你是否想象過這樣的場景:有人拿到你印有“閃付”標誌的銀行卡,只要刷卡金額在免密免籤範圍內,就可以用POS機交易,無需你輸入密碼和簽名。甚至是,銀行卡還在你手中,但是,被帶有NFC功能的POS機接近,同樣能被刷卡,同樣不需要持卡人的密碼和簽名。
別認為這樣的“隔空盜刷”不存在!經過記者實測,這在現實中的確會發生。因此,在擁擠的地鐵上或者在路邊被人撞了一下,一定要警惕,有可能你的銀行卡已“遭遇不測”。
原因何在?都是默認開通的“小額免密支付”功能以及管理混亂的POS機惹的禍!
“隔空盜刷”的的確確存在
據媒體報道,2018年11月以來,廣州警方相繼接到群眾報案,稱銀行卡資金被盜。據受害者反映,銀行卡一直在自己手中,但卡上的錢卻不翼而飛。後經調查,嫌疑人是利用芯片銀行卡小額免密支付的功能,在人流量較大的區域,用偽裝過的POS機貼近失主錢包內的銀行卡進行感應,實施盜刷。
真有那麼神嗎?《IT時報》記者進行了實驗。
記者把一張帶有閃付功能的銀行卡放在卡套內,在一臺帶有NFC功能的POS機上設置了刷卡金額為10元,隨後把POS機靠近銀行卡,幾秒鐘之後,POS機就顯示出交易成功的提示。如果不是親眼看到,恐怕很難相信。不一會兒,記者的手機又收到了銀行卡交易的短信提醒。
記者又把這張銀行卡放在錢包裡,再採取同樣的方法進行“盜刷”,這次沒有成功,原因應該有二,一是錢包比較厚,再加上有現金和各種證件,POS機無法讀出銀行卡信息;二是錢包裡有多張具有閃付功能的銀行卡,也造成了交易失敗。
從實驗結果看,“隔空盜刷”需要具備一定的條件才能實現,比如銀行卡是閃付卡且開通小額免密支付、POS機和銀行卡距離不能太遠等,但不管怎樣,盜刷風險的確存在。
小額免密支付功能基本默認開通
或許你會說“我沒有開通過免密支付,盜刷和我無關”,別高興得太早。因為“小額免密支付”是默認開通的,如果你沒有關閉過,很有可能是開著的。
記者擁有一張農行借記卡,通過農行電話客服,記者瞭解到這張卡開通了免密支付功能,而實際上在辦卡時,記者並沒有收到櫃員對於免密支付功能開通的提醒。最終,記者通過農行PC端官網關閉了該功能。
市民郝女士也是如此,她去某銀行申請補辦銀行卡,在業務申請表上,她沒看到任何關於免密支付授權的提醒。據該銀行櫃員告知,小額免密支付功能是默認開通的,如需關閉,需要在網頁版網上銀行操作。
建行的一位櫃員告訴記者,櫃員需要提醒開卡用戶的只是轉賬功能,“這個功能是需要用戶勾選同意開通或關閉,對於免密支付功能沒有規定。”
記者瞭解到,要關閉小額免密支付功能,各家銀行的操作方法並不一樣,比如農行和浦發在其官網的PC端可以操作,有的銀行則要到線下辦理。
2018年6月1日起,銀聯小額免密免籤支付業務的單筆限額由300元上調至1000元,也就是說如果一張默認開通小額免密支付的閃付卡,1000元以內無需密碼和簽名。
根據中國銀聯《銀聯卡小額免密免籤業務規則》,明確規定髮卡機構和收單機構在業務開通前所應當履行的向持卡人告知的義務,並積極敦促參與雙免業務的各成員機構均依照業務規則的規定。各家銀行也通過官網公告、短信通知、領卡合約等方式,向持卡人明確提示了信用卡“雙免”業務的相關信息。
