你是否想象過這樣的場景:有人拿到你印有“閃付”標志的銀行卡,只要刷卡金額在免密免簽范圍內(nèi),就可以用POS機交易,無需你輸入密碼和簽名。甚至是,銀行卡還在你手中,但是,被帶有NFC功能的POS機接近,同樣能被刷卡,同樣不需要持卡人的密碼和簽名。
別認為這樣的“隔空盜刷”不存在!經(jīng)過記者實測,這在現(xiàn)實中的確會發(fā)生。因此,在擁擠的地鐵上或者在路邊被人撞了一下,一定要警惕,有可能你的銀行卡已“遭遇不測”。
原因何在?都是默認開通的“小額免密支付”功能以及管理混亂的POS機惹的禍!
“隔空盜刷”的的確確存在
據(jù)媒體報道,2018年11月以來,廣州警方相繼接到群眾報案,稱銀行卡資金被盜。據(jù)受害者反映,銀行卡一直在自己手中,但卡上的錢卻不翼而飛。后經(jīng)調(diào)查,嫌疑人是利用芯片銀行卡小額免密支付的功能,在人流量較大的區(qū)域,用偽裝過的POS機貼近失主錢包內(nèi)的銀行卡進行感應,實施盜刷。
真有那么神嗎?《IT時報》記者進行了實驗。
記者把一張帶有閃付功能的銀行卡放在卡套內(nèi),在一臺帶有NFC功能的POS機上設置了刷卡金額為10元,隨后把POS機靠近銀行卡,幾秒鐘之后,POS機就顯示出交易成功的提示。如果不是親眼看到,恐怕很難相信。不一會兒,記者的手機又收到了銀行卡交易的短信提醒。
記者又把這張銀行卡放在錢包里,再采取同樣的方法進行“盜刷”,這次沒有成功,原因應該有二,一是錢包比較厚,再加上有現(xiàn)金和各種證件,POS機無法讀出銀行卡信息;二是錢包里有多張具有閃付功能的銀行卡,也造成了交易失敗。
從實驗結(jié)果看,“隔空盜刷”需要具備一定的條件才能實現(xiàn),比如銀行卡是閃付卡且開通小額免密支付、POS機和銀行卡距離不能太遠等,但不管怎樣,盜刷風險的確存在。
“小額免密支付”功能基本默認開通
或許你會說“我沒有開通過免密支付,盜刷和我無關”,別高興得太早。因為“小額免密支付”是默認開通的,如果你沒有關閉過,很有可能是開著的。
記者擁有一張農(nóng)行借記卡,通過農(nóng)行電話客服,記者了解到這張卡開通了免密支付功能,而實際上在辦卡時,記者并沒有收到柜員對于免密支付功能開通的提醒。最終,記者通過農(nóng)行PC端官網(wǎng)關閉了該功能。
市民郝女士也是如此,她去某銀行申請補辦銀行卡,在業(yè)務申請表上,她沒看到任何關于免密支付授權的提醒。據(jù)該銀行柜員告知,小額免密支付功能是默認開通的,如需關閉,需要在網(wǎng)頁版網(wǎng)上銀行操作。
建行的一位柜員告訴記者,柜員需要提醒開卡用戶的只是轉(zhuǎn)賬功能,“這個功能是需要用戶勾選同意開通或關閉,對于免密支付功能沒有規(guī)定?!?/p>
記者了解到,要關閉小額免密支付功能,各家銀行的操作方法并不一樣,比如農(nóng)行和浦發(fā)在其官網(wǎng)的PC端可以操作,有的銀行則要到線下辦理。
2018年6月1日起,銀聯(lián)小額免密免簽支付業(yè)務的單筆限額由300元上調(diào)至1000元,也就是說如果一張默認開通小額免密支付的閃付卡,1000元以內(nèi)無需密碼和簽名。
根據(jù)中國銀聯(lián)《銀聯(lián)卡小額免密免簽業(yè)務規(guī)則》,明確規(guī)定發(fā)卡機構(gòu)和收單機構(gòu)在業(yè)務開通前所應當履行的向持卡人告知的義務,并積極敦促參與雙免業(yè)務的各成員機構(gòu)均依照業(yè)務規(guī)則的規(guī)定。各家銀行也通過官網(wǎng)公告、短信通知、領卡合約等方式,向持卡人明確提示了信用卡“雙免”業(yè)務的相關信息。
