儲蓄卡被盜刷47萬元,這背後發生了什麼

本文首發於雷鋒網,轉載請自行聯繫雷鋒網

事件回顧:

之前,雷鋒網專欄發了篇霍炬文章《我有個朋友,儲蓄卡被盜刷了47萬元》,講述了霍炬朋友馬月的儲蓄卡被盜刷47萬的事情,這裡簡單列出幾個要點,詳細內容可以看霍炬文章,這裡不做贅述。

事件要點如下:

1、馬月從三亞回北京後收到兩條POS機刷卡簡訊,是江西上饒,共47萬;

2、儲蓄卡還在馬月手裡,卡應該是被複制了;

3、馬月立即打電話給銀行被告知下班了不能處理,得等周一(沒能及時凍結這筆交易);

4、POS機刷走這麼大筆錢,難道沒有限額嗎?

補充:POS機刷卡不是實時結算,刷卡發生的時候,錢並沒轉到盜竊方的帳號,如果可以及時凍結這筆交易,本可避免損失。

事件分析:

說實話一開始看到這個事件的時候,我是完全沒有頭緒的。為什麼呢?因為可能性實在太多了,和大家想像里銀行都應該是荷槍實彈戒備森嚴的情況不同,整個銀行卡的支付環節,其實存在的問題太多了。我們先來看一下整個事件的涉及環節。

首先看盜卡過程,盜卡過程並不是很清楚,最可能的情況是之前在入住酒店的時候銀行信息泄露了,整個過程中的環節包括:

儲蓄卡->酒店前台人員->酒店POS機->收單行->發卡行

收單行是指向酒店提供POS機的銀行或者機構(比如銀聯),目前我們不清楚這個過程中的收單行是誰。

上述環節全部可能出問題:

1、酒店前台人員可能快速記下了銀行卡號並偷窺了六位數字密碼

2、酒店POS機存在安全漏洞或者被替換了,會自動記錄銀行卡信息和密碼

3、收單行或者通訊鏈路存在安全漏洞,卡號和密碼在傳輸過程中被盜取

4、發卡行有內鬼,複製了用戶的銀行卡並且盜取了密碼

實際上還存在其他的可能性,因為銀行卡和密碼的丟失很可能並不是上一次消費的結果(時間太短,不夠盜刷集團做所有準備的),之前的某次不經意的操作的可能性更大,雖然受害者一直說沒有泄露過銀行卡的密碼,但是我的理解應該是「沒有主動泄露過」,如果在手機上操作過網銀、使用過ATM機、或者使用的密碼是跟自己的信息相關的,都有可能導緻密碼被盜。

我們再來看一下盜刷的過程,同樣,盜刷也分為:

偽造的卡->商戶收銀->商戶POS機->收單行->發卡行。

所有的這些環節都要出問題,盜刷才會成功,那麼這些環節是為什麼而出的問題呢?我們也來試著分析一下:

1、首先,為什麼有了銀行卡號就可以偽造一張一模一樣的呢?

這是因為目前我國的大部分銀行卡都採用磁條卡,卡片的信息相當於是明文寫在磁條里的,並沒有做什麼加密的措施,所以只需要有一台制卡設備,就能夠複製。這幾年國家開始大力推廣晶元卡,晶元卡的安全級別比磁條卡高很多,也不太容易被複制,但是為了兼容過去的舊設備,所有的晶元卡都支持磁條,這就意味著除非你在支持晶元卡的POS機上使用,而且卡片沒有離手,否則晶元卡一樣可以被複制磁條。

2、其次,商戶為什麼不去檢查偽造的卡?

理論上來說商戶有檢查銀行卡真偽的義務,然而實際操作中,由於商戶的人員不具備專業知識,也沒有訪問銀行資料庫的許可權,同時,商戶沒有動力這樣去做(影響用戶體驗),銀行之間在收單POS機上競爭激烈,也不敢強迫商戶這麼去做,所以商戶基本不會去檢查銀行卡的合法性,而是默認你有密碼那就是合法用戶。相對來說,在歐美進行大額消費時,商戶往往會問客戶要帶有照片的身份證明,以確保不是盜刷。

3、那收單行能不能凍結該筆交易呢?

這要看實際情況,我們假設這個商戶是完全合法的,比如是銷售珠寶或者貴重物品的商店,那麼收單行因為銀行卡是偽造的就凍結或者取消該筆支付也是理由不充分的,由於商戶是否有義務和能力去檢查銀行卡的真偽這個問題的不確定性,使得讓商戶承擔盜刷的損失這件事情沒有那麼理直氣壯。

當然實際上很多做類似事情的商戶就是非法的或者灰色的,甚至存在幫助用戶進行信用卡取現的商戶,但是要證明這些商戶違法,也是非常巨大的工作量,而重新申請一台POS機,則容易得多,而且收單行沒有動力去幫助發卡行做這個操作(損害自己的客戶去保護其他競爭對手的客戶),就像前面說的,POS機競爭太大,銀行不會去做這樣的事情。

4、那麼收單行/發卡行為什麼不限制刷卡的上限?

