信息來源:中國信息產(chǎn)業(yè)網(wǎng)
一直被視為“黑色產(chǎn)業(yè)鏈”的銀行卡盜刷,如今已近乎行走在陽光下����。
“盜刷的人在各種渠道公開叫賣盜取的銀行卡信息����,然后拿到銀行卡的人通過游戲點卡���、手機充值卡���、景點門票、機票等各種渠道把卡里的錢洗走���,”來自北京���、被盜刷了近萬元的張先生告訴記者,“被盜刷的受害者����,要小心謹慎地在銀行���、支付平臺、商家平臺之間溝通����、交涉���,卻始終擔(dān)心自己的錢要不回來���。”
2016年7月���,張先生工商銀行卡被盜刷����。經(jīng)工行出具材料證明���,該卡通過易寶支付的支付渠道���,先后在去哪兒消費接近4000元、在攜程消費約5000元����,均為景區(qū)門票����,此外尚購買了300元話費充值卡����。其中,僅2000元交易被攔截���,其余交易均已完成消費����,且難以追回���。根據(jù)第三方投訴平臺21CN聚投訴統(tǒng)計����,2015年3月至2016年3月���,聚投訴平臺共接到1.7萬件投訴���,其中涉及盜刷的投訴共1046件����,占總投訴比值超過6%���。聚投訴平臺主編潘俊珺告訴記者:“每天���,都會新增很多盜刷投訴����,增速也越來越快?���!?
龐大的盜刷產(chǎn)業(yè)鏈
盜刷銀行卡,滋潤著龐大的產(chǎn)業(yè)鏈����。
在QQ群中檢索“CVV”,可以得到3651個QQ群���。其中����,千人規(guī)模以上的群超過60個,500人以上的QQ群超過200個����,且均保持極高的活躍度。此外���,100人以上的CVV群則超過800個����。幾乎每個群的簡介中都備注著“CVV����、洗料通道、銀行四大件����、攔截”等盜刷產(chǎn)業(yè)中的常用語。
CVV是指信用卡安全碼����。一個包含卡號、日期����、CVV完整信息的信用卡在這個行業(yè)稱為“料”����,“料”的種類包括各國信用卡���、各行銀行卡���、支付寶、微信錢包����,且大多具備銀行卡���、身份證���、手機號、密碼等關(guān)鍵信息����。
“料”的來源多種多樣,360網(wǎng)絡(luò)攻防實驗室負責(zé)人林偉告訴記者:“國內(nèi)很多線上平臺或者支付機構(gòu)都存儲用戶銀行卡的基本信息����,但安全機制卻普遍存在漏洞����,一旦發(fā)生信息泄露���,就會流出大量完整的用戶信息���。”除此之外����,電信詐騙、手機木馬也造成大量銀行卡信息的泄露����,而目前很多帶有閃付功能的銀行卡,也可以在近距離接觸的情況下通過特定終端讀取用戶信息����。
一些具備余額、短信攔截���、密碼的“料”被不斷叫賣���。而少數(shù)已經(jīng)過時或者沒有余額的“料”���,被以excel的形式上傳到群文件中,記者通過此類文件中信息嘗試聯(lián)系當事人����,所標注的銀行卡、身份證���、家庭住址����、職業(yè)����、手機號���、姓名基本完全正確����,而當事人卻不知道自己信息已經(jīng)泄露����。
出售優(yōu)質(zhì)“料”���,“料”主可以拿到卡內(nèi)余額的30%-50%。當然���,也有“料”主按照余額1%左右的比例收取費用���。
剩余金額,則流入了各種“洗料”人的手中����。傳統(tǒng)的轉(zhuǎn)賬、提現(xiàn)����、POS機盜刷等形式因為監(jiān)管機構(gòu)長期打擊而成本越來越高,絕大多數(shù)“洗料”人會通過國內(nèi)多種第三方支付平臺將到手的銀行卡銷贓����。
“國內(nèi)各類混亂的支付渠道缺乏有效安全監(jiān)管,或多或少都存在一些風(fēng)險控制上的漏洞���,”獵豹移動安全專家李鐵軍(微博)舉例告訴記者����,“以我們?nèi)ツ旮M的一個‘洗料通道’案件為例,北京某第三方平臺的支付渠道被黑產(chǎn)團伙利用����,短短數(shù)月的時間內(nèi)受害用戶多達數(shù)千人,損失金額從幾十到數(shù)萬不等���?��!睆氖芎τ脩糇凡榈南M記錄來看,資金流包括購買游戲幣���、彩票���、話費充值、機票門票等多種 “洗料”方法���,有些信用卡還被發(fā)現(xiàn)通過境外消費劃走資金����。
