【案例导读】
存取款回单与ATM机异常;假卡是如何造出来的?;真卡犯罪魔高一尺;谁该承担风险;如何阻止银行卡犯罪
【案例正文】
持卡人、发卡银行、刷卡场所三者之间该如何分担责任?技术升级、法规完善、信用制度建设—杜绝银行卡犯罪有没有终极方案?
在线银行和互联网问世之前,如果看见有人在垃圾桶中翻找东西,在大多数情况下,你可以把他们当作流浪汉,认为他们不会对你构成任何威胁。不过,如果你今天看到有人在满是废弃文件的垃圾桶里乱翻,那么,他可能会是一个高智商的犯罪分子,或者他受雇于这样的人—他可能是在那里寻找与银行卡账号有关的东西,以供他或同伙作案使用。
存取款回单与ATM机异常
今年8月13日,利用伪卡盗取储户资金的惯犯徐正国被捕,在此之前,人们绝对想不到自己通过ATM机进行存取款交易之后,随手丢弃在一旁垃圾桶中的存取款回单,正被人以400元每张的高价收购,一些无业游民因此几乎不劳而获地成为了高收入者。不过,几百元一张的收购成本,对于这些存取款回单的买主来说,实在是微不足道的,借由这些回单上的持卡人帐户信息及通过其他渠道获取的密码信息等,其获取的非法财物远远超出那些捡拾回单者的想象。这是因为ATM犯罪的一个必要条件就是盗窃者必须获得持卡人的用户密码和账号,然后再通过伪造假卡的手法从ATM机上或通过网络将钱取走或消费掉。
ATM犯罪有两个步骤缺少不了,一是用户密码和账号的取得;另外一个是伪造假卡。通过在ATM机周围安装针孔探头等微型摄像装置,犯罪分子可以“全程实况转播”银行卡用户在输入密码时的手形,从而“破译”出密码。而银行卡帐户则不容易被摄像装置偷窥到。但在ATM机打印出的存取款回单中,账号信息却赫然纸上。很多用户交易完之后,往往将存取款回单往ATM机旁的垃圾桶里随手一扔,殊不知很可能正有人静候一旁。
了解这些犯罪手段,有利于持卡人增强银行卡安全保护的意识。上述案例表明,在进行ATM操作时,持卡人的警惕心理是必不可少的,同时,在处理存取款回单等看似无关紧要的文件时,要么选择不打印,打印了最好是自己带走并妥善处理。
如果说在ATM机上安装微型摄像机的做法多少有些令持卡人防不胜防和无可奈何的话,以下的一些做法却是犯罪分子有意利用了用户不够警惕和细心的特点。例如故意对ATM机进行“技术改造”,以骗取持卡人的密码甚至连银行卡都吞掉。
对于消费者来说,在网络上进行任何交易,除了注意屏幕的画面内容之外,更要小心检查浏览器所显示的网址是否有异状。
遭遇窥视、改造这类犯罪手段的不仅仅是ATM和网上银行,银行卡的另一受理终端—POS也不能幸免于难。除了勾结商场收银人员进行假卡消费,或是利用假POS骗取持卡人账号和密码信息等手段之外,一些高智商的犯罪分子也能够通过截获商场POS与银行主机之间的通信线路来获取客户的账号和密码信息。
假卡是如何造出来的?
