隨著支付交易形態日益多元,金融和通信、互聯網等產業之間融合加深,線上欺詐的攻擊對象也從金融機構、持卡人擴展到商戶網站、手機運營商。下一步在加強對信用卡產業鏈配套規范體系建設的同時,還應盡快出臺針對移動支付、二維碼支付等創新業務的相關管理細則,形成制度規范。
當線上支付為消費者帶來全新體驗的同時,其因信息泄露導致的欺詐風險也在迅速上升。中國銀行業協會近期發布的《中國信用卡產業發展藍皮書(2014)》顯示,偽卡、虛假申請、互聯網欺詐、失竊卡、賬戶盜用是信用卡最突出的五大欺詐類型,其中互聯網欺詐呈現快速增長態勢,2014年欺詐損失金額為2245.4萬元,比上年增長59.1%。
支付信息如何泄露
業內人士表示,互聯網欺詐的關鍵環節是獲取支付數據與信息。隨著支付交易形態日益多元,金融和通信、互聯網等產業之間融合加深,線上欺詐的攻擊對象也從金融機構、持卡人擴展到商戶網站、手機運營商。
“常見手法有三種,一是利用手機運營商管理漏洞,通過偽基站發送釣魚鏈接;二是通過木馬、黑客技術攻擊商戶網站,獲取支付訂單信息;三是以退貨、網銀升級等理由騙取持卡人的銀行卡卡號、動態驗證碼等支付信息。”中國銀行業協會銀行卡專業委員會相關負責人介紹。
北京某事業單位員工晏玉回憶,今年8月她曾收到號碼為10086的短信,稱“未兌換的話費積分即將清零,請及時登錄10086zem.com下載客戶端兌換216.8元禮包(中國移動)”。“我當時以為是中國移動的客服電話,就按照要求登錄,輸入了銀行卡號、身份證號、支付密碼,隨后卡片就被盜刷了3000元。”晏玉說。
“這是典型的偽基站冒充手機運營商發送詐騙信息,誘騙持卡人登錄釣魚網站竊取信息然后盜刷。”中國工商銀行牡丹卡中心內部人士表示,保管個人賬戶信息十分關鍵,尤其是快捷支付時的核心信息“短信驗證碼”,銀行在任何時候都不會向持卡人索要密碼等相關信息。
該人士表示,與釣魚網站原理類似,有些詐騙手法是以網銀升級、系統升級等名義誘騙持卡人登錄虛假網址,進而騙取信息。
值得注意的是,信息泄露的途徑還在向商戶網站擴散。中國銀行業協會銀行卡專業委員會相關負責人介紹,去年以來,在全球范圍內已陸續發生多起黑客、木馬攻擊網站竊取支付訂單的案件。
金融機構如何應對
雖然支付信息泄露的可能途徑涉及金融機構、通信、電商等多個主體,但作為網絡支付市場的主要參與者,金融機構在創新防控技術、應對信用卡互聯網欺詐方面大有可為。
業內人士介紹,從技術手段看,為了防止支付信息在傳輸過程中被竊取,多家商業銀行在線上遠程支付的過程中選擇采用令牌技術。借助該技術,持卡人正在交易的16位賬號在傳輸過程中有了一個數字化的令牌“替身”。
“從工行HCE云支付信用卡的運行過程看,工行搭建了一個云端服務器,用以存儲海量的銀行卡賬戶信息,在客戶的手機APP中僅存儲令牌作為銀行卡的替身,也就是不在客戶手機里顯示真實的卡片信息,而是讓云端服務器與客戶手機APP實時交互,完成信用卡在客戶手機端的發卡交易、密鑰下載、身份驗證等一系列過程。”工行牡丹卡中心總裁欒建勝說。
除了技術升級,部分銀行還推出了“交易開關”服務。以廣發銀行為例,目前該行已針對境內無卡交易、港澳臺交易、境外交易、交易限額管理等推出了開關功能,持卡人可以自主設置交易開關。
“作為日常保障,各行應重視對網絡異常交易的實時監控,有條件的可建立專門部門或團隊。”工行牡丹卡中心內部人士表示。
聯手打造安全用卡環境
由于網絡支付市場參與主體日益多元,中國銀行業協會銀行卡專業委員會建議,除了金融機構,產業各方主體應攜手合作,尤其應深化警銀、銀法合作。
目前從監管法規層面看,信用卡支付行業的監管和風險防控體系已初步建立。中國銀行業協會銀行卡專業委員會認為,下一步應加強對信用卡產業鏈配套規范體系的建設,同時,還應盡快出臺針對移動支付、二維碼支付等創新業務的相關管理細則,形成制度規范。
從產業各方主體合作的角度看,該委員會建議各金融機構應深化與互聯網企業、通信、公安、工商等機構的合作。“比如與通信部門合作開展互聯網不良信息清掃,與工商部門合作嚴查非法套現廣告、空殼公司的注冊行為等。”該委員會相關負責人說。
“治理信用卡互聯網欺詐尤其要重視警銀、銀法合作。”上述負責人表示,金融機構今后可在案件監測預警、執法協作等環節加強與公安經偵部門的聯動,同時與司法部門合作,維護金融債權。具體來看,可建立司法協助網絡工作平臺,將人民銀行、各商業銀行、公安、法院、工商局等各類機構的數據整合起來。
“監管方為行業提供良好政策的環境,卡組織做好交易清算、受理環境建設等基礎工作,商業銀行應在貫徹政策、控制風險的基礎上積極創新。”中國銀行業協會專職副會長楊再平說,各方應在實踐過程中不斷規范網絡支付的產品標準、行業規則和監管制度,共同打造安全的用卡環境。(記者 郭子源)