每張信用卡,都可以輕松盜刷,只要你懂得利用現(xiàn)行第三方支付系統(tǒng)中的一個小小的漏洞。
比如,只要打通了信用卡“離線支付”和“過卡支付”——兩個原本并行無交集的系統(tǒng),你就可以從別人的銀行信用卡中把錢劃走。
這些錢,將如同多數(shù)的信用卡離線支付一樣,依次經(jīng)過發(fā)卡銀行、銀聯(lián)、收單銀行、第三方支付機(jī)構(gòu)之手,抵達(dá)你的賬上。
當(dāng)然,信用卡持卡人可能總有一天會發(fā)覺錢不見了,但他也將無可奈何,因為這種無頭公案,最后總是找不到負(fù)責(zé)的人。從發(fā)卡銀行、銀聯(lián)、收單銀行,到第三方支付機(jī)構(gòu),都只會把他當(dāng)皮球踢。
于是,這個可能釀成金融風(fēng)險的漏洞迄今沒有完全補(bǔ)上。于是,被“盜刷”的錢仍在源源不斷的流入發(fā)現(xiàn)這玄機(jī)的精明鬼手里——這些第三方支付機(jī)構(gòu)的簽約客戶,至今還沒有誰被投入監(jiān)獄。
這堪稱世界上最安全的犯罪。直到最近的這一周,這一切混亂才終于引來一場監(jiān)管風(fēng)暴,矛頭指向給上述盜刷造就風(fēng)險缺口的第三方支付平臺。
6月21日,央行發(fā)布《非金融機(jī)構(gòu)支付服務(wù)管理辦法》,要求非金融機(jī)構(gòu)必須在申請和獲得相關(guān)牌照后,方可從事支付服務(wù)。
“(第三方支付)這個領(lǐng)域新的風(fēng)險隱患相繼產(chǎn)生?!毖胄邢嚓P(guān)負(fù)責(zé)人在解釋對第三方支付實施準(zhǔn)入制的背景時說,比如支付服務(wù)相關(guān)的信息系統(tǒng)安全問題等。”
那一串?dāng)?shù)字里的秘密
陳方(化名)是那些莫明其妙的買單者之一。
這位普通的工薪族,平時使用信用卡的次數(shù)很少,每個月都細(xì)心地核對對賬單。這讓他很容易發(fā)現(xiàn),在自己招商銀行信用卡的9月份扣款中,多出了記憶之外的一筆,金額300元。
陳方給招商銀行信用卡中心撥去電話。幾番溝通后他獲知,這筆錢由網(wǎng)銀在線為“樂在上海”代扣走了。
陳方回想起來,一個多月前,他在街頭遇到“樂在上?!钡臄傸c,工作人員熱情地向他推銷一種本市消費折扣卡,并許諾30天試用期過后不續(xù)訂可自動取消,然后遞給他一張詳細(xì)的個人資料登記單。
“要填信用卡卡號???”陳方有點起疑。
“放心好了,沒有密碼我們劃不了款,這只是個資料搜集?!惫ぷ魅藛T說。
陳方想起自己的信用卡密碼,放下心來,把卡上的數(shù)字抄在單子上。
后來的事表明,正是這串“數(shù)字”,讓陳方的信用卡成了“樂在上?!钡奶峥顧C(jī)。
隨后,在與“樂在上?!?、招商銀行溝通均無果后,陳方聯(lián)系了本市電視臺新聞熱線。很快,一直聲稱“持卡人責(zé)任自負(fù)”的招商銀行,歸還了陳方上述扣款。
記者了解發(fā)現(xiàn),上述款項,依次經(jīng)過招商銀行(發(fā)卡銀行)、銀聯(lián)、網(wǎng)銀在線(第三方支付平臺)、收單銀行,抵達(dá)“樂在上海”賬上。
“我們是這件事的受害者,墊付了這筆錢,現(xiàn)在只能計入壞賬?!闭猩蹄y行信用卡中心宣傳策劃室副經(jīng)理丁詩妮表示。
“我從沒聽過這種案例,也不知道問題出在哪?!敝袊y聯(lián)一位相關(guān)負(fù)責(zé)人說:“銀聯(lián)只是跨行信息轉(zhuǎn)接,網(wǎng)上銀行的控制由各銀行控制,或者第三方支付機(jī)構(gòu)?!?/FONT>
“我們不會插手?!本W(wǎng)銀在線人士對本報記者說:“風(fēng)險控制是銀行的事?!?/FONT>
至發(fā)稿時,“樂在上海”方面未對記者的求證作出回應(yīng)。
記者了解發(fā)現(xiàn),案例中的收單點簽約,是由第三方支付機(jī)構(gòu)——網(wǎng)銀在線完成的;相應(yīng)的風(fēng)險控制漏洞,亦由此而來。
危險的“第二種密碼”
“中國信用卡使用規(guī)則和美國等地的通行規(guī)則不一致,造成了操作上的混亂?!币晃恢袊y聯(lián)美國分部人士告訴記者。
