一直被視為“黑色產(chǎn)業(yè)鏈”的銀行卡盜刷,如今已近乎行走在陽光下。
“盜刷的人在各種渠道公開叫賣盜取的銀行卡信息,然后拿到銀行卡的人通過游戲點卡、手機充值卡、景點門票、機票等各種渠道把卡里的錢洗走,”來自上海、被盜刷了近萬元的張先生告訴記者,“被盜刷的受害者,要小心謹(jǐn)慎地在銀行、支付平臺、商家平臺之間溝通、交涉,卻始終擔(dān)心自己的錢要不回來?!?/p>
2016年7月,張先生工商銀行卡被盜刷。經(jīng)工行出具材料證明,該卡通過易寶支付的支付渠道,先后在去哪兒消費接近4000元、在攜程消費約5000元,均為景區(qū)門票,此外尚購買了300元話費充值卡。其中,僅2000元交易被攔截,其余交易均已完成消費,且難以追回。根據(jù)第三方投訴平臺21CN聚投訴統(tǒng)計,2015年3月至2016年3月,聚投訴平臺共接到1.7萬件投訴,其中涉及盜刷的投訴共1046件,占總投訴比值超過6%。聚投訴平臺主編潘俊珺告訴記者:“每天,都會新增很多盜刷投訴,增速也越來越快?!?/p>
龐大的盜刷產(chǎn)業(yè)鏈
盜刷銀行卡,滋潤著龐大的產(chǎn)業(yè)鏈。
在QQ群中檢索“CVV”,可以得到3651個QQ群。其中,千人規(guī)模以上的群超過60個,500人以上的QQ群超過200個,且均保持極高的活躍度。此外,100人以上的CVV群則超過800個。幾乎每個群的簡介中都備注著“CVV、洗料通道、銀行四大件、攔截”等盜刷產(chǎn)業(yè)中的常用語。
CVV是指信用卡安全碼。一個包含卡號、日期、CVV完整信息的信用卡在這個行業(yè)稱為“料”,“料”的種類包括各國信用卡、各行銀行卡、支付寶、微信錢包,且大多具備銀行卡、身份證、手機號、密碼等關(guān)鍵信息。
“料”的來源多種多樣,360網(wǎng)絡(luò)攻防實驗室負(fù)責(zé)人林偉告訴記者:“國內(nèi)很多線上平臺或者支付機構(gòu)都存儲用戶銀行卡的基本信息,但安全機制卻普遍存在漏洞,一旦發(fā)生信息泄露,就會流出大量完整的用戶信息?!背酥?,電信詐騙、手機木馬也造成大量銀行卡信息的泄露,而目前很多帶有閃付功能的銀行卡,也可以在近距離接觸的情況下通過特定終端讀取用戶信息。
一些具備余額、短信攔截、密碼的“料”被不斷叫賣。而少數(shù)已經(jīng)過時或者沒有余額的“料”,被以excel的形式上傳到群文件中,記者通過此類文件中信息嘗試聯(lián)系當(dāng)事人,所標(biāo)注的銀行卡、身份證、家庭住址、職業(yè)、手機號、姓名基本完全正確,而當(dāng)事人卻不知道自己信息已經(jīng)泄露。
出售優(yōu)質(zhì)“料”,“料”主可以拿到卡內(nèi)余額的30%-50%。當(dāng)然,也有“料”主按照余額1%左右的比例收取費用。
剩余金額,則流入了各種“洗料”人的手中。傳統(tǒng)的轉(zhuǎn)賬、提現(xiàn)、POS機盜刷等形式因為監(jiān)管機構(gòu)長期打擊而成本越來越高,絕大多數(shù)“洗料”人會通過國內(nèi)多種第三方支付平臺將到手的銀行卡銷贓。
“國內(nèi)各類混亂的支付渠道缺乏有效安全監(jiān)管,或多或少都存在一些風(fēng)險控制上的漏洞,”獵豹移動安全專家李鐵軍舉例告訴記者,“以我們?nèi)ツ旮M(jìn)的一個‘洗料通道’案件為例,上海某第三方平臺的支付渠道被黑產(chǎn)團(tuán)伙利用,短短數(shù)月的時間內(nèi)受害用戶多達(dá)數(shù)千人,損失金額從幾十到數(shù)萬不等?!睆氖芎τ脩糇凡榈南M記錄來看,資金流包括購買游戲幣、彩票、話費充值、機票門票等多種 “洗料”方法,有些信用卡還被發(fā)現(xiàn)通過境外消費劃走資金。
在諸多QQ群中,隨時會有一些商戶批量收點卡、充值卡、門票、酒店、機票等產(chǎn)品,而“洗料”人則通過第三方平臺購買此類產(chǎn)品,以5-7折的價格出售給商戶,而商戶則以略低于正規(guī)渠道的價格出售給最終消費者。