在諸多QQ群中����,隨時會有一些商戶批量收點卡、充值卡���、門票���、酒店、機票等產(chǎn)品���,而“洗料”人則通過第三方平臺購買此類產(chǎn)品����,以5-7折的價格出售給商戶����,而商戶則以略低于正規(guī)渠道的價格出售給最終消費者。
雖然環(huán)節(jié)看似繁瑣����,但事實上從“洗料”人購買產(chǎn)品到該產(chǎn)品到達最終消費者手中幾乎都在極短的時間內(nèi)實現(xiàn),而從各QQ群中公開信息可見����,行業(yè)默認所有環(huán)節(jié)完成分贓的時間基本在25分鐘到2個小時之內(nèi)����。
艱難賠付
“這種盜刷渠道���,金額小���、銷贓快、難追回���?���!本弁对V平臺主編潘俊珺告訴記者���,在投訴平臺上����,單筆最大的消費也就是購買一臺電視���。但大多被盜刷用戶的賬戶都是短時間內(nèi)在銀行網(wǎng)關(guān)����、快捷支付����、第三方支付平臺上、在多個電商平臺上產(chǎn)生多次交易����。
在湖北金融行業(yè)工作的賀女士的工商銀行卡在2016年3月被盜刷4.5萬元,消費記錄顯示���,該賬號通過易寶支付���、快錢支付、拉卡拉���、京東網(wǎng)銀在線���、百度錢包等十三個第三方支付平臺產(chǎn)生了78筆消費,“其中最大的消費來自京東平臺����,以每分鐘3筆的速度,在京東連續(xù)刷了48筆490元的游戲幣”, 賀女士告訴記者:“找每一個渠道投訴���,他們一開始都說這是因為你自己的原因造成的盜刷���,平臺不賠付?���!逼渲校讓氈Ц锻赓r付50%����,但要求賀女士承諾“不向媒體曝光、不投訴”等條件����,遭到賀女士拒絕。
在之后公開投訴的過程中����,賀女士希望京東提供交易商家信息,但被京東以“保護商家隱私”為由拒絕���,并要求賀女士報警立案調(diào)查���?���!安贿^���,5萬的金額,報警連報案材料都拿不到����,更不用說到經(jīng)偵、跨省調(diào)查了”����,賀女士告訴記者。目前����,賀女士盜刷款基本已經(jīng)追回,尚有一筆工商銀行答應(yīng)賠付的9000元尚未到賬����。“但我仍然不知道我的卡是在具體哪些商家刷掉的���?��!?
此類案例不勝枚舉����,前文所述張先生告訴記者:“目前����,國內(nèi)有非常多的關(guān)于銀行卡被盜維權(quán)的QQ群,多則上千人����,少則幾十人?��!?
不過����,絕大多數(shù)人維權(quán)不利���,并未能追回盜刷款����。在聚投訴平臺上,2015-2016年度的1046件投訴中����,僅332件得到解決,投訴解決率30%����。
事實上,根據(jù)中國人民銀行制定的《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十九條規(guī)定:支付機構(gòu)應(yīng)當建立健全風(fēng)險準備金制度和交易賠付制度����,并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時先行全額賠付����,保障客戶合法權(quán)益。
根據(jù)螞蟻金服提供信息���,螞蟻金服會通過賬戶����、身份����、交易���、行為、關(guān)系����、設(shè)備、位置����、偏好8個維度進行風(fēng)險掃描,識別并攔截大量盜刷行為���?��!澳壳埃浵伣鸱馁Y損率為十萬分之一���,Paypal的資損率約千分之二���,是我們的200倍?���!?
不過����,不同機構(gòu)的風(fēng)控機制不同����。記者在京東、攜程上測試���,同一張信用卡����,在北京���、美國兩個IP地址的不同終端登錄,產(chǎn)生消費���,卻沒有出現(xiàn)任何需要額外驗證的環(huán)節(jié)����。
目前���,國內(nèi)第三方支付牌照接近270張����。2015年下半年至2016年初,包括暢購支付在內(nèi)的三家支付機構(gòu)因為挪用客戶儲備金被央行注銷支付牌照����。7月25日,央行宣布對存在未落實商戶實名制���、變造銀行卡交易信息���、外包服務(wù)不規(guī)范的通聯(lián)支付和銀聯(lián)商務(wù)兩家第三方支付公司處以1110萬元和2653.7萬元的罰款。
不過����,剛剛開始的整頓并未能立竿見影。根據(jù)聚投訴平臺統(tǒng)計����,2016年3月-7月,新增盜刷投訴915件����,5個月時間的增長量,接近2015-2016年全年的投訴量。
