钱包还在身上,银行卡也没少,银行卡上的钱却被一小笔一小笔刷走。
近年来,一类利用银联卡小额“免密免签”(即银联卡持卡人在指定商户进行小额消费时无需输入密码或签名即可实现支付)功能默认开通漏洞,进行银行卡“隔空盗刷”的新型犯罪案件正在增多。专家担忧,如银联方面继续保持银联卡相关功能默认开通,此类案件发案率将进一步增长。
银行卡还在
钱却被一笔笔刷走
2018年11月中旬以来,广州市公安局南沙分局鱼窝头派出所接到多起群众报案,称被人盗刷银行卡资金。据事主反映,他们都曾在一条美食街逛街,当时银行卡在自己钱包里,但卡上的钱不翼而飞。
据鱼窝头派出所办案民警刘警官介绍,犯罪嫌疑人正是利用银联卡小额“免密免签”功能默认开通的漏洞,实施了不法行为。
作案手法是将设置好的POS机装进一个普通的男士夹包,然后物色下手对象。
“找到合适的对象后,拿着夹包靠过去感应一下。只要感应的距离在5厘米以内,就容易得手。”
刘警官说,芯片卡默认开通小额“免密免签”支付功能,小笔金额的消费不需要输入密码或者签名,只要POS机感应到芯片卡的闪付功能,就会自动付费。
“小额‘免密免签’支付的单笔最高限额是1000元,所以嫌疑人每次都将金额设定在999元以下,然后选择到人流密集的场所活动,这样走一圈就得利不少。”
自2015年银联为新发芯片卡默认开通小额“免密免签”功能以来,国内已发生多起利用该功能漏洞实施的“隔空盗刷”案件。
不少网友在社交媒体上讲述因“免密免签”功能造成盗刷的经历,并表达了对银联和银行互相推诿的不满。
微博网友@我就是一堆乱码表示,借记卡因“闪付功能”(免密免签)被盗刷,报警后让找银行,银行又让找银联,银联又让找警察…
“免密免签”漏洞
可能被滥用
“默认开通小额‘免密免签’功能,是此类案件中最大的问题。”
从事网络安全研究的四叶草安全研究院院长赵培源等安全技术专家认为,此漏洞属于硬件底层漏洞,尚无法通过软件升级等方式来规避。
因而默认关闭用户的小额双免功能,并为对该功能有需求的用户提供防盗刷卡套,是解决该问题的唯一途径。
对于广州发生的盗刷案件,中国银联广东分公司在回函中说:此次案件属于“个别商户”疑似存在非法活动,已对商户作关停处理。
犯罪团伙在网络上即可买到售价不足千元的授权POS机,随后通过提供他人身份证和银行卡,并利用伪造营业执照,就能轻松通过相关金融部门的审核,这说明相关审核体系存在漏洞,也说明不法“个别商户”可能会不时出现。
此外,不少用户对默认开通的“免密免签”功能仍毫不知情,用户端防范意识弱。
一些银行在用户办卡时未履行告知义务;银联方面称通过短信、网站等方式的提醒,也可能被用户当做垃圾信息忽略掉。
记者随机采访也显示,不少用户并不掌握自己银行卡已被默认开通相关功能,未采取有效防范措施。
银联、监管部门
均应采取实质性措施
2018年银联发布公告称,为提升银联移动支付体验、扩大服务覆盖面,从当年6月起,小额“免密免签”单笔交易限额由300元提升至1000元。
银联方面认为,将单笔小额“免密免签”消费限额从300元提升至1000元,是顺应消费形势,并以新加坡单笔限额960元和中国香港澳门地区850元作为参照标准。
北京大学政府管理学院副教授黄璜认为,当前国内不同地区收入和消费水平差异较大,银联在国内具有相对优势地位,在做相应决策时理应进行全面客观的市场调研,并在引起广泛社会争议的情况下,将调研结果提交给主管部门。
黄璜建议,有关部门应积极回应社会关切,维护金融部门的社会信誉。
长期关注银联卡“免密免签”问题的中央财经大学金融学院教授郭田勇认为,警方破获的相关案件再次说明银联卡默认开通此项功能的风险。
他说,此次“隔空盗刷”的作案方式具有可复制性,银联方面有必要对社会公众作出合理解释,并提醒用户加强防范,而不是反复强调“免密免签”功能的安全性。
“2018年初因为‘默认勾选’的问题,支付宝受到了监管部门的处罚,银联的‘默认开通’操作与之相似,却没有任何处理结果,不利于‘竞争中性原则’的最终确立。”
郭田勇建议,有关部门须尽快向社会公布处理结果,打消舆论猜疑。
惊喜不惊喜
——一张带芯片的银行卡
无须输密码也不用我签名
POS机上一挥
在一定额度内即可完成支付
意外不意外
——这么“强大”的功能
不用我知道也无须我认可
已经被默认开通
日前,新华社曾推出关于“小额免密免签”功能的系列报道。许多消费者纷纷留言反映:“不输密码不签字就能消费,我怎么不知道我的银行卡默认有这个功能?”“办卡时没被提醒过,这是不尊重消费者的知情权!”