取得账号和密码只是实施ATM犯罪的两个必要条件之一。除了在在线银行或网上商店进行划款、付费之外,一般在ATM机取现或在商场消费仍需要有划卡这一步骤,因此,假卡的制作是上述ATM犯罪或POS犯罪的另一必要条件。那么,与被盗用卡的卡号和密码相同的假卡是如何制造出来的?这些假卡又是如何在银行的卡业务系统—包括自动柜员机、商场POS机、银行柜台等受理终端蒙混过关的呢?这个问题依然笼罩着神秘面纱:银行担心谈论细节会引起仿效,已落网的犯罪分子没有披漏这些细节的自由,而那些仍躲在暗处与警方周旋的不法分子更不可能自爆犯罪技巧。不过有一份资料显示,在美国只要有钱就可以从市场上购买到犯罪所需的制作假身份证、假信用卡的机器设备、条形码读写机和系统程序。这份资料同时谈到,这些设备目前在亚洲国家也出现了。
在实际的操作中,伪造身份证来冻结合法持卡人的帐户,然后重新办理一个新帐户也是取代假卡的伎俩之一。
不过,信用卡和电子商务的普及让假卡的制作不那么必要了。只要知道了信用卡账号,不需要出示信用卡和密码,甚至不需要签名,就能在网上商店下单和划帐了。尽管VISA和万事达都在推行信用卡的网上安全认证标准,但毕竟还没有100%地普及。而且,获取账号本身也变得非常容易了。曾有国外黑客破解了通行于世界的信用卡号编排逻辑,而且把信用卡号产生器(Credit Wizard 1.1)程序公布在网站上,供人自由下载。这使得一些不法分子,得以透过该信用卡号产生器程序获取卡号,再以冒用的卡号上网购物。有一个曹姓被害人所持有的卡号就连续被盗刷,经其向发卡银行申诉,发现该笔帐只有卡号相同,卡的有效日期及持卡人基本资料、姓名、地址等完全不同。
真卡犯罪魔高一尺
韩国人金助炫及其背后的庞大信用卡诈骗团伙让中国人看到了信用卡真卡犯罪的隐蔽性和危险性。假卡犯罪案件发生的可能性也许会因银行硬件设备的逐渐改善和用户安全防范意识的增强而降低。而最令人防不胜防,也是目前国际社会最常见的信用卡犯罪则是利用真正信用卡的诈骗活动——犯罪团伙用各种手段窃取人们的身份及财务资料,并暗自申领信用卡、驾照等证件进行恶意透支等诈骗活动。数据显示,在身份盗用猖獗的美国,每年的受害者高达75万人;在因身份盗用而造成的各种消费诈骗案件中,信用卡诈骗案占到了案件总数的42%。应该说,金助炫的落网有些偶然。
如果不是其在大连一涉外酒店过于频繁地用国际信用卡消费、提取现金的行为被中国银行大连分行监测到并引起怀疑,最后向警方报案并迅速将其抓获的话,金及其同伙很有可能继续其已在中国境内进行了数月之久的逍遥之旅,因为他所持有的上百张信用卡全都具备正规银行“出身”,是确确实实有着循环信用、可在全球透支消费的国际信用卡。
谁该承担风险
在大量银行卡犯罪的案例中,犯罪分子不仅侵占了持卡人的大量资金,而且损害了持卡人对于银行卡安全性的信任感,同时也损害了银行的形象。即使有的犯罪分子被抓获,其造成的经济损失也不能全部追回。但关键问题是,资金被大量侵占的损失该由谁来承担呢?也就是说,有关银行卡使用的种种风险,该由谁来承担?
POS机消费一般都要求商家核对持卡人的签名,信用卡更是如此,因为这是对付假卡犯罪的最后一道防线,对于刷卡无需密码的信用卡而言,这更是唯一一道防线。但国内商家往往在这一道手续上采取马马虎虎的态度。好多起银行卡被盗用的案例都显示出刷卡人的签名与卡主的签名明显笔迹不同,甚至连名字都写错了,在POS柜台却畅通无阻。因为在国内,商家只享受银行卡消费带来的营业额增长的好处,却并不承担假卡消费的任何风险。风险都由持卡人和银行承担了。那么,持卡人和银行是如何承担风险的?关于假卡犯罪,有些业内专家认为,对于密码和账号的遗失,客户负有不可推卸的责任,而假卡的畅通无阻则至少说明了银行尚有需要改进的地方。
但这种说法有其片面之处:持卡人的密码并不都是因为持卡人对密码保管不当而泄漏的。例如前面介绍的在银行卡自助终端安装微型摄像机,在自助银行门口安装伪造的刷卡器,对ATM机进行改造等,这些犯罪手段造成的密码泄漏并非持卡人的主动过失,说客户负有不可推卸的责任,显然言之过甚。相反,对这些犯罪手段的防范和破除是银行不可推卸的责任,银行应该通过对ATM等机器的维护、检测来保证持卡人的使用安全。而假卡的通行,更是银行必须通过技术进步来解决的问题。
保障卡交易安全的另一道最重要的防线在于个人信用体系的健全,在发达国家,绝大部分消费行为都是通过银行卡来完成,现金交易可谓少之又少,但这种对于卡交易的高度依赖,是建立在发达国家高度成熟和完善的信用体系的基础之上的。在这些国家,几乎所有的生活消费都与信用挂钩,信用不好,生活中可能障碍重重。如果恶意消费或者盗用他人信用记录,不但是犯法行为,而且一旦上了个人信用体系黑名单,今后可谓麻烦不断。正是由于这种行为可能引起的一系列严重后果,才警戒了那些有非分之想的人,从而也保证了持卡人的利益。
