你是否想象过这样的场景:有人拿到你印有“闪付”标志的银行卡,只要刷卡金额在免密免签范围内,就可以用POS机交易,无需你输入密码和签名。甚至是,银行卡还在你手中,但是,被带有NFC功能的POS机接近,同样能被刷卡,同样不需要持卡人的密码和签名。
别认为这样的“隔空盗刷”不存在!经过记者实测,这在现实中的确会发生。因此,在拥挤的地铁上或者在路边被人撞了一下,一定要警惕,有可能你的银行卡已“遭遇不测”。
原因何在?都是默认开通的“小额免密支付”功能以及管理混乱的POS机惹的祸!
“隔空盗刷”的的确确存在
据媒体报道,2018年11月以来,广州警方相继接到群众报案,称银行卡资金被盗。据受害者反映,银行卡一直在自己手中,但卡上的钱却不翼而飞。后经调查,嫌疑人是利用芯片银行卡小额免密支付的功能,在人流量较大的区域,用伪装过的POS机贴近失主钱包内的银行卡进行感应,实施盗刷。
真有那么神吗?《IT时报》记者进行了实验。
记者把一张带有闪付功能的银行卡放在卡套内,在一台带有NFC功能的POS机上设置了刷卡金额为10元,随后把POS机靠近银行卡,几秒钟之后,POS机就显示出交易成功的提示。如果不是亲眼看到,恐怕很难相信。不一会儿,记者的手机又收到了银行卡交易的短信提醒。
记者又把这张银行卡放在钱包里,再采取同样的方法进行“盗刷”,这次没有成功,原因应该有二,一是钱包比较厚,再加上有现金和各种证件,POS机无法读出银行卡信息;二是钱包里有多张具有闪付功能的银行卡,也造成了交易失败。
从实验结果看,“隔空盗刷”需要具备一定的条件才能实现,比如银行卡是闪付卡且开通小额免密支付、POS机和银行卡距离不能太远等,但不管怎样,盗刷风险的确存在。
小额免密支付功能基本默认开通
或许你会说“我没有开通过免密支付,盗刷和我无关”,别高兴得太早。因为“小额免密支付”是默认开通的,如果你没有关闭过,很有可能是开着的。
记者拥有一张农行借记卡,通过农行电话客服,记者了解到这张卡开通了免密支付功能,而实际上在办卡时,记者并没有收到柜员对于免密支付功能开通的提醒。最终,记者通过农行PC端官网关闭了该功能。
市民郝女士也是如此,她去某银行申请补办银行卡,在业务申请表上,她没看到任何关于免密支付授权的提醒。据该银行柜员告知,小额免密支付功能是默认开通的,如需关闭,需要在网页版网上银行操作。
建行的一位柜员告诉记者,柜员需要提醒开卡用户的只是转账功能,“这个功能是需要用户勾选同意开通或关闭,对于免密支付功能没有规定。”
记者了解到,要关闭小额免密支付功能,各家银行的操作方法并不一样,比如农行和浦发在其官网的PC端可以操作,有的银行则要到线下办理。
2018年6月1日起,银联小额免密免签支付业务的单笔限额由300元上调至1000元,也就是说如果一张默认开通小额免密支付的闪付卡,1000元以内无需密码和签名。
根据中国银联《银联卡小额免密免签业务规则》,明确规定发卡机构和收单机构在业务开通前所应当履行的向持卡人告知的义务,并积极敦促参与双免业务的各成员机构均依照业务规则的规定。各家银行也通过官网公告、短信通知、领卡合约等方式,向持卡人明确提示了信用卡“双免”业务的相关信息。
从支付的角度来说,“免密支付”提高了支付效率,但如果银行卡丢了,岂不是很容易发生盗刷?就算银行卡没丢,如果有犯罪分子利用POS机隔空刷卡,也是分分钟丢钱。
被漠视的用户选择权
有人喜欢“免密支付”的快捷方便,但也有人更注重安全。每个人的选择不一样,是否开通免密支付,选择权应该在用户手里。
2016年央视曾报道,乐视网推出“一分钱享受7天高级会员服务”之后,大量用户莫名成为“高级会员”,绑定账户出现自动扣费。也就是说,没有经过用户授权,乐视网就为用户开通了自动扣费功能。从某种意义说,这是在漠视消费者的选择权。
对于因默认开通小额免密支付而可能产生的风险,银联相关人士表示,小额免密免签服务交易具有限额控制,超过设定额度必须输入密码交易才能成功,同时主要发卡银行对于单卡单日累计免密限额也有控制;此外,中国银联及发卡银行已为小额免密免签交易配置智能风控技术,在发现风险时会立即启动有关风险防控手段,守护持卡人支付安全。而且,为减少持卡人用卡安全顾虑,银联联合各商业银行为持卡人设置了专项补偿金,提供小额双免“风险全赔付”服务,可覆盖持卡人遭遇的欺诈损失。
但是,与其事后赔付,不如事前告知,对于用户来说,一旦发生账户损失,如何自证被盗刷、赔付流程如何都是问题。
在移动支付时代,很多涉及支付的App都有“免密支付”功能,有的App在开通免密支付时会取得用户同意。比如在首汽约车中,可以开通支付宝免密支付、微信免密支付、信用卡免密支付等功能,但这些都需要用户进行授权才能使用。
POS机办理门槛低、乱象多
默认开通小额免密支付是造成银行卡被盗刷的原因之一,纵观已发生的盗刷事件,嫌疑人使用的工具是POS机。从本质上说,POS机是收单机器,现在却成了作案工具。
2016年10月,中国人民银行发布通知,明确要求禁止网上售卖POS机。同年,中国支付清算协会下发通知,要求进一步加强对银行卡收单业务管理。虽被明文叫停,但POS机的违规销售现象仍然存在。
在POS机代理商处购买过POS机的关先生(化名)告诉记者,只需向代理商提供身份证、银行卡等,很快就能办好一台POS机,且不需要硬件成本。“成本就是日后在这台POS机上交易需要支付6.6个百分点,再加3元秒到费。”对于购买POS机的用途,关先生坦言,是为了套现以及信用卡之间的“抵账”。
获取成本低、犯罪成本低造成了POS机套现、盗刷等各类事件的频发,而当银行卡的交易进一步“快速”后,这些违规获得的POS机就有了“用武之地”。
手机POS机出现后或带来更大风险
2018年12月,中国银联联合各商业银行与国内一些手机厂商启动了手机POS产品首批试用点合作。简单来说,今后手机也能变身成POS机,商家只需在手机上开通在线收单服务,无需再贴任何二维码,也不用购买POS机、扫码枪等设备,银联手机POS不仅支持二维码支付,还支持银联IC卡闪付、银联手机闪付。换言之,消费者不仅可以使用二维码支付,还可以在商家的手机上直接刷自己的银行IC卡或手机。
对于银联和商家来说,手机POS产品可以帮助商户以更低成本进行收单,同时借助智能手机的高普及率,让收单业务普及开来。但是,问题来了,当手机成为POS机之后,“隔空盗刷”是否会更加无成本和隐蔽?现在,刷闪付卡还需要POS机,日后,只要拿手机和别人的手机或闪付卡一碰,就能交易成功?
