危險(xiǎn)的“暗門”

  “我們不會插手。”網(wǎng)銀在線人士對本報(bào)記者說：“風(fēng)險(xiǎn)控制是銀行的事。”

   至發(fā)稿時(shí)，“樂在上?！狈矫嫖磳τ浾叩那笞C作出回應(yīng)。

   記者了解發(fā)現(xiàn)，案例中的收單點(diǎn)簽約，是由第三方支付機(jī)構(gòu)——網(wǎng)銀在線完成的；相應(yīng)的風(fēng)險(xiǎn)控制漏洞，亦由此而來。

   危險(xiǎn)的“第二種密碼”

   “中國信用卡使用規(guī)則和美國等地的通行規(guī)則不一致，造成了操作上的混亂?！币晃恢袊y聯(lián)美國分部人士告訴記者。

   信用卡的使用，分為“過卡交易”和“離線交易”兩種。前者由持卡人持信用卡在商場、超市等“實(shí)體店”的POS(銷售終端)機(jī)“刷卡”，并簽字授權(quán)，完成交易。

   離線交易，則常見于酒店、航空公司銷售中心、公司財(cái)務(wù)等，同樣通過POS系統(tǒng)，提供信用卡賬號及其驗(yàn)證碼，即可完成交易。

   在美國等信用卡起源地的多數(shù)西方國家，信用卡不設(shè)密碼，兩種交易方式中，交易憑證僅為簽字或驗(yàn)證碼。

   而在中國，根據(jù)本土消費(fèi)習(xí)慣，銀行往往鼓勵(lì)持卡人給信用卡設(shè)置密碼，來保障用卡安全。

  “這種雙軌制的信用卡體系下，中國消費(fèi)者幾乎都不知道驗(yàn)證碼的存在，更沒有相關(guān)的風(fēng)險(xiǎn)意識?！币晃汇y聯(lián)人士表示。

   信用卡的驗(yàn)證碼，被稱為CVV碼。它是一串3位數(shù)字，由卡號、有效期和服務(wù)約束代碼，經(jīng)過發(fā)卡銀行的編碼規(guī)則和加密算法生成。

   根據(jù)信用卡卡種和印刷位置的不同，還有CVV2、CVC、CVC2等，一般印于信用卡卡面、卡號后面。

   陳方在“樂在上?！辟Y料單上填下的，正是其招商銀行信用卡卡號和CVV碼。

   在招商銀行信用卡中心提供的“信用卡(個(gè)人卡)通用申請表”及所附“信用卡(個(gè)人卡)通用領(lǐng)用合約”上，都沒有任何介紹性、警示性文字涉及CCV碼。

   在信用卡用戶與招商銀行簽訂的唯一一張合約，及銀行網(wǎng)站上能找到的“信用卡介紹”中，CVV碼絲毫未被提及。

   絕大多數(shù)的持卡人對CVV碼的第一次接觸，發(fā)生在網(wǎng)絡(luò)支付的實(shí)際操作中——“請輸入信用卡卡號后三位數(shù)字”。但沒有多少持卡人意識到自己正在使用另一種“密碼”，它也需要保護(hù)。

   招商銀行不是孤例。記者查閱了建設(shè)銀行、工商銀行等行提供的信用卡章程，上面均無任何CVV碼的使用保管提示。這似乎是個(gè)沒有公開原因的行業(yè)慣例。

   找不到買單者

   正是利用這個(gè)慣例，“樂在上?！贝蛲诵庞每ㄖ小半x線支付”和“實(shí)體店”——兩個(gè)原本并行無交集的支付系統(tǒng)，找到了一條生財(cái)之道。

   根據(jù)其營業(yè)執(zhí)照，“樂在上海”運(yùn)營機(jī)構(gòu)為上海鵬楊廣告有限公司，它的經(jīng)營范圍僅為廣告業(yè)務(wù)。實(shí)際經(jīng)營中，鵬楊廣告的主業(yè)則為發(fā)行“會員消費(fèi)折扣卡”，向商戶收取推廣費(fèi)并向“會員”收取會員費(fèi)。

   身為實(shí)體店，“樂在上海”卻向網(wǎng)銀在線的上海分部，申辦了“離線支付”業(yè)務(wù)。

   根據(jù)雙方簽訂的服務(wù)協(xié)議，網(wǎng)銀在線在互聯(lián)網(wǎng)建立支付服務(wù)平臺，向?qū)嶓w店“樂在上海提供”電子商務(wù)應(yīng)用服務(wù)。

   協(xié)議期，“樂在上?！笨傻顷懢W(wǎng)銀在線的服務(wù)平臺，在“信用卡遠(yuǎn)程支付MOTOPAY(即離線支付)”一欄下，登陸被提供的賬號，輸入客戶的信用卡卡號與CVV碼，便可自行輸入金額，進(jìn)行劃款。

  “責(zé)任就在這個(gè)環(huán)節(jié)，樂在上海的收單銀行，對它沒有進(jìn)行應(yīng)有的實(shí)體店資質(zhì)監(jiān)控?！倍≡娔菡J(rèn)為：“它們亂設(shè)收單POS，授權(quán)POS?！?/FONT>