在互联网金融时代,以第三方支付通道为代表的移动支付成为新兴支付手段,但在方便快捷的同时,也成为孕育盗刷的温床。有统计显示,超过六成的盗刷都通过第三方支付。虽然第三方支付机构只是刷卡消费的通道,但管理能力不足、内控机制不严、对商户管控不严、事后投诉处理不到位等问题令盗刷在第三方支付行业愈演愈烈。
第三方支付成盗刷重灾区
此前,北京商报记者发表题为《易联支付屡遭投诉被指存漏洞》的文章,对易联支付屡遭投诉一事进行了报道。
读者张先生(化名)投诉第三方支付机构——易联支付在他不知情的情况下代扣银行卡资金。和张先生有相同遭遇的受害人在易联支付盗刷受害者QQ群中交流被盗刷经历,分享盗刷款追回经验。目前,该QQ群人数增至243人。
针对投诉人对易联支付平台存在漏洞的质疑,易联支付相关负责人此前回应,易联支付只是支付通道,银行卡遭盗刷可能因为持卡人信息遭泄露,和平台系统并无关系。不过,对于自身系统内部是否存在漏洞等问题,北京商报记者再次询问,易联支付表示会尽快回复。截至发稿前,还未收到新的回复。
其实通过第三方支付盗刷银行卡的事件屡见不鲜。北京商报记者注意到,除了易联支付,不久前媒体报道了翼支付半年内7次被曝光盗刷的问题。在聚投诉平台上,汇付天下、支付宝、快钱支付、财付通等第三方支付平台均多次遭到投诉。
另据聚投诉平台数据显示,在105个银行卡盗刷投诉中,通过第三方支付机构实施盗刷的达68宗,占总投诉量的65%(数据为2015年5月26日-8月5日接到投诉的盗刷渠道统计)。第三方支付机构已然成为盗刷者非常重要的“作案通道”。
今年8月,央行的一纸声明让第三方支付机构“易士”大量违规挪用客户备付金、等重大违规行为暴露在聚光灯下,也让易士成为第一家被央行注销《支付业务许可证》的第三方支付公司。同时暴露了第三方支付机构存在的诸多问题。
快捷支付迅速不安全
通过第三方支付机构,究竟是如何完成盗刷?
易观国际分析师马韬认为,被盗刷的问题,首先是因为用户信息遭泄露,中了病毒软件或木马,这是网络安全技术上的问题。 其实银行也会遇到盗刷的问题,但银行管控相对比较严格。在快捷支付的开通上比较严格,需要多重检验,有些还需要当面开通。可能需要卡号、密码、验证码、身份证等信息。第三方支付行业现在竞争激烈,一些小型的支付公司为了抢占市场,扩大交易规模,因此想在快捷支付开通的便捷度、支付成功率和支付体验上有所提升。
“在支付安全和用户体验的平衡度上,可能会更加倾向于支付体验的提升。在开通快捷支付的前期验证环节,对风险把控不严格,一些小型的第三方支付可能只需要银行卡号、验证码两个信息就可以开通快捷支付。犯罪分子只需要有持卡人卡号和手机号,用木马收到手机验证码就可以盗刷。”马韬补充道。
不过,也并不是整个第三方支付行业都存在这种问题,像支付宝、财付通在赔付机制等方面都做的比较好,安全级别不一定比银行差。技术、赔付、市场份额上不占优势的小型公司可能会中招。
如翼支付的盗刷也是因此,无故被开通翼支付,导致银行卡通过翼支付账户被盗刷;而前述张先生通过易联支付被盗刷,主要是诈骗者在第三方网站购买游戏点卡等产品,然后再想办法骗取持卡人的手机验证码。
而“补卡截码”也是常见的方式,犯罪分子先利用伪造的身份证,到通讯运营商网点补办与银行卡绑定的手机卡,把机主的手机“废”了,然后重设网银交易密码。继而利用所截获的短信等动态验证码信息将用户银行卡里的资金转走,这种新型犯罪手法让人防不胜防,而盗刷的方式主要是通过第三方支付平台或网银转账。
伪卡盗刷现象严重
其实因为第三方支付系统漏洞盗刷的先例早已有之,但是在监管层的多次治理下,盗刷案件依然没有得到有效制止。
中国银联相关人士告诉北京商报记者,对于涉及到相应的伪卡盗刷现象,银联业务专家建议,相关收单机构应首先积极落实央行与银行卡组织关于商户真实性的管理要求,确保入网商户信息真实、准确、完整。其次,应加强对商户的业务培训与风险管控措施,提高商户识别防范伪卡交易的能力。
北京大学经济学院副教授、经济学博士吕随启认为,第三方支付在支付技术上相对成熟,但在安全技术上存在漏洞。央行作为监管机构,应该对第三方支付行业设置准入门槛,对进场者进行严格的资格审查,慎发入场券。
一位第三方支付机构相关人士直言,部分第三方支付机构在开展业务过程中,在直接与商业银行建立连接的同时存在变造交易类型、套用MCC等违规情况,导致商业银行无法准确识别交易场景和客户真实交易行为,难以有效实施风险管控,容易掩盖伪卡欺诈、网络欺诈、洗钱套现等风险隐患。多头连接还导致持卡人账户信息安全受到威胁,一些第三方支付公司在存在私自留存持卡人姓名、身份证号、银行卡号、联系方式等敏感信息的情况。
控制第三方支付市场规模
遭盗刷已然糟心,奈何维权过程更是困难重重。不少受害者表示,维权过程繁琐,追索时间长,劳心费力。近日发布的《中国居民金融能力报告》显示,去年超过5%的居民有过信用卡被盗刷的经历。其中,超七成的人在信用卡被盗刷后没有获得任何赔付,需自己承担损失。
事实上,涉及到第三方支付平台的盗刷投诉,可以直接找第三方支付公司索赔。央行要求支付机构应当建立健全风险准备金先行全额赔付。从源头上加强对第三方支付的管控。
马韬认为,第三方支付市场的激烈竞争会导致一些资质较弱的小型支付公司为争抢市场份额,过分注重支付体验的提升,从而忽视了支付安全方面的问题。吕随启认为,央行也应对第三方支付市场的规模实施管控,避免第三方支付的恶性竞争。
吕随启提醒消费者要增强安全意识,保护好个人信息。一位遭盗刷受害者用亲身经验告诉北京商报记者,在各社交平台、消费网站,尽量不要透露自己的银行卡号、身份证号等私密信息;上网时,不要轻易点击不明链接;刷卡消费及取款时,注意周围是否藏有摄像头;谨慎使用身份证复印件,如需使用,最好打上水印,附注“仅供××用途使用”的字样。