ?% Q7 p% f6 r. l6 b5 ~ 该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。; X3 H2 v4 \% B% j7 Q
9 V: G8 K6 j; x, }: f1 `% L9 ~6 c
在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。8 Y! Z ?( K6 S* ~. ]
3 U! F$ y1 }$ ^7 o( ]% R& y
然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。
' ^" ?& z* F% x
1 c6 I, c# P- u3 a$ b$ S' m 这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。3 d$ E. d0 c, B
* \2 Z$ W! ^. O* s
或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。
8 u1 @. h, z. r
1 M8 J. c; ]% l$ K8 v “考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。 |
|
发表于 2010-6-25 17:20:37
分享
收藏
发表于 2010-6-26 14:36:04
好采.我系穷人,矛信用卡