從支付的角度來說,“免密支付”提高了支付效率,但如果銀行卡丟了,豈不是很容易發(fā)生盜刷?就算銀行卡沒丟,如果有犯罪分子利用POS機隔空刷卡,也是分分鐘丟錢。
被漠視的用戶選擇權
有人喜歡“免密支付”的快捷方便,但也有人更注重安全。每個人的選擇不一樣,是否開通免密支付,選擇權應該在用戶手里。
2016年央視曾報道,樂視網(wǎng)推出“一分錢享受7天高級會員服務”之后,大量用戶莫名成為“高級會員”,綁定賬戶出現(xiàn)自動扣費。也就是說,沒有經(jīng)過用戶授權,樂視網(wǎng)就為用戶開通了自動扣費功能。從某種意義說,這是在漠視消費者的選擇權。
對于因默認開通小額免密支付而可能產(chǎn)生的風險,銀聯(lián)相關人士表示,小額免密免簽服務交易具有限額控制,超過設定額度必須輸入密碼交易才能成功,同時主要發(fā)卡銀行對于單卡單日累計免密限額也有控制;此外,中國銀聯(lián)及發(fā)卡銀行已為小額免密免簽交易配置智能風控技術,在發(fā)現(xiàn)風險時會立即啟動有關風險防控手段,守護持卡人支付安全。而且,為減少持卡人用卡安全顧慮,銀聯(lián)聯(lián)合各商業(yè)銀行為持卡人設置了專項補償金,提供小額雙免“風險全賠付”服務,可覆蓋持卡人遭遇的欺詐損失。
但是,與其事后賠付,不如事前告知,對于用戶來說,一旦發(fā)生賬戶損失,如何自證被盜刷、賠付流程如何都是問題。
在移動支付時代,很多涉及支付的APP都有“免密支付”功能,有的App在開通免密支付時會取得用戶同意。比如在首汽約車中,可以開通支付寶免密支付、微信免密支付、信用卡免密支付等功能,但這些都需要用戶進行授權才能使用。
POS機辦理門檻低、亂象多
默認開通小額免密支付是造成銀行卡被盜刷的原因之一,縱觀已發(fā)生的盜刷事件,嫌疑人使用的工具是POS機。從本質(zhì)上說,POS機是收單機器,現(xiàn)在卻成了作案工具。
2016年10月,中國人民銀行發(fā)布通知,明確要求禁止網(wǎng)上售賣POS機。同年,中國支付清算協(xié)會下發(fā)通知,要求進一步加強對銀行卡收單業(yè)務管理。雖被明文叫停,但POS機的違規(guī)銷售現(xiàn)象仍然存在。
在POS機代理商處購買過POS機的關先生(化名)告訴記者,只需向代理商提供身份證、銀行卡等,很快就能辦好一臺POS機,且不需要硬件成本?!俺杀揪褪侨蘸笤谶@臺POS機上交易需要支付6.6個百分點,再加3元秒到費?!睂τ谫徺IPOS機的用途,關先生坦言,是為了套現(xiàn)以及信用卡之間的“抵賬”。
獲取成本低、犯罪成本低造成了POS機套現(xiàn)、盜刷等各類事件的頻發(fā),而當銀行卡的交易進一步“快速”后,這些違規(guī)獲得的POS機就有了“用武之地”。
手機POS機出現(xiàn)后或帶來更大風險
2018年12月,中國銀聯(lián)聯(lián)合各商業(yè)銀行與國內(nèi)一些手機廠商啟動了手機POS產(chǎn)品首批試用點合作。簡單來說,今后手機也能變身成POS機,商家只需在手機上開通在線收單服務,無需再貼任何二維碼,也不用購買POS機、掃碼槍等設備,銀聯(lián)手機POS不僅支持二維碼支付,還支持銀聯(lián)IC卡閃付、銀聯(lián)手機閃付。換言之,消費者不僅可以使用二維碼支付,還可以在商家的手機上直接刷自己的銀行IC卡或手機。
對于銀聯(lián)和商家來說,手機POS產(chǎn)品可以幫助商戶以更低成本進行收單,同時借助智能手機的高普及率,讓收單業(yè)務普及開來。但是,問題來了,當手機成為POS機之后,“隔空盜刷”是否會更加無成本和隱蔽?現(xiàn)在,刷閃付卡還需要POS機,日后,只要拿手機和別人的手機或閃付卡一碰,就能交易成功?