首先,儲蓄卡不是信用卡,發卡行是不能設限的(理論上你有多少錢就可以刷多少錢,不然用戶也不幹),除非用戶自己在賬戶里設置了相應的限額,而收單行,則是根據商戶的信用(實際上是根據很容易假造的交易流水)來確定商戶POS機的限額。

比如一個賣豪華手錶的商戶,收單行要是設限額單筆3萬,商戶也沒法玩,因此,如果盜卡者去一個信用較高的商戶進行刷卡操作,確實很容易把幾十萬現金刷走,換句話說,就算有POS機限額,其實也不過是讓盜刷者稍微麻煩了一點,因為多刷幾個POS機一樣可以把所有錢盜空。

5、發卡行為什麼沒有及時阻止?

根據我對銀行流程的了解,當用戶舉報銀行卡被大額盜刷後,銀行方面的相關人員會立即行動,進行止損,包括且不僅限於:凍結銀行卡且把該卡號列入黑名單,提取相關證據,通知相關的其他單位進行資金追查等等。

本次事件中,為什麼銀行服務中心的人員會說:「下班了,沒辦法處理?」

個人認為這是由於呼叫中心的管理或者培訓不到位導致的。銀行的呼叫中心人員流動性大,管理困難,承擔的業務範圍廣,需要靠內部的FAQ文檔和培訓來保障服務質量,比較容易出現呼叫中心人員不熟悉業務或者理解錯誤的情況,筆者就遇到過好幾次呼叫中心人員還不如筆者自己熟悉業務的情況。雖然反過來說,按照之前的分析,發卡行不一定能及時阻止該筆消費或者追回款項,但是給受害者一個「下班了不能處理」的答覆肯定是錯誤的,盜刷控制的相關工作人員肯定是24小時工作的。

一些「現實」點的建議:你有三次機會減小損失

這麼多銀行卡被盜刷,到底哪家是相對安全的呢?判斷「安全」的關鍵點有哪些呢?

其實這裡就要看各家銀行對安全的投入了,比如你看哪個銀行有src(安全應急響應中心),就能說明這個銀行對安全的重視程度。一般大的銀行都有,這裡也分業務安全和整體安全(這裡水太深,不展開),一般越大的銀行實力越強,安全性也越高,比如五大銀行(工中建農郵)和十二家股份。

不過這裡面常常會有誤區:你覺得工行口碑差服務不好,所以安全性不高,招行常被曝盜刷不賠付就是不安全。但是,這裡還是要強調下:曝光了不一定就差,不曝光不一定就好(嗯,正確的廢話),因為比如你被盜了我就賠,那麼就不會曝光,前面是安全問題,後面則是公關的應急態度。

(編者註:銀行的水很深不方便展開,儘管看起來是廢話但還是要說,這裡想給大家傳達的信號是:你認為不安全的並非就真的是「不安全」,有時候我們從基本認知上就不對,比如小編和大部分人一樣覺得工行是最不安全的,但是誰知道呢,宇宙行在知曉內部流程的安全人士看來或許就是比較安全的呢!作為普通人,其實是沒有辦法從業務流程和銀行的制度上去判斷安全性,我們只能提高警惕,看好下面的三次機會,減小損失。)

網上已經有一些分析關於「銀行有三次機會阻止這次盜刷」,作為個人用戶,其實我們是無力改變銀行的行為的,那麼我還是來談談「個人有三次機會減小自己的損失」,可能對於各位讀者會更加現實一些:

一、銀行的業務和系統中,按照以下的順序安全性依次提高:

網路第三方支付(例如微信支付)< 網銀 < ATM < 櫃面的活期業務 < 櫃面的定期業務。

作為個人用戶,應該有多個賬號,並按照安全級別不同決定存放在裡面的金額數量。例如,我一般在開通了第三方支付的銀行卡里只存放低於¥1000.00人民幣的現金,然後在開通了網銀的賬號里存放低於¥10000.00人民幣的現金,依次類推,大額現金以定期存款的方式放在未開通任何非櫃面交易的銀行賬號里。而出門在外的時候,儘可能使用信用卡(因為信用卡的風險控制體系相對儲蓄卡更加成熟),出國旅遊去高危地區的時候臨時申請一張低限額的信用卡,回國後更換掉。平時使用銀行卡時注意:卡不要離身(不要為了少跑幾步讓服務員幫你刷卡),有可能的話把卡上的三位CVV碼貼住,使用POS機或者ATM的時候注意機器表面是否有異常並注意遮擋密碼輸入。

二、發現異常時及時與銀行溝通,遇到溝通問題的時候可以要求和對方的領導直接溝通。

這樣可以避免基層員工誤解規則或者許可權不足導致的處理不當,自己注意保存相關的信息作為後續交涉的證據(錄音、交易記錄、自己的旅行記錄等等)

三、選擇銀行的時候不要貪圖禮物或者利息優惠,而是要選擇口碑好,願意承擔責任的銀行。

這樣萬一發生損失,後期可以跟銀行有理有利有節地溝通責任承擔,口碑好愛惜羽毛的銀行往往更容易選擇承擔這個損失而不是讓受害者背鍋。要知道,未來小的地方商行破產也是可以預期的事情,到時候可不是幾十萬的風險了。


推薦閱讀:

交通銀行為什麼要研究混合所有制改革 ?銀行業內人士是怎麼看的?
女友銀行客戶經理做的不開心,該怎麼辦啊?
應屆生進入銀行後,如何做職業規劃呢?
銀行轉賬會先扣劃付款人的資金嗎?還是收款人到賬的同時扣劃資金?
徒手拆 ATM 是真的嗎?

TAG:信息安全 | 金融 | 银行 |