8
按:作者系資深安全業內人士,雷鋒網編輯協同原創。本文是儲蓄卡被盜刷47萬事件背后的原因解讀。
(via:inarkansas.com)
今天上午,雷鋒網專欄發了篇霍炬文章《我有個朋友,儲蓄卡被盜刷了47萬元》(點擊可讀),講述了霍炬朋友馬月的儲蓄卡被盜刷47萬的事情,這里簡單列出幾個要點,詳細內容可以看霍炬文章,這里不做贅述。
(前兩筆為盜刷的47萬元,圖片來自馬月朋友圈)
事件要點如下:
1、馬月從三亞回北京后收到兩條POS機刷卡短信,是江西上饒,共47萬;
2、儲蓄卡還在馬月手里,卡應該是被復制了;
3、馬月立即打電話給銀行被告知下班了不能處理,得等周一(沒能及時凍結這筆交易);
4、POS機刷走這么大筆錢,難道沒有限額嗎?
補充:POS機刷卡不是實時結算,刷卡發生的時候,錢并沒轉到盜竊方的帳號,如果可以及時凍結這筆交易,本可避免損失。
| 事件分析
說實話一開始看到這個事件的時候,我是完全沒有頭緒的。為什么呢?因為可能性實在太多了,和大家想象里銀行都應該是荷槍實彈戒備森嚴的情況不同,整個銀行卡的支付環節,其實存在的問題太多了。我們先來看一下整個事件的涉及環節。
首先看盜卡過程,盜卡過程并不是很清楚,最可能的情況是之前在入住酒店的時候銀行信息泄露了,整個過程中的環節包括:
儲蓄卡->酒店前臺人員->酒店POS機->收單行->發卡行
收單行是指向酒店提供POS機的銀行或者機構(比如銀聯),目前我們不清楚這個過程中的收單行是誰。
上述環節全部可能出問題:
1、酒店前臺人員可能快速記下了銀行卡號并偷窺了六位數字密碼
2、酒店POS機存在安全漏洞或者被替換了,會自動記錄銀行卡信息和密碼
3、收單行或者通訊鏈路存在安全漏洞,卡號和密碼在傳輸過程中被盜取
4、發卡行有內鬼,復制了用戶的銀行卡并且盜取了密碼
實際上還存在其他的可能性,因為銀行卡和密碼的丟失很可能并不是上一次消費的結果(時間太短,不夠盜刷集團做所有準備的),之前的某次不經意的操作的可能性更大,雖然受害者一直說沒有泄露過銀行卡的密碼,但是我的理解應該是“沒有主動泄露過”,如果在手機上操作過網銀、使用過ATM機、或者使用的密碼是跟自己的信息相關的,都有可能導致密碼被盜。
我們再來看一下盜刷的過程,同樣,盜刷也分為:
偽造的卡->商戶收銀->商戶POS機->收單行->發卡行。
所有的這些環節都要出問題,盜刷才會成功,那么這些環節是為什么而出的問題呢?我們也來試著分析一下:
1、首先,為什么有了銀行卡號就可以偽造一張一模一樣的呢?
這是因為目前我國的大部分銀行卡都采用磁條卡,卡片的信息相當于是明文寫在磁條里的,并沒有做什么加密的措施,所以只需要有一臺制卡設備,就能夠復制。這幾年國家開始大力推廣芯片卡,芯片卡的安全級別比磁條卡高很多,也不太容易被復制,但是為了兼容過去的舊設備,所有的芯片卡都支持磁條,這就意味著除非你在支持芯片卡的POS機上使用,而且卡片沒有離手,否則芯片卡一樣可以被復制磁條。
2、其次,商戶為什么不去檢查偽造的卡?
理論上來說商戶有檢查銀行卡真偽的義務,然而實際操作中,由于商戶的人員不具備專業知識,也沒有訪問銀行數據庫的權限,同時,商戶沒有動力這樣去做(影響用戶體驗),銀行之間在收單POS機上競爭激烈,也不敢強迫商戶這么去做,所以商戶基本不會去檢查銀行卡的合法性,而是默認你有密碼那就是合法用戶。相對來說,在歐美進行大額消費時,商戶往往會問客戶要帶有照片的身份證明,以確保不是盜刷。
3、那收單行能不能凍結該筆交易呢?
這要看實際情況,我們假設這個商戶是完全合法的,比如是銷售珠寶或者貴重物品的商店,那么收單行因為銀行卡是偽造的就凍結或者取消該筆支付也是理由不充分的,由于商戶是否有義務和能力去檢查銀行卡的真偽這個問題的不確定性,使得讓商戶承擔盜刷的損失這件事情沒有那么理直氣壯。
當然實際上很多做類似事情的商戶就是非法的或者灰色的,甚至存在幫助用戶進行信用卡取現的商戶,但是要證明這些商戶違法,也是非常巨大的工作量,而重新申請一臺POS機,則容易得多,而且收單行沒有動力去幫助發卡行做這個操作(損害自己的客戶去保護其他競爭對手的客戶),就像前面說的,POS機競爭太大,銀行不會去做這樣的事情。
4、那么收單行/發卡行為什么不限制刷卡的上限?
