你是否想象过这样的场景:有人拿到你印有“闪付”标志的银行卡,只要刷卡金额在免密免签范围内,就可以用POS机交易,无需你输入密码和签名。甚至是,银行卡还在你手中,但是,被带有NFC功能的POS机接近,同样能被刷卡,同样不需要持卡人的密码和签名。
别认为这样的“隔空盗刷”不存在!经过记者实测,这在现实中的确会发生。因此,在拥挤的地铁上或者在路边被人撞了一下,一定要警惕,有可能你的银行卡已“遭遇不测”。
原因何在?都是默认开通的“小额免密支付”功能以及管理混乱的POS机惹的祸!
“隔空盗刷”的的确确存在
据媒体报道,2018年11月以来,广州警方相继接到群众报案,称银行卡资金被盗。据受害者反映,银行卡一直在自己手中,但卡上的钱却不翼而飞。后经调查,嫌疑人是利用芯片银行卡小额免密支付的功能,在人流量较大的区域,用伪装过的POS机贴近失主钱包内的银行卡进行感应,实施盗刷。
真有那么神吗?《IT时报》记者进行了实验。
记者把一张带有闪付功能的银行卡放在卡套内,在一台带有NFC功能的POS机上设置了刷卡金额为10元,随后把POS机靠近银行卡,几秒钟之后,POS机就显示出交易成功的提示。如果不是亲眼看到,恐怕很难相信。不一会儿,记者的手机又收到了银行卡交易的短信提醒。
记者又把这张银行卡放在钱包里,再采取同样的方法进行“盗刷”,这次没有成功,原因应该有二,一是钱包比较厚,再加上有现金和各种证件,POS机无法读出银行卡信息;二是钱包里有多张具有闪付功能的银行卡,也造成了交易失败。
从实验结果看,“隔空盗刷”需要具备一定的条件才能实现,比如银行卡是闪付卡且开通小额免密支付、POS机和银行卡距离不能太远等,但不管怎样,盗刷风险的确存在。
“小额免密支付”功能基本默认开通
或许你会说“我没有开通过免密支付,盗刷和我无关”,别高兴得太早。因为“小额免密支付”是默认开通的,如果你没有关闭过,很有可能是开着的。
记者拥有一张农行借记卡,通过农行电话客服,记者了解到这张卡开通了免密支付功能,而实际上在办卡时,记者并没有收到柜员对于免密支付功能开通的提醒。最终,记者通过农行PC端官网关闭了该功能。
市民郝女士也是如此,她去某银行申请补办银行卡,在业务申请表上,她没看到任何关于免密支付授权的提醒。据该银行柜员告知,小额免密支付功能是默认开通的,如需关闭,需要在网页版网上银行操作。
建行的一位柜员告诉记者,柜员需要提醒开卡用户的只是转账功能,“这个功能是需要用户勾选同意开通或关闭,对于免密支付功能没有规定。”
记者了解到,要关闭小额免密支付功能,各家银行的操作方法并不一样,比如农行和浦发在其官网的PC端可以操作,有的银行则要到线下办理。
2018年6月1日起,银联小额免密免签支付业务的单笔限额由300元上调至1000元,也就是说如果一张默认开通小额免密支付的闪付卡,1000元以内无需密码和签名。
根据中国银联《银联卡小额免密免签业务规则》,明确规定发卡机构和收单机构在业务开通前所应当履行的向持卡人告知的义务,并积极敦促参与双免业务的各成员机构均依照业务规则的规定。各家银行也通过官网公告、短信通知、领卡合约等方式,向持卡人明确提示了信用卡“双免”业务的相关信息。
从支付的角度来说,“免密支付”提高了支付效率,但如果银行卡丢了,岂不是很容易发生盗刷?就算银行卡没丢,如果有犯罪分子利用POS机隔空刷卡,也是分分钟丢钱。
被漠视的用户选择权
有人喜欢“免密支付”的快捷方便,但也有人更注重安全。每个人的选择不一样,是否开通免密支付,选择权应该在用户手里。
2016年央视曾报道,乐视网推出“一分钱享受7天高级会员服务”之后,大量用户莫名成为“高级会员”,绑定账户出现自动扣费。也就是说,没有经过用户授权,乐视网就为用户开通了自动扣费功能。从某种意义说,这是在漠视消费者的选择权。
对于因默认开通小额免密支付而可能产生的风险,银联相关人士表示,小额免密免签服务交易具有限额控制,超过设定额度必须输入密码交易才能成功,同时主要发卡银行对于单卡单日累计免密限额也有控制;此外,中国银联及发卡银行已为小额免密免签交易配置智能风控技术,在发现风险时会立即启动有关风险防控手段,守护持卡人支付安全。而且,为减少持卡人用卡安全顾虑,银联联合各商业银行为持卡人设置了专项补偿金,提供小额双免“风险全赔付”服务,可覆盖持卡人遭遇的欺诈损失。
但是,与其事后赔付,不如事前告知,对于用户来说,一旦发生账户损失,如何自证被盗刷、赔付流程如何都是问题。
在移动支付时代,很多涉及支付的APP都有“免密支付”功能,有的App在开通免密支付时会取得用户同意。比如在首汽约车中,可以开通支付宝免密支付、微信免密支付、信用卡免密支付等功能,但这些都需要用户进行授权才能使用。
POS机办理门槛低、乱象多
默认开通小额免密支付是造成银行卡被盗刷的原因之一,纵观已发生的盗刷事件,嫌疑人使用的工具是POS机。从本质上说,POS机是收单机器,现在却成了作案工具。
2016年10月,中国人民银行发布通知,明确要求禁止网上售卖POS机。同年,中国支付清算协会下发通知,要求进一步加强对银行卡收单业务管理。虽被明文叫停,但POS机的违规销售现象仍然存在。
在POS机代理商处购买过POS机的关先生(化名)告诉记者,只需向代理商提供身份证、银行卡等,很快就能办好一台POS机,且不需要硬件成本。“成本就是日后在这台POS机上交易需要支付6.6个百分点,再加3元秒到费。”对于购买POS机的用途,关先生坦言,是为了套现以及信用卡之间的“抵账”。
获取成本低、犯罪成本低造成了POS机套现、盗刷等各类事件的频发,而当银行卡的交易进一步“快速”后,这些违规获得的POS机就有了“用武之地”。
手机POS机出现后或带来更大风险
2018年12月,中国银联联合各商业银行与国内一些手机厂商启动了手机POS产品首批试用点合作。简单来说,今后手机也能变身成POS机,商家只需在手机上开通在线收单服务,无需再贴任何二维码,也不用购买POS机、扫码枪等设备,银联手机POS不仅支持二维码支付,还支持银联IC卡闪付、银联手机闪付。换言之,消费者不仅可以使用二维码支付,还可以在商家的手机上直接刷自己的银行IC卡或手机。
对于银联和商家来说,手机POS产品可以帮助商户以更低成本进行收单,同时借助智能手机的高普及率,让收单业务普及开来。但是,问题来了,当手机成为POS机之后,“隔空盗刷”是否会更加无成本和隐蔽?现在,刷闪付卡还需要POS机,日后,只要拿手机和别人的手机或闪付卡一碰,就能交易成功?