雖然環(huán)節(jié)看似繁瑣,但事實上從“洗料”人購買產(chǎn)品到該產(chǎn)品到達(dá)最終消費者手中幾乎都在極短的時間內(nèi)實現(xiàn),而從各QQ群中公開信息可見,行業(yè)默認(rèn)所有環(huán)節(jié)完成分贓的時間基本在25分鐘到2個小時之內(nèi)。
艱難賠付
“這種盜刷渠道,金額小、銷贓快、難追回。”聚投訴平臺主編潘俊珺告訴記者,在投訴平臺上,單筆最大的消費也就是購買一臺電視。但大多被盜刷用戶的賬戶都是短時間內(nèi)在銀行網(wǎng)關(guān)、快捷支付、第三方支付平臺上、在多個電商平臺上產(chǎn)生多次交易。
在湖北金融行業(yè)工作的賀女士的工商銀行卡在2016年3月被盜刷4.5萬元,消費記錄顯示,該賬號通過易寶支付、快錢支付、拉卡拉、京東網(wǎng)銀在線、百度錢包等十三個第三方支付平臺產(chǎn)生了78筆消費,“其中最大的消費來自京東平臺,以每分鐘3筆的速度,在京東連續(xù)刷了48筆490元的游戲幣”, 賀女士告訴記者:“找每一個渠道投訴,他們一開始都說這是因為你自己的原因造成的盜刷,平臺不賠付?!逼渲校讓氈Ц锻赓r付50%,但要求賀女士承諾“不向媒體曝光、不投訴”等條件,遭到賀女士拒絕。
在之后公開投訴的過程中,賀女士希望京東提供交易商家信息,但被京東以“保護(hù)商家隱私”為由拒絕,并要求賀女士報警立案調(diào)查?!安贿^,5萬的金額,報警連報案材料都拿不到,更不用說到經(jīng)偵、跨省調(diào)查了”,賀女士告訴記者。目前,賀女士盜刷款基本已經(jīng)追回,尚有一筆工商銀行答應(yīng)賠付的9000元尚未到賬?!暗胰匀徊恢牢业目ㄊ窃诰唧w哪些商家刷掉的?!?/p>
此類案例不勝枚舉,前文所述張先生告訴記者:“目前,國內(nèi)有非常多的關(guān)于銀行卡被盜維權(quán)的QQ群,多則上千人,少則幾十人?!?/p>
不過,絕大多數(shù)人維權(quán)不利,并未能追回盜刷款。在聚投訴平臺上,2015-2016年度的1046件投訴中,僅332件得到解決,投訴解決率30%。
事實上,根據(jù)中國人民銀行制定的《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十九條規(guī)定:支付機構(gòu)應(yīng)當(dāng)建立健全風(fēng)險準(zhǔn)備金制度和交易賠付制度,并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時先行全額賠付,保障客戶合法權(quán)益。
根據(jù)螞蟻金服提供信息,螞蟻金服會通過賬戶、身份、交易、行為、關(guān)系、設(shè)備、位置、偏好8個維度進(jìn)行風(fēng)險掃描,識別并攔截大量盜刷行為。“目前,螞蟻金服的資損率為十萬分之一,Paypal的資損率約千分之二,是我們的200倍?!?/p>
不過,不同機構(gòu)的風(fēng)控機制不同。記者在京東、攜程上測試,同一張信用卡,在上海、美國兩個IP地址的不同終端登錄,產(chǎn)生消費,卻沒有出現(xiàn)任何需要額外驗證的環(huán)節(jié)。
目前,國內(nèi)第三方支付牌照接近270張。2015年下半年至2016年初,包括暢購支付在內(nèi)的三家支付機構(gòu)因為挪用客戶儲備金被央行注銷支付牌照。7月25日,央行宣布對存在未落實商戶實名制、變造銀行卡交易信息、外包服務(wù)不規(guī)范的通聯(lián)支付和銀聯(lián)商務(wù)兩家第三方支付公司處以1110萬元和2653.7萬元的罰款。
不過,剛剛開始的整頓并未能立竿見影。根據(jù)聚投訴平臺統(tǒng)計,2016年3月-7月,新增盜刷投訴915件,5個月時間的增長量,接近2015-2016年全年的投訴量。(21世紀(jì)經(jīng)濟(jì)報道)