针对消费者的反馈,记者在多家银行进行了测试,结果显示,无论是在柜台进行人工办卡,还是在自助发卡机上进行办卡操作,都没有得到包括口头或书面形式在内的任何主动提示。
近日,在中国邮储银行厦门某网点内,记者在柜台要求办理一张银联卡,全程未得到银行柜员就“双免”功能的任何提醒,在一张包含三份用卡协议的纸质合约中,也未对“双免”功能做出任何提示。最后记者在办卡结束后反复追问“是否有什么要提示”时,柜员仿佛才“恍然大悟”表示:“有个小额免密免签的东西…”
同样的情况发生在建设银行厦门某网点的自助发卡机的操作上,尽管在办理新卡的过程中银行工作人员多次协助进行指纹解锁、拍照认证等程序,但同样未对记者做出任何有关“双免”功能的风险提示。
对此,银联方面认为,小额免密免签支付默认开启并不是不尊重客户知情权,而是因为这是银联标准下银行卡的一项基本功能,与银行卡的跨境消费、插卡取现等功能一样,无法把银行卡的每项功能都载入到合约中。根据国际惯例,银联也无法在持卡人的每项功能开通时都要求用户签字确认。银联方面负责人认为,这并不是大家认为的“新功能”,所以默认开通不存在不尊重用户知情选择权的问题。
专家表示,这无疑是“诡辩”,默认开启不只是伤害了消费者的知情权,实际上侵害了消费者的自主权。
银联、银行都想“甩锅”?
即使是“基本功能”,但对免密免签支付情境下的刷卡风险,中国银联是否负有对消费者的提醒告知义务?
对此,中国银联方面认为,小额免密免签业务虽然是银联标准下银行卡的基本功能,但银联在小额双免业务开展之初即重视持卡人权益的保护,并通过业务规则明确了发卡银行应向持卡人告知小额双免的业务,保护持卡人的选择权与知情权。以中国银行为例,在《中国银行股份有限公司长城借记卡章程(2017版)》第十二条中有这样的表述:长城借记卡默认开通免密码免签名小额快速支付服务。小额免密免签服务实施限额管理。持卡人可根据风险偏好自行修改交易限额或关闭此项服务。
但针对记者遇到的普遍“无提醒无告知”情况,中国银联表示,中国银联作为银行卡联合组织,并不与用户直接接触,银联只能在业务处理流程中敦促银行尽到告知业务,但由于各银行操作流程不同,因此告知效果存在差异。
默认开启且上调额度后,告知义务究竟归谁?记者咨询多家银行客服时均得到类似回复:这项功能是银联芯片卡本身具备的,银行也只是按规定发卡。
一位不愿透露姓名的银行工作人员向记者“吐槽”:“柜员在给客户办卡时要承担大量的营销任务,还要注意一系列操作流程问题,一般用户如果不问我们也不会主动说,因为要说的实在太多了。”还有银行柜员认为,银联将“双免”功能默认开启,到头来却要银行在办卡的时候告诉别人“这个功能是默认开启的”,让银行挨骂,“这个锅银行不背”。
来源:半月谈(ID:banyuetan-weixin);新华社“中国网事”
编辑:徐玲