8
按:作者系资深安全业内人士,雷锋网编辑协同原创。本文是储蓄卡被盗刷47万事件背后的原因解读。
(via:inarkansas.com)
今天上午,雷锋网专栏发了篇霍炬文章《我有个朋友,储蓄卡被盗刷了47万元》(点击可读),讲述了霍炬朋友马月的储蓄卡被盗刷47万的事情,这里简单列出几个要点,详细内容可以看霍炬文章,这里不做赘述。
(前两笔为盗刷的47万元,图片来自马月朋友圈)
事件要点如下:
1、马月从三亚回北京后收到两条POS机刷卡短信,是江西上饶,共47万;
2、储蓄卡还在马月手里,卡应该是被复制了;
3、马月立即打电话给银行被告知下班了不能处理,得等周一(没能及时冻结这笔交易);
4、POS机刷走这么大笔钱,难道没有限额吗?
补充:POS机刷卡不是实时结算,刷卡发生的时候,钱并没转到盗窃方的帐号,如果可以及时冻结这笔交易,本可避免损失。
| 事件分析
说实话一开始看到这个事件的时候,我是完全没有头绪的。为什么呢?因为可能性实在太多了,和大家想象里银行都应该是荷枪实弹戒备森严的情况不同,整个银行卡的支付环节,其实存在的问题太多了。我们先来看一下整个事件的涉及环节。
首先看盗卡过程,盗卡过程并不是很清楚,最可能的情况是之前在入住酒店的时候银行信息泄露了,整个过程中的环节包括:
储蓄卡->酒店前台人员->酒店POS机->收单行->发卡行
收单行是指向酒店提供POS机的银行或者机构(比如银联),目前我们不清楚这个过程中的收单行是谁。
上述环节全部可能出问题:
1、酒店前台人员可能快速记下了银行卡号并偷窥了六位数字密码
2、酒店POS机存在安全漏洞或者被替换了,会自动记录银行卡信息和密码
3、收单行或者通讯链路存在安全漏洞,卡号和密码在传输过程中被盗取
4、发卡行有内鬼,复制了用户的银行卡并且盗取了密码
实际上还存在其他的可能性,因为银行卡和密码的丢失很可能并不是上一次消费的结果(时间太短,不够盗刷集团做所有准备的),之前的某次不经意的操作的可能性更大,虽然受害者一直说没有泄露过银行卡的密码,但是我的理解应该是“没有主动泄露过”,如果在手机上操作过网银、使用过ATM机、或者使用的密码是跟自己的信息相关的,都有可能导致密码被盗。
我们再来看一下盗刷的过程,同样,盗刷也分为:
伪造的卡->商户收银->商户POS机->收单行->发卡行。
所有的这些环节都要出问题,盗刷才会成功,那么这些环节是为什么而出的问题呢?我们也来试着分析一下:
1、首先,为什么有了银行卡号就可以伪造一张一模一样的呢?
这是因为目前我国的大部分银行卡都采用磁条卡,卡片的信息相当于是明文写在磁条里的,并没有做什么加密的措施,所以只需要有一台制卡设备,就能够复制。这几年国家开始大力推广芯片卡,芯片卡的安全级别比磁条卡高很多,也不太容易被复制,但是为了兼容过去的旧设备,所有的芯片卡都支持磁条,这就意味着除非你在支持芯片卡的POS机上使用,而且卡片没有离手,否则芯片卡一样可以被复制磁条。
2、其次,商户为什么不去检查伪造的卡?
理论上来说商户有检查银行卡真伪的义务,然而实际操作中,由于商户的人员不具备专业知识,也没有访问银行数据库的权限,同时,商户没有动力这样去做(影响用户体验),银行之间在收单POS机上竞争激烈,也不敢强迫商户这么去做,所以商户基本不会去检查银行卡的合法性,而是默认你有密码那就是合法用户。相对来说,在欧美进行大额消费时,商户往往会问客户要带有照片的身份证明,以确保不是盗刷。
3、那收单行能不能冻结该笔交易呢?
这要看实际情况,我们假设这个商户是完全合法的,比如是销售珠宝或者贵重物品的商店,那么收单行因为银行卡是伪造的就冻结或者取消该笔支付也是理由不充分的,由于商户是否有义务和能力去检查银行卡的真伪这个问题的不确定性,使得让商户承担盗刷的损失这件事情没有那么理直气壮。
当然实际上很多做类似事情的商户就是非法的或者灰色的,甚至存在帮助用户进行信用卡取现的商户,但是要证明这些商户违法,也是非常巨大的工作量,而重新申请一台POS机,则容易得多,而且收单行没有动力去帮助发卡行做这个操作(损害自己的客户去保护其他竞争对手的客户),就像前面说的,POS机竞争太大,银行不会去做这样的事情。
4、那么收单行/发卡行为什么不限制刷卡的上限?
