網上盜刷事件頻發,風險肇始於“快捷支付”?
- 發佈時間:2016-04-27 08:16:51 來源:大河網 責任編輯:張潔欣
剛過去的一段時間裏,銀行卡被網上盜刷的各種新聞屢屢見諸報端
在正文開始前,先普及下“網上盜刷”的基本知識:
除電話詐騙外,目前銀行卡主要通過技術手段的盜刷犯罪手段主要分為線上和線下兩種。線下盜刷從複製磁條盜竊密碼到改造POS複製付款令牌等等不一而足,隨著金融IC卡的逐漸普及以及降級交易的逐漸關閉,此類風險事件的發生概率在逐漸減少;而網上盜刷這個新的犯罪手法,則在短短的五六年內急速發展。由於網上盜刷具有批量化、無需接觸受害者實體介質等特點,總量已反超線下盜刷。
而在很多報道中,以分析技術問題為主要內容,以痛斥銀行不給賠付最終第三方支付解決問題以及電信運營商管理不力導致驗證碼洩露結尾,卻只字不提網上盜刷的渠道所存在的問題,仿佛“它”就應該擺在那裏不做改變一樣。然而要想解決網上盜刷問題,渠道絕不應該是被忽視的地方。
快捷支付的前世今生
前面提到的網上盜刷的渠道,大部分都是通過一個名為“快捷支付”的業務進行的。而這個業務本質上是第三方支付所提供,由支付寶首創,在發展一定時間後各家第三方支付開始跟進。
支付寶在當時發展快捷支付是有其客觀需求的。在淘寶發展的早期,網上支付量快速增長,特別是“雙11”這類人造購物節日更是集中了很長一段時間的流量在一天內爆發。而大部分銀行的網關支付相關建設並沒有為這種爆發性的交易需求做好準備,導致實際支付成功率與支付寶所期望的有一定差距。
因此,支付寶便要求銀行為其提供類似于代扣水電費保費之類的代扣功能,繞開了銀行本身的網關支付,減少了雙方核心繫統之間的通訊環節,提高了支付寶實際付款的成功率。鑒權/核身+代扣,這就是快捷支付的早期形態。
在那個時候,從銀行角度看快捷支付並不是一個太大的問題。在收益方面有支付寶沉澱的存款和個人客戶新開卡,還可以降低網關支付的壓力;在風險方面支付寶當時已經發展到一定規模因此卷款跑路的可能性很小,如果出現小範圍風險問題也可以將介面關閉,完美。至於網際網路金融,那是什麼?
2011年4月,支付寶的快捷支付正式推出,風險問題也隨之而來。同年8月銀監會下發《關於加強電子銀行資訊管理工作的通知》,要求快捷支付類産品首筆業務前必須經由銀行方進行身份驗證。而快捷支付實際上只是由第三方支付向銀行發送客戶在銀行所預留相關資訊和手機號碼來核對客戶身份進行開通,並不是由銀行在其自身的物理或電子渠道進行客戶身份驗證,自然更談不上確認客戶自行開通的意願。銀行據此向支付寶提出修改意見,但有傳言稱支付寶以影響客戶體驗為由拒絕了,這也是之後2014年工行支付寶之爭中工行方指責支付寶“快捷支付違法”、“拒不改正”的原因。
在現在看來,銀監會在2011年所下發的管理文件從風控角度講其實已經看到了快捷支付的風險點所在,在執行方面卻出現了問題。在之後的幾年中,各類隱私洩露日趨嚴重,通過快捷支付渠道的網上盜刷案件急速增加,而包括支付寶在內的第三方支付早已經發展到一個很大的規模,快捷支付為很多客戶所接受,介面已經不能隨意關閉,如不尋找其他方式進一步收緊限制,銀行原本的風控設計將淪為空談。
2014年3月前後,四大行分別下調包括支付寶在內的所有第三方支付快捷支付渠道限額,以此來降低被盜客戶在盜刷案件中的損失金額。但四大行安全程度較高的網關支付限額並未同步調整,因此在部分業內人士看來,此舉應是監管層非公開指導下的風險防控行為。
