隨著(zhù)支付交易形態(tài)日益多元,金融和通信、互聯(lián)網(wǎng)等產(chǎn)業(yè)之間融合加深,線(xiàn)上欺詐的攻擊對象也從金融機構、持卡人擴展到商戶(hù)網(wǎng)站、手機運營(yíng)商。下一步在加強對信用卡產(chǎn)業(yè)鏈配套規范體系建設的同時(shí),還應盡快出臺針對移動(dòng)支付、二維碼支付等創(chuàng )新業(yè)務(wù)的相關(guān)管理細則,形成制度規范。
當線(xiàn)上支付為消費者帶來(lái)全新體驗的同時(shí),其因信息泄露導致的欺詐風(fēng)險也在迅速上升。中國銀行業(yè)協(xié)會(huì )近期發(fā)布的《中國信用卡產(chǎn)業(yè)發(fā)展藍皮書(shū)(2014)》顯示,偽卡、虛假申請、互聯(lián)網(wǎng)欺詐、失竊卡、賬戶(hù)盜用是信用卡最突出的五大欺詐類(lèi)型,其中互聯(lián)網(wǎng)欺詐呈現快速增長(cháng)態(tài)勢,2014年欺詐損失金額為2245.4萬(wàn)元,比上年增長(cháng)59.1%。
支付信息如何泄露
業(yè)內人士表示,互聯(lián)網(wǎng)欺詐的關(guān)鍵環(huán)節是獲取支付數據與信息。隨著(zhù)支付交易形態(tài)日益多元,金融和通信、互聯(lián)網(wǎng)等產(chǎn)業(yè)之間融合加深,線(xiàn)上欺詐的攻擊對象也從金融機構、持卡人擴展到商戶(hù)網(wǎng)站、手機運營(yíng)商。
“常見(jiàn)手法有三種,一是利用手機運營(yíng)商管理漏洞,通過(guò)偽基站發(fā)送釣魚(yú)鏈接;二是通過(guò)木馬、黑客技術(shù)攻擊商戶(hù)網(wǎng)站,獲取支付訂單信息;三是以退貨、網(wǎng)銀升級等理由騙取持卡人的銀行卡卡號、動(dòng)態(tài)驗證碼等支付信息。”中國銀行業(yè)協(xié)會(huì )銀行卡專(zhuān)業(yè)委員會(huì )相關(guān)負責人介紹。
北京某事業(yè)單位員工晏玉回憶,今年8月她曾收到號碼為10086的短信,稱(chēng)“未兌換的話(huà)費積分即將清零,請及時(shí)登錄10086zem.com下載客戶(hù)端兌換216.8元禮包(中國移動(dòng))”。“我當時(shí)以為是中國移動(dòng)的客服電話(huà),就按照要求登錄,輸入了銀行卡號、身份證號、支付密碼,隨后卡片就被盜刷了3000元。”晏玉說(shuō)。
“這是典型的偽基站冒充手機運營(yíng)商發(fā)送詐騙信息,誘騙持卡人登錄釣魚(yú)網(wǎng)站竊取信息然后盜刷。”中國工商銀行牡丹卡中心內部人士表示,保管個(gè)人賬戶(hù)信息十分關(guān)鍵,尤其是快捷支付時(shí)的核心信息“短信驗證碼”,銀行在任何時(shí)候都不會(huì )向持卡人索要密碼等相關(guān)信息。
該人士表示,與釣魚(yú)網(wǎng)站原理類(lèi)似,有些詐騙手法是以網(wǎng)銀升級、系統升級等名義誘騙持卡人登錄虛假網(wǎng)址,進(jìn)而騙取信息。
值得注意的是,信息泄露的途徑還在向商戶(hù)網(wǎng)站擴散。中國銀行業(yè)協(xié)會(huì )銀行卡專(zhuān)業(yè)委員會(huì )相關(guān)負責人介紹,去年以來(lái),在全球范圍內已陸續發(fā)生多起黑客、木馬攻擊網(wǎng)站竊取支付訂單的案件。
金融機構如何應對
雖然支付信息泄露的可能途徑涉及金融機構、通信、電商等多個(gè)主體,但作為網(wǎng)絡(luò )支付市場(chǎng)的主要參與者,金融機構在創(chuàng )新防控技術(shù)、應對信用卡互聯(lián)網(wǎng)欺詐方面大有可為。