来源:《IT时报》公众号vittimes
银行卡遭盗刷,竟是“小额免密支付”惹的祸
6月14日,市民吴女士称,自己的银行卡被人盗刷。事后了解到,竟是“小额免密支付”惹的祸。
吴女士讲述,当天,她带着孩子睡觉,手机突然不断收到短信,她拿起一看,全是银行卡的扣费短信通知,一连十几条。她立即起床,登录手机银行转移出余额,继而拨通了该行客服电话,对银行卡进行挂失,才避免了资金继续被盗刷。
事实上,吴女士的银行卡一直在自己的钱包里,为何会被盗刷呢?吴女士通过银行客服了解到,该账号近三天都有网购支出记录,而且全部采用微信“小额免密支付”方式。吴女士再次翻看自己的手机短信记录才发现,原来,前两天手机也间歇性收到过几条短信,只是未及时发现。记者查看吴女士的扣费短信,每一笔支出都在10~30元之间,总金额200多元。
吴女士介绍,她的微信绑定了银行卡,使用微信消费时,费用较少时可免密支付。业内人士林爻称,微信与银行卡进行了实名绑定,大多默认开通“小额免密支付”功能,所以,使用微信“收付款”时,直接扫描二维码,无需输入密码或签字,就可完成收支过程。
然而,记者在采访中发现,很多市民不了解“小额免密支付”功能,有的人在使用过程中发现不用密码或签字就能消费,非常方便。
记者咨询银行和微信客服了解到,银行卡“小额免密支付”是银行为持卡人提供的一种小额快捷支付服务,一定金额及以下消费交易时,只需要将卡靠近POS机或收单设备感应区,无需密码和签名,就能完成支付。2018年6月1日起,部分银行将“小额免密支付” 单笔限额从300元上调至1000元。
微信免密支付使用说明显示,开通微信支付付款码服务后,付款金额不足1000元(在商户列表中的商户消费时,单笔付款金额不足3000元)的交易,无需验证支付密码或其他交易指令验证要素,超额则需要验证支付密码。
微信客服表示,为了确保资金安全,用户可以自行关闭微信免密支付功能,进入微信进行以下操作,选择“我”——“支付”——“收付款”——选择右上角标志——选择“设置安全锁”或“暂停使用”。
林爻称,免密支付是一把双刃剑,在带来消费便捷的同时,也必然暗藏着不安全因素,想要保障个人的资金安全,一方面要依靠机构的安全保护机制,另一方面还是要消费者加强自我保护意识。
开通“免密支付”需谨慎 盗刷风险就在身边
“免密支付”功能为手机用户带来便利,也给不法分子实施盗刷等违法犯罪活动以可乘之机。警方提醒谨慎开通“免密支付”,防范资金被盗刷。
今年5月20日,淮北市公安局烈山分局刑警大队接辖区居民李女士报警称,其放在卧室床上的一部手机和300元现金被盗。办案民警经缜密侦查,发现受害人李女士的邻居杜某有重大作案嫌疑,随即对其进行网上追逃,但多日未见杜某行踪。经进一步摸排,民警获悉嫌疑人杜某的工作单位等关键信息,决定对其进行抓捕。6月12日上午,杜某在其工作单位被守候的民警抓获。由于李女士的手机设置成免密进入和支付,支付宝花呗被盗刷700余元。幸得警方及时抓获杜某,让李女士免遭更大经济损失。杜某因涉嫌盗窃罪,已被采取刑事强制措施。
警方提示:“免密支付”功能让手机用户在不输入密码的情况下完成支付,存在被盗刷的风险,不要轻易授权此功能。若开通“免密支付”,要把手机设置为锁屏密码或手势、指纹解锁,为手机丢失后展开后续补救措施争取时间;同时设定月度限额或单次支付限额,一旦出现意外可避免损失扩大。发现支付宝被盗刷要立即报警,并拨打相关客服电话解除支付宝绑定以止损。
关注微公号【我de律师】
注册每天领红包
点击↘联系我们