信用卡的使用,分為“過卡交易”和“離線交易”兩種。前者由持卡人持信用卡在商場、超市等“實體店”的POS(銷售終端)機(jī)“刷卡”,并簽字授權(quán),完成交易。
離線交易,則常見于酒店、航空公司銷售中心、公司財務(wù)等,同樣通過POS系統(tǒng),提供信用卡賬號及其驗證碼,即可完成交易。
在美國等信用卡起源地的多數(shù)西方國家,信用卡不設(shè)密碼,兩種交易方式中,交易憑證僅為簽字或驗證碼。
而在中國,根據(jù)本土消費習(xí)慣,銀行往往鼓勵持卡人給信用卡設(shè)置密碼,來保障用卡安全。
“這種雙軌制的信用卡體系下,中國消費者幾乎都不知道驗證碼的存在,更沒有相關(guān)的風(fēng)險意識。”一位銀聯(lián)人士表示。
信用卡的驗證碼,被稱為CVV碼。它是一串3位數(shù)字,由卡號、有效期和服務(wù)約束代碼,經(jīng)過發(fā)卡銀行的編碼規(guī)則和加密算法生成。
根據(jù)信用卡卡種和印刷位置的不同,還有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡號后面。
陳方在“樂在上?!辟Y料單上填下的,正是其招商銀行信用卡卡號和CVV碼。
在招商銀行信用卡中心提供的“信用卡(個人卡)通用申請表”及所附“信用卡(個人卡)通用領(lǐng)用合約”上,都沒有任何介紹性、警示性文字涉及CCV碼。
在信用卡用戶與招商銀行簽訂的唯一一張合約,及銀行網(wǎng)站上能找到的“信用卡介紹”中,CVV碼絲毫未被提及。
絕大多數(shù)的持卡人對CVV碼的第一次接觸,發(fā)生在網(wǎng)絡(luò)支付的實際操作中——“請輸入信用卡卡號后三位數(shù)字”。但沒有多少持卡人意識到自己正在使用另一種“密碼”,它也需要保護(hù)。
招商銀行不是孤例。記者查閱了建設(shè)銀行、工商銀行等行提供的信用卡章程,上面均無任何CVV碼的使用保管提示。這似乎是個沒有公開原因的行業(yè)慣例。
找不到買單者
正是利用這個慣例,“樂在上?!贝蛲诵庞每ㄖ小半x線支付”和“實體店”——兩個原本并行無交集的支付系統(tǒng),找到了一條生財之道。
根據(jù)其營業(yè)執(zhí)照,“樂在上海”運營機(jī)構(gòu)為上海鵬楊廣告有限公司,它的經(jīng)營范圍僅為廣告業(yè)務(wù)。實際經(jīng)營中,鵬楊廣告的主業(yè)則為發(fā)行“會員消費折扣卡”,向商戶收取推廣費并向“會員”收取會員費。
身為實體店,“樂在上海”卻向網(wǎng)銀在線的上海分部,申辦了“離線支付”業(yè)務(wù)。
根據(jù)雙方簽訂的服務(wù)協(xié)議,網(wǎng)銀在線在互聯(lián)網(wǎng)建立支付服務(wù)平臺,向?qū)嶓w店“樂在上海提供”電子商務(wù)應(yīng)用服務(wù)。
協(xié)議期,“樂在上?!笨傻顷懢W(wǎng)銀在線的服務(wù)平臺,在“信用卡遠(yuǎn)程支付MOTOPAY(即離線支付)”一欄下,登陸被提供的賬號,輸入客戶的信用卡卡號與CVV碼,便可自行輸入金額,進(jìn)行劃款。
“責(zé)任就在這個環(huán)節(jié),樂在上海的收單銀行,對它沒有進(jìn)行應(yīng)有的實體店資質(zhì)監(jiān)控。”丁詩妮認(rèn)為:“它們亂設(shè)收單POS,授權(quán)POS?!?/FONT>
但招行自己并不在“亂設(shè)POS的收單銀行”之外。
據(jù)記者了解,在網(wǎng)銀在線向“樂在上海”提供的支付服務(wù)中,協(xié)議銀行包括招商銀行、中國工商銀行、中國建設(shè)銀行、興業(yè)銀行、廣東發(fā)展銀行、中國銀行及VISA、mastercard等多個境外銀行聯(lián)盟。
這意味著,幾乎中國所有的銀行,都被網(wǎng)銀在線網(wǎng)羅,會向“樂在上?!眰兲峁┦諉畏?wù)。
而拓展這種收單服務(wù)中,第三方支付機(jī)構(gòu)網(wǎng)銀在線向市場鋪設(shè)各類POS時,銀行與實體店并不發(fā)生任何接觸,亦沒有相關(guān)資質(zhì)審核。
那么,商戶資質(zhì)審核是誰的責(zé)任?
