银联无卡支付现安全漏洞 沈阳一女子被盗刷近九千元
文 | 三秋之客
来源:新浪金融研究院(ID:sina_jinrong)
在实现支付的便利性和安全性之间如何权衡,更值得支付机构深思。
在银行卡免密支付频被盗刷后,银联无卡支付再现安全漏洞。
根据媒体报道,1月3日,沈阳李女士在银行卡未丢失情况下,发现自己工行和盛京银行的两张银行卡在半小时内被他人盗刷217笔,共计8671.7元。
据李女士介绍,她在当天早上发现手机收到大量短信,短信内容大概是某某在某地消费多少钱,并且每一笔消费金额都是37块左右。根据银行消费记录显示,这些钱是在四川一家母婴馆无卡消费,户名是中国银联无卡支付业务专户消费的。
另据媒体采访银行工作人员称,无卡支付有的是小额免密免签功能,限额1000元以下是不需要输入密码,通过支付宝和微信支付扫码支付也是无卡消费。对此,支付宝安全中心表示,经过支付宝的安全团队跟进调查,发现此事与支付宝无关。因为如果是通过支付宝刷的银行卡,账单中会显示“支付宝”字样,但视频报道里的账单并没有。
无卡支付为何被盗刷?
要想了解无卡支付为何被盗刷,首先要清楚什么是无卡支付。简单地说,无卡支付是相对于银行卡支付而言,只要是不用银行卡支付的都是无卡支付。
所以,我们在生活中经常使用到的互联网支付、电话支付、电视支付和手机支付都是无卡支付。支付宝的“快捷支付”和中国银联的“在线支付”都属于无卡支付方式。
无卡支付在交易时,录入四要素即可完成支付,四要素包括卡号、户名、身份证号、手机号,如果是信用卡还需要录入有效期和CVN。一般的银行渠道还需要签约协议,具体取决于对接的银行或支付通道。
在无卡支付发展过程中,通过电脑端的互联网支付应用最早。然而,互联网支付对于消费者来说依然不够人性化,不足以应付日常小额的支付。
2013年,快捷支付作为创新支付产品应运而生。快捷支付,指用户购买商品时,不需开通网银,只需要提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机上,用户输入正确的手机动态口令,即可完成支付。
对于消费者来说,通俗的说法就是绑定银行卡。绑卡实际上是一个授权,让用户允许商家自动从他的账户上扣除资金。
新浪财经分别致电多家银行得到回应,无卡支付的限额单卡单笔2万元,单卡单日5万元。不过,具体的限额还要根据对接银行和平台调整。其中,关于无卡支付,工商银行客服人员表示,单笔限额1万元,单日限额5万元;盛京银行客服人员表示,单笔和单日限额视第三方支付平台而定。
回到最初的问题,为何无卡支付被盗刷,主要原因在于客户信息遭到严重的泄露,尤其是银行账号、手机号和身份证号。在用户信息随处泄露的互联网时代,无卡支付如何保障支付安全是个不小的挑战。中国支付网创始人刘刚表示,李女士估计是银行卡和身份信息被复制了,具体细节还需跟银联核对。
实际上,无卡支付被盗刷并不鲜见,并且已经引起银联注意。据业内媒体报道,银联各地分公司已经下发给收单机构,对违规无卡支付软件进行整顿,指出近期出现的一些无卡软件进行整顿,其中部分无卡软件严重违反监管规定,存在缺乏真实交易场景,无证机构参与收单核心业务等违规问题,甚至发生套利、二清、卷款等重大风险事件。
免密支付同样暗藏风险
如今,扫码支付、NFC支付等新型快捷支付方式走入日常生活。消费者在享受便捷的同时,一定要关注到其中蕴藏的风险。
当你走进超市进行购物,在最后结账的时候,显示结账金额89元,如果你掏出银行卡,你会发现营业员并没有让你输入银行卡密码,这就是银行卡的小额免密免签支付功能。
根据银联规定,用户在开通银行卡之后,默认开通闪付功能,即是对小额消费采取免密支付。通常,大多数银行会根据银联的规定进行金额调整,大概就是单笔和单日限额1000元。
然而,银联默认开通免签功能,让很多消费者不满。小额免密免签支付功能让很多犯罪分子钻了空子。近期,银联悄悄将免密支付限额从300元提升至1000元之后,银行卡盗刷案件更是频发。
近期,多地警方打掉了一批银行卡盗刷犯罪团伙,根据犯罪嫌疑人交代,他们是利用芯片银行卡小额免密免签支付的功能,在人流量较大的公共区域相互掩护,用伪装过的POS机靠近目标,大概5公分距离,目标银行卡里的钱,就这样神不知鬼不觉地没有了。很多人在被盗刷后,都收到消费金额998元的短信。
根据警方建议,要想避免银行卡被盗刷,最好还是致电银行关闭免密支付功能,或是将1000元限额降低至300元,万一被盗刷可以减少损失。此外,很多第三方支付应用都可以开通免密支付功能,最好也将其关闭。
提高便利性很重要,对于支付机构来说,保护消费者支付安全才更重要。在实现支付的便利性和安全性之间如何权衡,更值得很多支付机构深思。