易聯支付屢現盜刷被指存漏洞,第三方支付成推手
- 發佈時間:2015-10-19 10:10:38 來源:中國經濟網 責任編輯:鄭夢琦
在網際網路金融時代,以第三方支付通道為代表的移動支付成為新興支付手段,但在方便快捷的同時,也成為孕育盜刷的溫床。有統計顯示,超過六成的盜刷都通過第三方支付。雖然第三方支付機構只是刷卡消費的通道,但管理能力不足、內控機制不嚴、對商戶管控不嚴、事後投訴處理不到位等問題令盜刷在第三方支付行業愈演愈烈。
第三方支付成盜刷重災區
此前,北京商報記者發表題為《易聯支付屢遭投訴被指存漏洞》的文章,對易聯支付屢遭投訴一事進行了報道。
讀者張先生(化名)投訴第三方支付機構——易聯支付在他不知情的情況下代扣銀行卡資金。和張先生有相同遭遇的受害人在易聯支付盜刷受害者QQ群中交流被盜刷經歷,分享盜刷款追回經驗。目前,該QQ群人數增至243人。
針對投訴人對易聯支付平臺存在漏洞的質疑,易聯支付相關負責人此前回應,易聯支付只是支付通道,銀行卡遭盜刷可能因為持卡人資訊遭洩露,和平臺系統並無關係。不過,對於自身系統內部是否存在漏洞等問題,北京商報記者再次詢問,易聯支付表示會儘快回復。截至發稿前,還未收到新的回復。
其實通過第三方支付盜刷銀行卡的事件屢見不鮮。北京商報記者注意到,除了易聯支付,不久前媒體報道了翼支付半年內7次被曝光盜刷的問題。在聚投訴平臺上,匯付天下、支付寶、快錢支付、財付通等第三方支付平臺均多次遭到投訴。
另據聚投訴平臺數據顯示,在105個銀行卡盜刷投訴中,通過第三方支付機構實施盜刷的達68宗,佔總投訴量的65%(數據為2015年5月26日-8月5日接到投訴的盜刷渠道統計)。第三方支付機構已然成為盜刷者非常重要的“作案通道”。
今年8月,央行的一紙聲明讓第三方支付機構“易士”大量違規挪用客戶備付金、等重大違規行為暴露在聚光燈下,也讓易士成為第一家被央行登出《支付業務許可證》的第三方支付公司。同時暴露了第三方支付機構存在的諸多問題。
快捷支付迅速不安全
通過第三方支付機構,究竟是如何完成盜刷?
易觀國際分析師馬韜認為,被盜刷的問題,首先是因為用戶資訊遭洩露,中了病毒軟體或木馬,這是網路安全技術上的問題。 其實銀行也會遇到盜刷的問題,但銀行管控相對比較嚴格。在快捷支付的開通上比較嚴格,需要多重檢驗,有些還需要當面開通。可能需要卡號、密碼、驗證碼、身份證等資訊。第三方支付行業現在競爭激烈,一些小型的支付公司為了搶佔市場,擴大交易規模,因此想在快捷支付開通的便捷度、支付成功率和支付體驗上有所提升。
“在支付安全和用戶體驗的平衡度上,可能會更加傾向於支付體驗的提升。在開通快捷支付的前期驗證環節,對風險把控不嚴格,一些小型的第三方支付可能只需要銀行卡號、驗證碼兩個資訊就可以開通快捷支付。犯罪分子只需要有持卡人卡號和手機號,用木馬收到手機驗證碼就可以盜刷。”馬韜補充道。
不過,也並不是整個第三方支付行業都存在這種問題,像支付寶、財付通在賠付機制等方面都做的比較好,安全級別不一定比銀行差。技術、賠付、市場份額上不佔優勢的小型公司可能會中招。
如翼支付的盜刷也是因此,無故被開通翼支付,導致銀行卡通過翼支付賬戶被盜刷;而前述張先生通過易聯支付被盜刷,主要是詐騙者在第三方網站購買遊戲點卡等産品,然後再想辦法騙取持卡人的手機驗證碼。
而“補卡截碼”也是常見的方式,犯罪分子先利用偽造的身份證,到通訊運營商網點補辦與銀行卡綁定的手機卡,把機主的手機“廢”了,然後重設網銀交易密碼。繼而利用所截獲的短信等動態驗證碼資訊將用戶銀行卡裏的資金轉走,這種新型犯罪手法讓人防不勝防,而盜刷的方式主要是通過第三方支付平臺或網銀轉賬。
偽卡盜刷現象嚴重
其實因為第三方支付系統漏洞盜刷的先例早已有之,但是在監管層的多次治理下,盜刷案件依然沒有得到有效制止。
中國銀聯相關人士告訴北京商報記者,對於涉及到相應的偽卡盜刷現象,銀聯業務專家建議,相關收單機構應首先積極落實央行與銀行卡組織關於商戶真實性的管理要求,確保入網商戶資訊真實、準確、完整。其次,應加強對商戶的業務培訓與風險管控措施,提高商戶識別防範偽卡交易的能力。
北京大學經濟學院副教授、經濟學博士呂隨啟認為,第三方支付在支付技術上相對成熟,但在安全技術上存在漏洞。央行作為監管機構,應該對第三方支付行業設置準入門檻,對進場者進行嚴格的資格審查,慎發入場券。
一位第三方支付機構相關人士直言,部分第三方支付機構在開展業務過程中,在直接與商業銀行建立連接的同時存在變造交易類型、套用MCC等違規情況,導致商業銀行無法準確識別交易場景和客戶真實交易行為,難以有效實施風險管控,容易掩蓋偽卡欺詐、網路欺詐、洗錢套現等風險隱患。多頭連接還導致持卡人賬戶資訊安全受到威脅,一些第三方支付公司在存在私自留存持卡人姓名、身份證號、銀行卡號、聯繫方式等敏感資訊的情況。
控制第三方支付市場規模
遭盜刷已然糟心,奈何維權過程更是困難重重。不少受害者表示,維權過程繁瑣,追索時間長,勞心費力。近日發佈的《中國居民金融能力報告》顯示,去年超過5%的居民有過信用卡被盜刷的經歷。其中,超七成的人在信用卡被盜刷後沒有獲得任何賠付,需自己承擔損失。
事實上,涉及到第三方支付平臺的盜刷投訴,可以直接找第三方支付公司索賠。央行要求支付機構應當建立健全風險準備金先行全額賠付。從源頭上加強對第三方支付的管控。
馬韜認為,第三方支付市場的激烈競爭會導致一些資質較弱的小型支付公司為爭搶市場份額,過分注重支付體驗的提升,從而忽視了支付安全方面的問題。呂隨啟認為,央行也應對第三方支付市場的規模實施管控,避免第三方支付的惡性競爭。
呂隨啟提醒消費者要增強安全意識,保護好個人資訊。一位遭盜刷受害者用親身經驗告訴北京商報記者,在各社交平臺、消費網站,儘量不要透露自己的銀行卡號、身份證號等私密資訊;上網時,不要輕易點擊不明連結;刷卡消費及取款時,注意周圍是否藏有攝像頭;謹慎使用身份證複印件,如需使用,最好打上浮水印,附注“僅供××用途使用”的字樣。