從支付的角度來說,“免密支付”提高了支付效率,但如果銀行卡丟了,豈不是很容易發生盜刷?就算銀行卡沒丟,如果有犯罪分子利用POS機隔空刷卡,也是分分鐘丟錢。
被漠視的用戶選擇權
有人喜歡“免密支付”的快捷方便,但也有人更注重安全。每個人的選擇不一樣,是否開通免密支付,選擇權應該在用戶手裡。
2016年央視曾報道,樂視網推出“一分錢享受7天高級會員服務”之後,大量用戶莫名成為“高級會員”,綁定賬戶出現自動扣費。也就是說,沒有經過用戶授權,樂視網就為用戶開通了自動扣費功能。從某種意義說,這是在漠視消費者的選擇權。
對於因默認開通小額免密支付而可能產生的風險,銀聯相關人士表示,小額免密免籤服務交易具有限額控制,超過設定額度必須輸入密碼交易才能成功,同時主要髮卡銀行對於單卡單日累計免密限額也有控制;此外,中國銀聯及髮卡銀行已為小額免密免籤交易配置智能風控技術,在發現風險時會立即啟動有關風險防控手段,守護持卡人支付安全。而且,為減少持卡人用卡安全顧慮,銀聯聯合各商業銀行為持卡人設置了專項補償金,提供小額雙免“風險全賠付”服務,可覆蓋持卡人遭遇的欺詐損失。
但是,與其事後賠付,不如事前告知,對於用戶來說,一旦發生賬戶損失,如何自證被盜刷、賠付流程如何都是問題。
在移動支付時代,很多涉及支付的App都有“免密支付”功能,有的App在開通免密支付時會取得用戶同意。比如在首汽約車中,可以開通支付寶免密支付、微信免密支付、信用卡免密支付等功能,但這些都需要用戶進行授權才能使用。
POS機辦理門檻低、亂象多
默認開通小額免密支付是造成銀行卡被盜刷的原因之一,縱觀已發生的盜刷事件,嫌疑人使用的工具是POS機。從本質上說,POS機是收單機器,現在卻成了作案工具。
2016年10月,中國人民銀行發佈通知,明確要求禁止網上售賣POS機。同年,中國支付清算協會下發通知,要求進一步加強對銀行卡收單業務管理。雖被明文叫停,但POS機的違規銷售現象仍然存在。
在POS機代理商處購買過POS機的關先生(化名)告訴記者,只需向代理商提供身份證、銀行卡等,很快就能辦好一臺POS機,且不需要硬件成本。“成本就是日後在這臺POS機上交易需要支付6.6個百分點,再加3元秒到費。”對於購買POS機的用途,關先生坦言,是為了套現以及信用卡之間的“抵賬”。
獲取成本低、犯罪成本低造成了POS機套現、盜刷等各類事件的頻發,而當銀行卡的交易進一步“快速”後,這些違規獲得的POS機就有了“用武之地”。
手機POS機出現後或帶來更大風險
2018年12月,中國銀聯聯合各商業銀行與國內一些手機廠商啟動了手機POS產品首批試用點合作。簡單來說,今後手機也能變身成POS機,商家只需在手機上開通在線收單服務,無需再貼任何二維碼,也不用購買POS機、掃碼槍等設備,銀聯手機POS不僅支持二維碼支付,還支持銀聯IC卡閃付、銀聯手機閃付。換言之,消費者不僅可以使用二維碼支付,還可以在商家的手機上直接刷自己的銀行IC卡或手機。
對於銀聯和商家來說,手機POS產品可以幫助商戶以更低成本進行收單,同時藉助智能手機的高普及率,讓收單業務普及開來。但是,問題來了,當手機成為POS機之後,“隔空盜刷”是否會更加無成本和隱蔽?現在,刷閃付卡還需要POS機,日後,只要拿手機和別人的手機或閃付卡一碰,就能交易成功?
閱讀更多 IT時報 的文章
