銀聯卡
錢包還在身上,銀行卡也沒少,銀行卡上的錢卻被一小筆一小筆刷走。
近年來,一類利用銀聯卡小額“免密免籤”(即銀聯卡持卡人在指定商戶進行小額消費時無需輸入密碼或簽名即可實現支付)功能默認開通漏洞,進行銀行卡“隔空盜刷”的新型犯罪案件正在增多。專家擔憂,如銀聯方面繼續保持銀聯卡相關功能默認開通,此類案件發案率將進一步增長。
銀行卡還在
錢卻被一筆筆刷走
2018年11月中旬以來,廣州市公安局南沙分局魚窩頭派出所接到多起群眾報案,稱被人盜刷銀行卡資金。據事主反映,他們都曾在一條美食街逛街,當時銀行卡在自己錢包裡,但卡上的錢不翼而飛。
據魚窩頭派出所辦案民警劉警官介紹,犯罪嫌疑人正是利用銀聯卡小額“免密免籤”功能默認開通的漏洞,實施了不法行為。
作案手法是將設置好的POS機裝進一個普通的男士夾包,然後物色下手對象。
“找到合適的對象後,拿著夾包靠過去感應一下。只要感應的距離在5釐米以內,就容易得手。”
劉警官說,芯片卡默認開通小額“免密免籤”支付功能,小筆金額的消費不需要輸入密碼或者簽名,只要POS機感應到芯片卡的閃付功能,就會自動付費。
“小額‘免密免籤’支付的單筆最高限額是1000元,所以嫌疑人每次都將金額設定在999元以下,然後選擇到人流密集的場所活動,這樣走一圈就得利不少。”
記者瞭解到,自2015年銀聯為新發芯片卡默認開通小額“免密免籤”功能以來,國內已發生多起利用該功能漏洞實施的“隔空盜刷”案件。
不少網友在社交媒體上講述因“免密免籤”功能造成盜刷的經歷,並表達了對銀聯和銀行互相推諉的不滿。
微博網友@我就是一堆亂碼錶示,借記卡因“閃付功能”(免密免籤)被盜刷,報警後讓找銀行,銀行又讓找銀聯,銀聯又讓找警察……
“免密免籤”漏洞
可能被濫用
“默認開通小額‘免密免籤’功能,是此類案件中最大的問題。”
從事網絡安全研究的四葉草安全研究院院長趙培源等安全技術專家認為,此漏洞屬於硬件底層漏洞,尚無法通過軟件升級等方式來規避。
因而默認關閉用戶的小額雙免功能,併為對該功能有需求的用戶提供防盜刷卡套,是解決該問題的唯一途徑。
對於廣州發生的盜刷案件,中國銀聯廣東分公司在回函中說:此次案件屬於“個別商戶”疑似存在非法活動,已對商戶作關停處理。
不過記者瞭解到,犯罪團伙在網絡上即可買到售價不足千元的授權POS機,隨後通過提供他人身份證和銀行卡,並利用偽造營業執照,就能輕鬆通過相關金融部門的審核,這說明相關審核體系存在漏洞,也說明不法“個別商戶”可能會不時出現。
此外,不少用戶對默認開通的“免密免籤”功能仍毫不知情,用戶端防範意識弱。
一些銀行在用戶辦卡時未履行告知義務;銀聯方面稱通過短信、網站等方式的提醒,也可能被用戶當做垃圾信息忽略掉。
記者隨機採訪也顯示,不少用戶並不掌握自己銀行卡已被默認開通相關功能,未採取有效防範措施。
銀聯、監管部門
均應採取實質性措施
2018年銀聯發佈公告稱,為提升銀聯移動支付體驗、擴大服務覆蓋面,從當年6月起,小額“免密免籤”單筆交易限額由300元提升至1000元。
銀聯方面認為,將單筆小額“免密免籤”消費限額從300元提升至1000元,是順應消費形勢,並以新加坡單筆限額960元和中國香港澳門地區850元作為參照標準。
北京大學政府管理學院副教授黃璜認為,當前國內不同地區收入和消費水平差異較大,銀聯在國內具有相對優勢地位,在做相應決策時理應進行全面客觀的市場調研,並在引起廣泛社會爭議的情況下,將調研結果提交給主管部門。
黃璜建議,有關部門應積極回應社會關切,維護金融部門的社會信譽。
長期關注銀聯卡“免密免籤”問題的中央財經大學金融學院教授郭田勇認為,警方破獲的相關案件再次說明銀聯卡默認開通此項功能的風險。
他說,此次“隔空盜刷”的作案方式具有可複製性,銀聯方面有必要對社會公眾作出合理解釋,並提醒用戶加強防範,而不是反覆強調“免密免籤”功能的安全性。
“2018年初因為‘默認勾選’的問題,支付寶受到了監管部門的處罰,銀聯的‘默認開通’操作與之相似,卻沒有任何處理結果,不利於‘競爭中性原則’的最終確立。”
郭田勇建議,有關部門須儘快向社會公佈處理結果,打消輿論猜疑。
閱讀更多 金融參考 的文章