此外,国外对于持卡人与银行间发生的消费交易争议,也采取了相信消费者的态度,如消费者对消费账单提出异议,指出自己未发生这笔消费,银行一般都采取信任消费者的态度,会把这笔争议金额返还。但这一点,也是基于完善的信用体系基础之上的,因为在个人信用征信体制完善的社会,个人如果对银行进行恶意欺诈,其信用记录上会染上很大污点,可谓得不偿失。
但在国内,个人信用体系的建立虽然在上海等一些大城市已经启动,但目前实质性的进展并不大。谁能保证某笔交易或划款不是持卡人自己所为然后谎称被盗用呢?有鉴于这一点,对于消费交易争议,银行只能各自制定各自的标准。一位业内专家表示,在成熟的银行卡市场,持卡人应该是零风险的,但显然国内离这个理想状态还很远。
如何阻止银行卡犯罪
显然技术升级能够在很大程度上避免银行卡的风险。例如在类似于韩国人金助炫的真卡犯罪案件中,如果国内收单行能够按照国际组织的规范来进行收单的操作,也就是说,按照国际组织所要求的效率来传接信用卡支付单据,那么,这次金融欺诈的所有损失都应该是韩国发卡行的,收单行并没有风险。因为这些卡的产生在于发卡行的征信不严。而信息传递效率的提高,正在于银行系统联网整合的程度。
在防止伪卡犯罪方面,磁条卡升级到IC卡的声音目前似乎占据了上风。由万事达卡(MasterCard)和维萨(Visa)倡导的智能卡标准在全球引起了不小的震动。该规定表示,在由万事达卡和维萨制定的智能卡标准中,如果欧洲在2005年,亚太区2006年,全球2008年前,ATM仍没有应用EMVCo认证的智能卡技术,该交易相关的银行或金融机构将自行承担遭受欺诈的责任。
国内银行业对此发出了不同的声音。业内人士认为非营利的国际银行组织实际代表了其大会员——外资银行巨头们的利益诉求,高举“安全牌”的背后隐藏的是以标准先行来抢占中国银行卡市场的商业野心,智能卡并不能完全防范信用卡犯罪。虽然IC卡的复制难度和复制成本比磁条卡要高出很多,但那点成本相对于伪卡盗用的巨大诱惑来说,又算得了什么呢?不是还有人用400元一张的高价来收购区区一张存取款回单么?
金融电子化水平的高低,不但决定着银行工作效率的高低,也决定着防范风险能力的大小。前面所述的信用卡诈骗犯罪就是利用银行电子化水平较低、银行与特约商户交单的时间差等,逃避发卡中心授权,短时间在限额内多头多次消费而得逞的。因此,发卡行应当加大投入人力财力,加速提高电子化设备的应用水平,开发出具有较强抵御风险能力的软件。
目前我国各商业银行对信用卡申办人、担保人的资信调查一般是通过电话、信函等方式进行,每家银行对申领人所做的一套调查都只适用于本行,不能与其他银行共享。换言之,银行只能依靠自身的调查获得第一手资料,这样势必会导致各商业银行因对同一客户进行资信调查而造成重复劳动及信息资源浪费,且各银行单独的资信调查也具有局限性和不完全性,很容易让不法之徒有机可乘。为此,各发卡银行之间应共同设立专门的信用信息交换机构,把自己获得的持卡人信用资料与其他发卡银行共享,这样,不但避免重复劳动、提高工作效率,而且可以防止相同风险事件的重复发生,对保护银行业共同的利益是非常有效的。
这种个人信息共享机构最终应该发展为独立的个人资信机构。要与公安机关户政管理部门建立合作关系,通过计算机来验证办卡人身份证件的有效性,检查办卡人是否有过刑事犯罪记录等情况,这样就能有效阻止使用伪、冒身份证件或有不良信用记录的人办理信用卡。还要与税务、保险部门联网,了解申请人的税收、保险费用的缴纳情况,准确掌握持卡人的还款能力。
另外,依据发达国家信用卡业务发展的经验,加强有关金融交易的立法,利用法律明确持卡人及银行的权利与义务,明确利用信用卡犯罪、违约的概念及范畴,明确违约的责任与处罚等,是保护银行利益、防范个人信用风险的根本保证。以信用卡业务较为发达的美国为例,关于消费信贷和信用卡相关法律有:《高利贷法》、《贷款实情法》、《公正信用记帐法》、《信贷机会均等法》、《公正资信报告法令》、《公正索回债款行为法》等,这些法规对信用卡业务的规范发展具有举足轻重的作用。而我国在信用卡立法方面还存在很大的空白区域。
在谈及卡的安全性上,大多数银行界人士表示,安全性涉及的方面较多,既有上述卡的原因也有管理、法规等人为的原因,就技术层面来说,芯片卡也并非绝对安全。新的技术一出现马上就会出现针对这项技术的犯罪,犯罪并不是绝对靠技术就能阻止的,而且一项新的技术的运用成本比较高,技术更新比较快,很难对整个系统进行全面、彻底的改善。