在各類離線支付過程,在發(fā)卡銀行和收單銀行之間,至少1個或2個“中轉(zhuǎn)商”,或是第三方支付平臺;或者是第三方支付平臺和銀聯(lián)。
在這種“離線支付”產(chǎn)業(yè)鏈中,銀聯(lián)作為信息轉(zhuǎn)接者,的確不涉及商戶的資質(zhì)管理、風(fēng)險控制。不過,銀聯(lián)亦有子公司進(jìn)行第三方支付業(yè)務(wù),并在該行業(yè)市場份額占據(jù)前三。
“資質(zhì)管理的責(zé)任,在商戶備案的收單機(jī)構(gòu)?!闭猩蹄y行信用卡中心項目經(jīng)理張記洲告訴記者:“誰對接商戶,就應(yīng)該誰對這個實體店進(jìn)行資質(zhì)管理?!?/FONT>
第三方支付之患
而這個案例中,商戶對接的是網(wǎng)銀在線。但網(wǎng)銀在線并不認(rèn)為自己應(yīng)對此事責(zé)任。
“我們不會插手,此事由商戶與用戶協(xié)商處理?!?前述網(wǎng)銀在線總部人士說。
在網(wǎng)銀在線與“樂在上?!钡雀黝惿虘舻暮霞s中,此類風(fēng)險被明文“規(guī)避”。按照合約,網(wǎng)銀在線不介入商戶和持卡消費者或任何第三方之間的交易糾紛,商戶應(yīng)獨自承擔(dān)因其銷售的商品或服務(wù)引起的各類責(zé)任。由于商戶責(zé)任造成網(wǎng)銀在線所提供服務(wù)引起的法律上的責(zé)任,由商戶負(fù)責(zé)或追究有關(guān)方面的責(zé)任,與網(wǎng)銀在線無關(guān)。
至于此種“合約規(guī)避”是否合法,并無相關(guān)法規(guī)明確。
“這是行業(yè)通行規(guī)則,交易風(fēng)險是商戶的責(zé)任?!本W(wǎng)銀在線人士對記者說:“信用卡欺詐的防范義務(wù)在于商戶,我們提供信用卡防欺詐系統(tǒng),給他們一定參考?!?/FONT>
那么,如果不是消費者失誤而是商戶有意“欺詐”,防范義務(wù)又在誰呢?這一點并不清晰。
至于對商戶的資質(zhì)審核,網(wǎng)銀在線認(rèn)為:“樂在上海說他們是網(wǎng)銀的合作伙伴,那資質(zhì)一定沒問題了?!?/FONT>
而“合作伙伴”一說,其依據(jù)是“樂在上?!弊约涸谀硞€網(wǎng)頁上發(fā)布的一段廣告。
“這是個行業(yè)性問題?!币晃坏谌街Ц缎袠I(yè)風(fēng)險控制人士說,作為創(chuàng)新性很大的新興行業(yè),第三方支付存在不斷更新的欺詐手段。
該人士認(rèn)為,案例的風(fēng)險控制缺口在于,網(wǎng)銀在線作為第三方支付平臺,理想狀態(tài)下,應(yīng)該保證自己的簽約商戶不會保存客戶核心支付資料,特別是案例中信用卡卡號、CVV碼等。
在支付行業(yè)的國際通行認(rèn)證PC中,上述商戶資質(zhì)審核被明確要求。
然而,根據(jù)公開材料,網(wǎng)銀在線直至2010年2月,方通過PCI認(rèn)證。
這是否意味著此前的網(wǎng)銀在線簽約商戶,均未通過上述資質(zhì)審核?而網(wǎng)銀在線之外的其他眾多支付企業(yè),又有多少仍未經(jīng)過PCI認(rèn)證?仍不得而知。
或許,央行即將實施的第三方支付行業(yè)準(zhǔn)入制,可能是目前能寄望的一條出路。
“考慮支付服務(wù)的專業(yè)性和安全性要求等,(支付服務(wù)牌照)申請人應(yīng)符合內(nèi)控制度、風(fēng)控措施等方面的規(guī)定”。央行相關(guān)負(fù)責(zé)人在6月21日表示,將會在隨后的管理辦法實施細(xì)則中,細(xì)化技術(shù)安全檢測認(rèn)證證明等方面的法規(guī)。