首先,储蓄卡不是信用卡,发卡行是不能设限的(理论上你有多少钱就可以刷多少钱,不然用户也不干),除非用户自己在账户里设置了相应的限额,而收单行,则是根据商户的信用(实际上是根据很容易假造的交易流水)来确定商户POS机的限额。
比如一个卖豪华手表的商户,收单行要是设限额单笔3万,商户也没法玩,因此,如果盗卡者去一个信用较高的商户进行刷卡操作,确实很容易把几十万现金刷走,换句话说,就算有POS机限额,其实也不过是让盗刷者稍微麻烦了一点,因为多刷几个POS机一样可以把所有钱盗空。
根据我对银行流程的了解,当用户举报银行卡被大额盗刷后,银行方面的相关人员会立即行动,进行止损,包括且不仅限于:冻结银行卡且把该卡号列入黑名单,提取相关证据,通知相关的其他单位进行资金追查等等。
本次事件中,为什么银行服务中心的人员会说:“下班了,没办法处理?”
个人认为这是由于呼叫中心的管理或者培训不到位导致的。银行的呼叫中心人员流动性大,管理困难,承担的业务范围广,需要靠内部的FAQ文档和培训来保障服务质量,比较容易出现呼叫中心人员不熟悉业务或者理解错误的情况,笔者就遇到过好几次呼叫中心人员还不如笔者自己熟悉业务的情况。虽然反过来说,按照之前的分析,发卡行不一定能及时阻止该笔消费或者追回款项,但是给受害者一个“下班了不能处理”的答复肯定是错误的,盗刷控制的相关工作人员肯定是24小时工作的。
这么多银行卡被盗刷,到底哪家是相对安全的呢?判断“安全”的关键点有哪些呢?
其实这里就要看各家银行对安全的投入了,比如你看哪个银行有src(安全应急响应中心),就能说明这个银行对安全的重视程度。一般大的银行都有,这里也分业务安全和整体安全(这里水太深,不展开),一般越大的银行实力越强,安全性也越高,比如五大银行(工中建农邮)和十二家股份。
不过这里面常常会有误区:你觉得工行口碑差服务不好,所以安全性不高,招行常被曝盗刷不赔付就是不安全。但是,这里还是要强调下:曝光了不一定就差,不曝光不一定就好(嗯,正确的废话),因为比如你被盗了我就赔,那么就不会曝光,前面是安全问题,后面则是公关的应急态度。
(编者注:银行的水很深不方便展开,尽管看起来是废话但还是要说,这里想给大家传达的信号是:你认为不安全的并非就真的是“不安全”,有时候我们从基本认知上就不对,比如小编和大部分人一样觉得工行是最不安全的,但是谁知道呢,宇宙行在知晓内部流程的安全人士看来或许就是比较安全的呢!作为普通人,其实是没有办法从业务流程和银行的制度上去判断安全性,我们只能提高警惕,看好下面的三次机会,减小损失。)
网上已经有一些分析关于“银行有三次机会阻止这次盗刷”,作为个人用户,其实我们是无力改变银行的行为的,那么我还是来谈谈“个人有三次机会减小自己的损失”,可能对于各位读者会更加现实一些:
一、银行的业务和系统中,按照以下的顺序安全性依次提高:
网络第三方支付(例如微信支付)< 网银 < ATM < 柜面的活期业务 < 柜面的定期业务。
作为个人用户,应该有多个账号,并按照安全级别不同决定存放在里面的金额数量。例如,我一般在开通了第三方支付的银行卡里只存放低于¥1000.00人民币的现金,然后在开通了网银的账号里存放低于¥10000.00人民币的现金,依次类推,大额现金以定期存款的方式放在未开通任何非柜面交易的银行账号里。而出门在外的时候,尽可能使用信用卡(因为信用卡的风险控制体系相对储蓄卡更加成熟),出国旅游去高危地区的时候临时申请一张低限额的信用卡,回国后更换掉。平时使用银行卡时注意:卡不要离身(不要为了少跑几步让服务员帮你刷卡),有可能的话把卡上的三位CVV码贴住,使用POS机或者ATM的时候注意机器表面是否有异常并注意遮挡密码输入。
二、发现异常时及时与银行沟通,遇到沟通问题的时候可以要求和对方的领导直接沟通。
这样可以避免基层员工误解规则或者权限不足导致的处理不当,自己注意保存相关的信息作为后续交涉的证据(录音、交易记录、自己的旅行记录等等)
三、选择银行的时候不要贪图礼物或者利息优惠,而是要选择口碑好,愿意承担责任的银行。
这样万一发生损失,后期可以跟银行有理有利有节地沟通责任承担,口碑好爱惜羽毛的银行往往更容易选择承担这个损失而不是让受害者背锅。要知道,未来小的地方商行破产也是可以预期的事情,到时候可不是几十万的风险了。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
