每張信用卡,都可以輕松盜刷,只要你懂得利用現(xiàn)行第三方支付系統(tǒng)中的一個(gè)小小的漏洞。
比如,只要打通了信用卡“離線支付”和“過(guò)卡支付”——兩個(gè)原本并行無(wú)交集的系統(tǒng),你就可以從別人的銀行信用卡中把錢(qián)劃走。
這些錢(qián),將如同多數(shù)的信用卡離線支付一樣,依次經(jīng)過(guò)發(fā)卡銀行、銀聯(lián)、收單銀行、第三方支付機(jī)構(gòu)之手,抵達(dá)你的賬上。
當(dāng)然,信用卡持卡人可能總有一天會(huì)發(fā)覺(jué)錢(qián)不見(jiàn)了,但他也將無(wú)可奈何,因?yàn)檫@種無(wú)頭公案,最后總是找不到負(fù)責(zé)的人。從發(fā)卡銀行、銀聯(lián)、收單銀行,到第三方支付機(jī)構(gòu),都只會(huì)把他當(dāng)皮球踢。
于是,這個(gè)可能釀成金融風(fēng)險(xiǎn)的漏洞迄今沒(méi)有完全補(bǔ)上。于是,被“盜刷”的錢(qián)仍在源源不斷的流入發(fā)現(xiàn)這玄機(jī)的精明鬼手里——這些第三方支付機(jī)構(gòu)的簽約客戶,至今還沒(méi)有誰(shuí)被投入監(jiān)獄。
這堪稱(chēng)世界上最安全的犯罪。直到最近的這一周,這一切混亂才終于引來(lái)一場(chǎng)監(jiān)管風(fēng)暴,矛頭指向給上述盜刷造就風(fēng)險(xiǎn)缺口的第三方支付平臺(tái)。
6月21日,央行發(fā)布《非金融機(jī)構(gòu)支付服務(wù)管理辦法》,要求非金融機(jī)構(gòu)必須在申請(qǐng)和獲得相關(guān)牌照后,方可從事支付服務(wù)。
“(第三方支付)這個(gè)領(lǐng)域新的風(fēng)險(xiǎn)隱患相繼產(chǎn)生。”央行相關(guān)負(fù)責(zé)人在解釋對(duì)第三方支付實(shí)施準(zhǔn)入制的背景時(shí)說(shuō),比如支付服務(wù)相關(guān)的信息系統(tǒng)安全問(wèn)題等。”
那一串?dāng)?shù)字里的秘密
陳方(化名)是那些莫明其妙的買(mǎi)單者之一。
這位普通的工薪族,平時(shí)使用信用卡的次數(shù)很少,每個(gè)月都細(xì)心地核對(duì)對(duì)賬單。這讓他很容易發(fā)現(xiàn),在自己招商銀行信用卡的9月份扣款中,多出了記憶之外的一筆,金額300元。
陳方給招商銀行信用卡中心撥去電話。幾番溝通后他獲知,這筆錢(qián)由網(wǎng)銀在線為“樂(lè)在上海”代扣走了。
陳方回想起來(lái),一個(gè)多月前,他在街頭遇到“樂(lè)在上海”的攤點(diǎn),工作人員熱情地向他推銷(xiāo)一種本市消費(fèi)折扣卡,并許諾30天試用期過(guò)后不續(xù)訂可自動(dòng)取消,然后遞給他一張?jiān)敿?xì)的個(gè)人資料登記單。
“要填信用卡卡號(hào)啊?”陳方有點(diǎn)起疑。
“放心好了,沒(méi)有密碼我們劃不了款,這只是個(gè)資料搜集。”工作人員說(shuō)。
陳方想起自己的信用卡密碼,放下心來(lái),把卡上的數(shù)字抄在單子上。
后來(lái)的事表明,正是這串“數(shù)字”,讓陳方的信用卡成了“樂(lè)在上海”的提款機(jī)。
隨后,在與“樂(lè)在上海”、招商銀行溝通均無(wú)果后,陳方聯(lián)系了本市電視臺(tái)新聞熱線。很快,一直聲稱(chēng)“持卡人責(zé)任自負(fù)”的招商銀行,歸還了陳方上述扣款。
記者了解發(fā)現(xiàn),上述款項(xiàng),依次經(jīng)過(guò)招商銀行(發(fā)卡銀行)、銀聯(lián)、網(wǎng)銀在線(第三方支付平臺(tái))、收單銀行,抵達(dá)“樂(lè)在上海”賬上。
“我們是這件事的受害者,墊付了這筆錢(qián),現(xiàn)在只能計(jì)入壞賬。”招商銀行信用卡中心宣傳策劃室副經(jīng)理丁詩(shī)妮表示。
“我從沒(méi)聽(tīng)過(guò)這種案例,也不知道問(wèn)題出在哪。”中國(guó)銀聯(lián)一位相關(guān)負(fù)責(zé)人說(shuō):“銀聯(lián)只是跨行信息轉(zhuǎn)接,網(wǎng)上銀行的控制由各銀行控制,或者第三方支付機(jī)構(gòu)。”