業(yè)內人士介紹,從技術(shù)手段看,為了防止支付信息在傳輸過(guò)程中被竊取,多家商業(yè)銀行在線(xiàn)上遠程支付的過(guò)程中選擇采用令牌技術(shù)。借助該技術(shù),持卡人正在交易的16位賬號在傳輸過(guò)程中有了一個(gè)數字化的令牌“替身”。
“從工行HCE云支付信用卡的運行過(guò)程看,工行搭建了一個(gè)云端服務(wù)器,用以存儲海量的銀行卡賬戶(hù)信息,在客戶(hù)的手機APP中僅存儲令牌作為銀行卡的替身,也就是不在客戶(hù)手機里顯示真實(shí)的卡片信息,而是讓云端服務(wù)器與客戶(hù)手機APP實(shí)時(shí)交互,完成信用卡在客戶(hù)手機端的發(fā)卡交易、密鑰下載、身份驗證等一系列過(guò)程。”工行牡丹卡中心總裁欒建勝說(shuō)。
除了技術(shù)升級,部分銀行還推出了“交易開(kāi)關(guān)”服務(wù)。以廣發(fā)銀行為例,目前該行已針對境內無(wú)卡交易、港澳臺交易、境外交易、交易限額管理等推出了開(kāi)關(guān)功能,持卡人可以自主設置交易開(kāi)關(guān)。
“作為日常保障,各行應重視對網(wǎng)絡(luò )異常交易的實(shí)時(shí)監控,有條件的可建立專(zhuān)門(mén)部門(mén)或團隊。”工行牡丹卡中心內部人士表示。
聯(lián)手打造安全用卡環(huán)境
由于網(wǎng)絡(luò )支付市場(chǎng)參與主體日益多元,中國銀行業(yè)協(xié)會(huì )銀行卡專(zhuān)業(yè)委員會(huì )建議,除了金融機構,產(chǎn)業(yè)各方主體應攜手合作,尤其應深化警銀、銀法合作。
目前從監管法規層面看,信用卡支付行業(yè)的監管和風(fēng)險防控體系已初步建立。中國銀行業(yè)協(xié)會(huì )銀行卡專(zhuān)業(yè)委員會(huì )認為,下一步應加強對信用卡產(chǎn)業(yè)鏈配套規范體系的建設,同時(shí),還應盡快出臺針對移動(dòng)支付、二維碼支付等創(chuàng )新業(yè)務(wù)的相關(guān)管理細則,形成制度規范。
從產(chǎn)業(yè)各方主體合作的角度看,該委員會(huì )建議各金融機構應深化與互聯(lián)網(wǎng)企業(yè)、通信、公安、工商等機構的合作。“比如與通信部門(mén)合作開(kāi)展互聯(lián)網(wǎng)不良信息清掃,與工商部門(mén)合作嚴查非法套現廣告、空殼公司的注冊行為等。”該委員會(huì )相關(guān)負責人說(shuō)。
“治理信用卡互聯(lián)網(wǎng)欺詐尤其要重視警銀、銀法合作。”上述負責人表示,金融機構今后可在案件監測預警、執法協(xié)作等環(huán)節加強與公安經(jīng)偵部門(mén)的聯(lián)動(dòng),同時(shí)與司法部門(mén)合作,維護金融債權。具體來(lái)看,可建立司法協(xié)助網(wǎng)絡(luò )工作平臺,將人民銀行、各商業(yè)銀行、公安、法院、工商局等各類(lèi)機構的數據整合起來(lái)。
“監管方為行業(yè)提供良好政策的環(huán)境,卡組織做好交易清算、受理環(huán)境建設等基礎工作,商業(yè)銀行應在貫徹政策、控制風(fēng)險的基礎上積極創(chuàng )新。”中國銀行業(yè)協(xié)會(huì )專(zhuān)職副會(huì )長(cháng)楊再平說(shuō),各方應在實(shí)踐過(guò)程中不斷規范網(wǎng)絡(luò )支付的產(chǎn)品標準、行業(yè)規則和監管制度,共同打造安全的用卡環(huán)境。(記者 郭子源)