首先,儲蓄卡不是信用卡,發卡行是不能設限的(理論上你有多少錢就可以刷多少錢,不然用戶也不干),除非用戶自己在賬戶里設置了相應的限額,而收單行,則是根據商戶的信用(實際上是根據很容易假造的交易流水)來確定商戶POS機的限額。
比如一個賣豪華手表的商戶,收單行要是設限額單筆3萬,商戶也沒法玩,因此,如果盜卡者去一個信用較高的商戶進行刷卡操作,確實很容易把幾十萬現金刷走,換句話說,就算有POS機限額,其實也不過是讓盜刷者稍微麻煩了一點,因為多刷幾個POS機一樣可以把所有錢盜空。
根據我對銀行流程的了解,當用戶舉報銀行卡被大額盜刷后,銀行方面的相關人員會立即行動,進行止損,包括且不僅限于:凍結銀行卡且把該卡號列入黑名單,提取相關證據,通知相關的其他單位進行資金追查等等。
本次事件中,為什么銀行服務中心的人員會說:“下班了,沒辦法處理?”
個人認為這是由于呼叫中心的管理或者培訓不到位導致的。銀行的呼叫中心人員流動性大,管理困難,承擔的業務范圍廣,需要靠內部的FAQ文檔和培訓來保障服務質量,比較容易出現呼叫中心人員不熟悉業務或者理解錯誤的情況,筆者就遇到過好幾次呼叫中心人員還不如筆者自己熟悉業務的情況。雖然反過來說,按照之前的分析,發卡行不一定能及時阻止該筆消費或者追回款項,但是給受害者一個“下班了不能處理”的答復肯定是錯誤的,盜刷控制的相關工作人員肯定是24小時工作的。
這么多銀行卡被盜刷,到底哪家是相對安全的呢?判斷“安全”的關鍵點有哪些呢?
其實這里就要看各家銀行對安全的投入了,比如你看哪個銀行有src(安全應急響應中心),就能說明這個銀行對安全的重視程度。一般大的銀行都有,這里也分業務安全和整體安全(這里水太深,不展開),一般越大的銀行實力越強,安全性也越高,比如五大銀行(工中建農郵)和十二家股份。
不過這里面常常會有誤區:你覺得工行口碑差服務不好,所以安全性不高,招行常被曝盜刷不賠付就是不安全。但是,這里還是要強調下:曝光了不一定就差,不曝光不一定就好(嗯,正確的廢話),因為比如你被盜了我就賠,那么就不會曝光,前面是安全問題,后面則是公關的應急態度。
(編者注:銀行的水很深不方便展開,盡管看起來是廢話但還是要說,這里想給大家傳達的信號是:你認為不安全的并非就真的是“不安全”,有時候我們從基本認知上就不對,比如小編和大部分人一樣覺得工行是最不安全的,但是誰知道呢,宇宙行在知曉內部流程的安全人士看來或許就是比較安全的呢!作為普通人,其實是沒有辦法從業務流程和銀行的制度上去判斷安全性,我們只能提高警惕,看好下面的三次機會,減小損失。)
網上已經有一些分析關于“銀行有三次機會阻止這次盜刷”,作為個人用戶,其實我們是無力改變銀行的行為的,那么我還是來談談“個人有三次機會減小自己的損失”,可能對于各位讀者會更加現實一些:
一、銀行的業務和系統中,按照以下的順序安全性依次提高:
網絡第三方支付(例如微信支付)< 網銀 < ATM < 柜面的活期業務 < 柜面的定期業務。
作為個人用戶,應該有多個賬號,并按照安全級別不同決定存放在里面的金額數量。例如,我一般在開通了第三方支付的銀行卡里只存放低于¥1000.00人民幣的現金,然后在開通了網銀的賬號里存放低于¥10000.00人民幣的現金,依次類推,大額現金以定期存款的方式放在未開通任何非柜面交易的銀行賬號里。而出門在外的時候,盡可能使用信用卡(因為信用卡的風險控制體系相對儲蓄卡更加成熟),出國旅游去高危地區的時候臨時申請一張低限額的信用卡,回國后更換掉。平時使用銀行卡時注意:卡不要離身(不要為了少跑幾步讓服務員幫你刷卡),有可能的話把卡上的三位CVV碼貼住,使用POS機或者ATM的時候注意機器表面是否有異常并注意遮擋密碼輸入。
二、發現異常時及時與銀行溝通,遇到溝通問題的時候可以要求和對方的領導直接溝通。
這樣可以避免基層員工誤解規則或者權限不足導致的處理不當,自己注意保存相關的信息作為后續交涉的證據(錄音、交易記錄、自己的旅行記錄等等)
三、選擇銀行的時候不要貪圖禮物或者利息優惠,而是要選擇口碑好,愿意承擔責任的銀行。
這樣萬一發生損失,后期可以跟銀行有理有利有節地溝通責任承擔,口碑好愛惜羽毛的銀行往往更容易選擇承擔這個損失而不是讓受害者背鍋。要知道,未來小的地方商行破產也是可以預期的事情,到時候可不是幾十萬的風險了。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