“我們不會(huì)插手。”網(wǎng)銀在線人士對(duì)本報(bào)記者說(shuō):“風(fēng)險(xiǎn)控制是銀行的事。”
至發(fā)稿時(shí),“樂(lè)在上海”方面未對(duì)記者的求證作出回應(yīng)。
記者了解發(fā)現(xiàn),案例中的收單點(diǎn)簽約,是由第三方支付機(jī)構(gòu)——網(wǎng)銀在線完成的;相應(yīng)的風(fēng)險(xiǎn)控制漏洞,亦由此而來(lái)。
危險(xiǎn)的“第二種密碼”
“中國(guó)信用卡使用規(guī)則和美國(guó)等地的通行規(guī)則不一致,造成了操作上的混亂。”一位中國(guó)銀聯(lián)美國(guó)分部人士告訴記者。
信用卡的使用,分為“過(guò)卡交易”和“離線交易”兩種。前者由持卡人持信用卡在商場(chǎng)、超市等“實(shí)體店”的POS(銷(xiāo)售終端)機(jī)“刷卡”,并簽字授權(quán),完成交易。
離線交易,則常見(jiàn)于酒店、航空公司銷(xiāo)售中心、公司財(cái)務(wù)等,同樣通過(guò)POS系統(tǒng),提供信用卡賬號(hào)及其驗(yàn)證碼,即可完成交易。
在美國(guó)等信用卡起源地的多數(shù)西方國(guó)家,信用卡不設(shè)密碼,兩種交易方式中,交易憑證僅為簽字或驗(yàn)證碼。
而在中國(guó),根據(jù)本土消費(fèi)習(xí)慣,銀行往往鼓勵(lì)持卡人給信用卡設(shè)置密碼,來(lái)保障用卡安全。
“這種雙軌制的信用卡體系下,中國(guó)消費(fèi)者幾乎都不知道驗(yàn)證碼的存在,更沒(méi)有相關(guān)的風(fēng)險(xiǎn)意識(shí)。”一位銀聯(lián)人士表示。
信用卡的驗(yàn)證碼,被稱(chēng)為CVV碼。它是一串3位數(shù)字,由卡號(hào)、有效期和服務(wù)約束代碼,經(jīng)過(guò)發(fā)卡銀行的編碼規(guī)則和加密算法生成。
根據(jù)信用卡卡種和印刷位置的不同,還有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡號(hào)后面。
陳方在“樂(lè)在上海”資料單上填下的,正是其招商銀行信用卡卡號(hào)和CVV碼。
在招商銀行信用卡中心提供的“信用卡(個(gè)人卡)通用申請(qǐng)表”及所附“信用卡(個(gè)人卡)通用領(lǐng)用合約”上,都沒(méi)有任何介紹性、警示性文字涉及CCV碼。
在信用卡用戶與招商銀行簽訂的唯一一張合約,及銀行網(wǎng)站上能找到的“信用卡介紹”中,CVV碼絲毫未被提及。
絕大多數(shù)的持卡人對(duì)CVV碼的第一次接觸,發(fā)生在網(wǎng)絡(luò)支付的實(shí)際操作中——“請(qǐng)輸入信用卡卡號(hào)后三位數(shù)字”。但沒(méi)有多少持卡人意識(shí)到自己正在使用另一種“密碼”,它也需要保護(hù)。
招商銀行不是孤例。記者查閱了建設(shè)銀行、工商銀行等行提供的信用卡章程,上面均無(wú)任何CVV碼的使用保管提示。這似乎是個(gè)沒(méi)有公開(kāi)原因的行業(yè)慣例。 上一頁(yè)1 2 下一頁(yè)進(jìn)入論壇>>(責(zé)任編輯:原野)聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.
推薦閱讀
ICANN最早周五批準(zhǔn)代表成人內(nèi)容.xxx域名
在線成人內(nèi)容產(chǎn)業(yè)規(guī)模巨大,有數(shù)據(jù)顯示,每秒鐘有3000多美元被用戶互聯(lián)網(wǎng)色情內(nèi)容上。而“sex”也是全球排名首位的搜索>>>詳細(xì)閱讀
本文標(biāo)題:信用卡存危險(xiǎn)盜刷暗門(mén):利用第三方支付系統(tǒng)漏洞
地址:http://www.sdlzkt.com/a/01/20111231/241146.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示