▲ 商戶在安裝POS機時要選擇正規(guī)渠道��,不可輕信銀行工作人員以外的推銷人員���,持卡人還可給自己的信用卡���、借記卡設定刷卡上限,以增強賬戶安全性
▲ 部分不法分子以贈送小禮品為誘餌�,誘使持卡人用手機掃描二維碼,進而將木馬病毒植入持卡人手機����,直接截留銀行發(fā)送給持卡人的短信驗證碼
銀行卡使用安全正面臨新挑戰(zhàn)。中國銀行業(yè)協(xié)會日前發(fā)布的《中國銀行卡產(chǎn)業(yè)發(fā)展藍皮書(2017)》顯示����,2016年我國銀行卡欺詐率為2.57基點,較上年上升0.68基點���,欺詐手段突出表現(xiàn)為線下偽卡盜刷���、線上賬戶盜用、電信詐騙���。
與此同時�����,隨著支付手段日益多樣�,特別是線上非面對面交易快速化、匿名化����,欺詐手法也不斷翻新,欺詐風險管控難度加大�。應如何識別上述欺詐手段?如何有效防控銀行卡欺詐風險?監(jiān)管部門又如何形成合力?
“偽卡盜刷”鏈條
偽卡盜刷是信用卡欺詐的最主要類型��!端{皮書》顯示���,2016年信用卡欺詐損失以偽卡交易為主�,且占比較上年有所上升�����,其次是虛假身份����、互聯(lián)網(wǎng)欺詐;借記卡欺詐的主要類型則是電信詐騙���,其次是互聯(lián)網(wǎng)欺詐��、偽卡盜刷�。
銀行業(yè)協(xié)會相關負責人介紹,所謂偽卡盜刷���,是指不法分子將銀行卡磁條信息側錄����,包括賬號密碼等���,再利用這些信息復制出一張偽卡�����,用偽卡在POS機�、ATM機上實施盜刷���。
“磁條信息側錄是核心��。目前信用卡仍是磁條卡�,更容易被側錄���,借記卡中的磁條卡也容易被側錄����,芯片卡就安全很多����!鄙鲜鲐撠熑苏f。
家住湖北省武漢市的胡女士發(fā)現(xiàn)自己的借記卡被人取走了24900元����,取款地是重慶市某ATM機。然而����,借記卡明明就在身邊,怎么會在異地的ATM機上被盜刷了呢?
經(jīng)偵破����,重慶警方發(fā)現(xiàn)這里面包含了一個完整的“偽卡盜刷犯罪鏈條”——研發(fā)POS機盜錄芯片、改造POS機����、竊取銀行卡刷卡信息、國外制作偽卡����、國內盜刷提現(xiàn)。
具體來看����,該案犯罪嫌疑人伙同他人共同研發(fā)出了側錄銀行卡磁道信息及支付密碼的芯片,然后用虛假商家身份騙取網(wǎng)絡支付公司信任�����,申辦了10余臺POS機�,把芯片嵌入POS機中完成改裝,再通過支付公司代理人�����,將改裝后的POS機推銷到某些消費場所��。
持卡人用上述POS機刷卡支付時�����,其銀行卡賬戶信息�、支付密碼等數(shù)據(jù)就會被芯片側錄、竊取���。此后�����,犯罪嫌疑人會以維修為借口�����,定期從芯片中導出數(shù)據(jù)�,利用這些數(shù)據(jù)在境外制作“偽卡”,再拿偽卡回境內取現(xiàn)���、消費�����。
“值得注意的是��,近年來偽卡盜刷的商戶合謀案件增多���。”公安部相關負責人說�,某些收單機構的商戶入網(wǎng)審核不嚴,不法分子利用這一漏洞��,虛假申請商戶或者與商戶合謀實施欺詐并快速轉移賬款。
規(guī)���;畔⒏`用
如何避免自己的銀行卡信息被側錄竊用?業(yè)內人士提醒,針對借記卡�,建議持卡人將磁條借記卡更換為安全性更高的“IC芯片卡”,同時定期更換支付密碼����,并綁定手機短信通知,第一時間了解自己的賬戶狀態(tài)���。
由于目前信用卡仍是磁條卡��,建議持卡人刷卡時選擇正規(guī)的營業(yè)場所�。商戶在安裝POS機時要選擇正規(guī)渠道����,不可輕信銀行工作人員以外的推銷人員,避免被不法分子利用�����。
此外���,持卡人可以給自己的信用卡�、借記卡設定刷卡上限,如果消費金額超過該上限��,必須通過手機驗證碼來確認�����,以增強賬戶的安全性�。
“還有,不要在綁定第三方支付工具的銀行卡上存放大量資金���,以免不法分子利用第三方機構漏洞竊用信息������!便y行業(yè)協(xié)會相關負責人說�����。
利用第三方機構漏洞批量化�����、規(guī)模化竊用信息���,也是銀行卡欺詐翻新手法之一������!端{皮書》顯示���,近年來,第三方支付機構�����、外包服務商已成為不法分子攻擊的對象����。部分第三方機構違規(guī)留存銀行卡磁條數(shù)據(jù)、敏感數(shù)據(jù)訪問權限管理不善��,不法分子用黑客技術惡意攻擊第三方機構后臺數(shù)據(jù)庫��,批量獲取客戶賬戶信息��。
其中,“撞庫”�、“掃號”手法較為常見。黑客首先收集已泄露的���、分散式的賬戶信息���、密碼,然后批量登錄其他網(wǎng)站�,把這些信息與各個持卡人的銀行、支付寶賬號等信息逐個匹配�����,最終“撞大運”似地“撞”出部分持卡人的可用信息�。
攻擊手機移動端
除了線下、線上信息竊用�����,手機移動端也正成為銀行卡欺詐重災區(qū)�。“近期�,部分不法分子以贈送小禮品為誘餌,誘使持卡人用手機掃描二維碼,進而將木馬病毒程序植入持卡人手機�,直接截留銀行發(fā)送給持卡人的短信驗證碼���!惫膊肯嚓P負責人說�。
眾多周知�,短信驗證碼是支付密碼外的第二道安全保障,由此�,非法截取、騙取驗證碼就成為銀行卡欺詐的關鍵一步���。
目前手機移動端的常見攻擊手法有二:一是不法分子修改持卡人預留手機號,進而實施網(wǎng)絡盜刷����。例如,不法分子利用變號軟件��,偽裝成持卡人給銀行客服系統(tǒng)打電話��,要求修改預留手機號碼��、密碼���。
二是不法分子編造積分兌換�����、額度調整���、退貨退款等理由�����,向持卡人手機發(fā)送釣魚網(wǎng)站鏈接��,持卡人點擊該鏈接后�����,交易驗證號碼即被盜取��,不法分子進而完成盜刷�。
面對以上新手法�����,部分銀行已采用“虛擬手機號”��、“非預留電話”等技術升級信息保護。目前����,浦發(fā)銀行信用卡為客戶傳輸信息時,不再顯示客戶真實的手機號碼���,以動態(tài)虛擬號代替;民生銀行則推出了“非預留電話進線”�、“交互式動態(tài)語音驗證”功能�����,設置了周期性多次致電提醒���、賬戶爭議及處理提醒等多項風險業(yè)務提示���,以更加有效地防范風險��。 | 