然而當時恰逢餘額寶發佈不足一年,銀行間市場資金荒仍未退去,高企的貨幣基金利率所引發的投資狂熱使得餘額寶在某個層面上成為了支付寶的護身符,“誰敢動支付寶就是要動餘額寶,而誰敢動餘額寶就是與人民為敵”儼然成了那個時間段網路上的政治正確,四大行的限額調整自然被罵的狗血淋頭,即使再三強調通過網關支付仍可投資餘額寶也收效甚微。
最終,事情以支付寶指責工行“知法犯法”後將備付金存管賬戶轉至建行,四大行逐步將原來由各省分行分頭接入的各家第三方支付快捷支付介面統一上收至總行管理,監管當局再次發文強調對銀行和第三方支付公司的合作要加強管理而結束。至於四大行到底是為了風險控制還是如阿裏所指責的那樣為了限制餘額寶發展,已成為一場羅生門。
防彈衣的缺口
事實上,快捷支付被銀行詬病已久,從開通到每次支付,都與銀行傳統的風控理念相去甚遠。目前快捷支付的開通方式是由第三方支付向銀行發送客戶輸入的銀行所預留相關資訊和手機號碼來核對客戶身份進行開通,並不驗證銀行卡密碼。但從銀行角度來看,個人客戶資金的安全措施最重要的是密碼以及本人現場驗證,其他資訊和方式都僅僅是輔助。而快捷支付所驗證的身份資料、預留手機號等都不是銀行眼中的關鍵性安全因素,在實際上打破了銀行原有的支付安全體系。即使銀行後來為競爭而推出了類快捷支付産品,但開通驗證內容中必須有卡密碼,這也從一個側面驗證了銀行和第三方支付對關鍵性安全因素的認識差異。
2015年底,馬雲對傳統金融和網際網路企業的風控區別是這麼評價的:“傳統金融可能做的風險是把防彈衣做得越來越厚,越來越好,而我們的創新是讓殺手根本不可能靠攏你。”從這個角度看,快捷支付實質上是第三方支付在銀行以密碼為安全核心的“防彈衣”上破壞出的一個缺口,雖然有安全措施,但“殺手”只要被漏過來,資金被盜就是必然的結局。因此,目前通過快捷支付被盜的資金由第三方支付而不是銀行進行賠付也是有其道理所在,並不是像某些媒體所説銀行店大欺客只有第三方支付才為客戶考慮之類。
隱私的洩露與黑色産業鏈
如果僅僅是防彈衣上存在缺口但無人利用,並不會有目前如此猖獗的盜刷行為。然而目前個人隱私洩露的情況可以説是觸目驚心,快捷支付與銀行方核對的客戶相關資訊早已經不能作為識別客戶身份的完善依據,更不足以成為防範風險的屏障。
4月10日,中央電視臺新聞三十分節目中播出了銀行卡盜刷的來龍去脈。大概內容説的是犯罪分子通過偽基站發送釣魚短信、架設免費WIFI、改裝POS等方式盜取個人資訊、短信驗證碼和銀行卡資訊,再通過複雜的黑色産業鏈最終將資金竊取。
事實上,包括你我在內的絕大多數普通人的隱私早已經在某一群人手中流傳。任何一個存儲海量個人資訊的網站被“拖庫”或被內部人賣出後,這群人的饕餮盛宴便隨之開始,而依靠這些個人資訊和密碼來進行客戶身份驗證的網站自然成為下一輪攻陷的目標,最終他們的數據庫將會成為比你我更了解自己的存在。例如某些人仍在津津樂道的“社工庫”,暴露在大眾面前的不過是冰山一角,多個不同渠道拿到的數據庫根據身份證和手機號等關鍵鍵值就可以將資訊匹配在一起,對每個人的隱私資訊都有了完美的畫像,在黑色産業鏈中形成了另外一個意義上的“千人千面”。
除了非法手段之外,很多企業對客戶的隱私的漠視也是隱私洩露的重要原因。比如目前移動要求客戶更換4G卡時將客戶常去的地址提供給電話行銷人員、之前爆出的螞蟻花唄催收通過聯繫關係人來提醒借款人進行還款的方式等,都是將客戶隱私交給組織內許可權較低的人員甚至外包人員,大大增加了泄漏的可能和日後追責的難度。
至此,快捷支付與銀行所核對的資訊已經失去了驗證客戶本人身份和意願的能力,只有手機驗證碼在苦苦抵擋。
躺著也中槍的電信運營商
“如果我決定用支付寶做我家大門的門鎖,被盜了之後可以指責它嘛?”這是筆者一個在移動工作的朋友所講的笑話。雖然聽起來是無稽之談,但這卻正是電信運營商在網上盜刷案件中所面臨的窘境。
短信驗證碼是快捷支付核對用戶身份的重要環節。然而手機通訊技術經過了多年的發展,從模擬信號到GSM,再到現在的4G LTE以至未來的5G,技術一直在不斷的進步,網速越來越快,通話品質越來越好。但各代技術卻有一個共同點:手機號碼及短信不作為重要安保措施。即使體量大如移動,也一直是在NFC這條路上前行。
這其實是很正常的思路。對電信運營商來説,主營的電信業務實際上所涉及的客戶資金只有話費,而話費提現要經過很複雜的流程且金額並不大,因此沒有多少對卡及手機號安全方面保護的想法,若不是國家要求恐怕連實名制的想法也沒有。畢竟即使卡丟失或補辦,對電信運營商及其客戶也不會有什麼直接性的損失。直到有一天,他們被綁架到了快捷支付的戰車上,才發現自己雖沒有從中獲得多少利益,卻已被千夫所指。
目前,除了常見的偽基站偽造號碼以及批量發送釣魚短信之外,電信運營商所提供的一些服務也成為犯罪分子利用的工具。比如之前的短信保管箱保存短信驗證碼、最近爆出的通過郵箱發送詐騙短信等等。而虛擬運營商的170號段更是成為了釣魚短信發送的重災區。這些問題都在實際上將快捷支付所撕開的缺口越扯越大。然而換個角度看,第三方支付這種“沒打招呼就從隔壁鄰居家拿根油條當門栓”的方式又有什麼立場來指責“油條”不夠堅固呢?
監管與未來發展
前面的分析裏,銀行、第三方支付公司、電信運營商看起來各自有各自的原因和委屈,然而即使誰都沒錯,用戶的錢被盜了也是事實。因此整個鏈條上的企業都應該主動承擔更多的社會責任,畢竟資金的風險問題還是遵循著木桶理論的。目前,銀行及電信運營商已在電話號碼用戶識別、換卡二次驗證、偽基站自動排查、釣魚網站攔截等方面做了大量的工作,但對於快速擴散的網上盜刷案件來説,仍有很長的路要走。
同時,監管方面並沒有選擇繼續等待。
2015年12月底,央行出爐了《非銀行支付機構網路支付業務管理辦法》。在這個文件中,央行強調了銀行是客戶資金安全的管理責任主體,應在首筆交易時自主識別客戶身份並與客戶直接簽訂授權協議,承諾無條件全額承擔此類交易的風險損失先行賠付責任,這其實是對銀行提出了對快捷支付特別是開通方面的管理要求,與11年銀監會的文件在本質上一脈相承。
另外,《辦法》中也規定了支付機構對不能有效證明因客戶原因導致的資金損失及時先行全額賠付,並對支付機構進行了風險分類,風控能力較弱的第三方支付每筆200元以上非定期的快捷支付都必須由銀行方進行驗證,風控能力較好的第三方支付可以與銀行通過協議自主約定由支付機構代替進行交易驗證,但必須將支付相關資訊告知銀行。
2016年4月,《非銀行支付機構分類評級管理辦法》正式出臺。結合前面提到的《非銀行支付機構網路支付業務管理辦法》來看,一些技術能力不足,業務水準有限,風控能力較差的中小型第三方支付公司將逐漸弱化,直至退出舞臺;而技術能力較強、業務水準較高、風控能力較強的大型第三方公司將獲得優待。
同月,中央十四部委聯合印發了《非銀行支付機構風險專項整治工作實施方案》,第三方支付包括快捷支付在內的直連銀行模式可能將在一段時間後走到終點,取而代之的可能是一個新的網路支付結算平臺。
當這些監管文件落實到位的時候,我們可能需要告別原有模式的快捷支付;而迎接我們的,則是一個依然便捷但更加安全的未來。