警惕銀行卡欺詐新花樣

　　經濟日報·中國經濟網記者 郭子源

　　▲ 商戶在安裝POS機時要選擇正規渠道，不可輕信銀行工作人員以外的推銷人員，持卡人還可給自己的信用卡、借記卡設定刷卡上限，以增強賬戶安全性

　　▲ 部分不法分子以贈送小禮品為誘餌，誘使持卡人用手機掃描二維碼，進而將木馬病毒植入持卡人手機，直接截留銀行發送給持卡人的短信驗證碼

　　銀行卡使用安全正面臨新挑戰。中國銀行業協會日前發布的《中國銀行卡產業發展藍皮書（2017）》顯示，2016年我國銀行卡欺詐率為2.57基點，較上年上升0.68基點，欺詐手段突出表現為線下偽卡盜刷、線上賬戶盜用、電信詐騙。

　　與此同時，隨著支付手段日益多樣，特別是線上非面對面交易快速化、匿名化，欺詐手法也不斷翻新，欺詐風險管控難度加大。應如何識別上述欺詐手段？如何有效防控銀行卡欺詐風險？監管部門又如何形成合力？

　　“偽卡盜刷”鏈條

　　偽卡盜刷是信用卡欺詐的最主要類型。《藍皮書》顯示，2016年信用卡欺詐損失以偽卡交易為主，且占比較上年有所上升，其次是虛假身份、互聯網欺詐；借記卡欺詐的主要類型則是電信詐騙，其次是互聯網欺詐、偽卡盜刷。

　　銀行業協會相關負責人介紹，所謂偽卡盜刷，是指不法分子將銀行卡磁條信息側錄，包括賬號密碼等，再利用這些信息復制出一張偽卡，用偽卡在POS機、ATM機上實施盜刷。

　　“磁條信息側錄是核心。目前信用卡仍是磁條卡，更容易被側錄，借記卡中的磁條卡也容易被側錄，芯片卡就安全很多。”上述負責人說。

　　家住湖北省武漢市的胡女士發現自己的借記卡被人取走了24900元，取款地是重慶市某ATM機。然而，借記卡明明就在身邊，怎么會在異地的ATM機上被盜刷了呢？

　　經偵破，重慶警方發現這里面包含了一個完整的“偽卡盜刷犯罪鏈條”——研發POS機盜錄芯片、改造POS機、竊取銀行卡刷卡信息、國外制作偽卡、國內盜刷提現。

　　具體來看，該案犯罪嫌疑人伙同他人共同研發出了側錄銀行卡磁道信息及支付密碼的芯片，然后用虛假商家身份騙取網絡支付公司信任，申辦了10余臺POS機，把芯片嵌入POS機中完成改裝，再通過支付公司代理人，將改裝后的POS機推銷到某些消費場所。

　　持卡人用上述POS機刷卡支付時，其銀行卡賬戶信息、支付密碼等數據就會被芯片側錄、竊取。此后，犯罪嫌疑人會以維修為借口，定期從芯片中導出數據，利用這些數據在境外制作“偽卡”，再拿偽卡回境內取現、消費。

　　“值得注意的是，近年來偽卡盜刷的商戶合謀案件增多。”公安部相關負責人說，某些收單機構的商戶入網審核不嚴，不法分子利用這一漏洞，虛假申請商戶或者與商戶合謀實施欺詐并快速轉移賬款。

　　規模化信息竊用

　　如何避免自己的銀行卡信息被側錄竊用？業內人士提醒，針對借記卡，建議持卡人將磁條借記卡更換為安全性更高的“IC芯片卡”，同時定期更換支付密碼，并綁定手機短信通知，第一時間了解自己的賬戶狀態。

　　由于目前信用卡仍是磁條卡，建議持卡人刷卡時選擇正規的營業場所。商戶在安裝POS機時要選擇正規渠道，不可輕信銀行工作人員以外的推銷人員，避免被不法分子利用。

　　此外，持卡人可以給自己的信用卡、借記卡設定刷卡上限，如果消費金額超過該上限，必須通過手機驗證碼來確認，以增強賬戶的安全性。

　　“還有，不要在綁定第三方支付工具的銀行卡上存放大量資金，以免不法分子利用第三方機構漏洞竊用信息。”銀行業協會相關負責人說。

　　利用第三方機構漏洞批量化、規模化竊用信息，也是銀行卡欺詐翻新手法之一。《藍皮書》顯示，近年來，第三方支付機構、外包服務商已成為不法分子攻擊的對象。部分第三方機構違規留存銀行卡磁條數據、敏感數據訪問權限管理不善，不法分子用黑客技術惡意攻擊第三方機構后臺數據庫，批量獲取客戶賬戶信息。

　　其中，“撞庫”、“掃號”手法較為常見。黑客首先收集已泄露的、分散式的賬戶信息、密碼，然后批量登錄其他網站，把這些信息與各個持卡人的銀行、支付寶賬號等信息逐個匹配，最終“撞大運”似地“撞”出部分持卡人的可用信息。

　　攻擊手機移動端

　　除了線下、線上信息竊用，手機移動端也正成為銀行卡欺詐重災區。“近期，部分不法分子以贈送小禮品為誘餌，誘使持卡人用手機掃描二維碼，進而將木馬病毒程序植入持卡人手機，直接截留銀行發送給持卡人的短信驗證碼。”公安部相關負責人說。

　　眾多周知，短信驗證碼是支付密碼外的第二道安全保障，由此，非法截取、騙取驗證碼就成為銀行卡欺詐的關鍵一步。

　　目前手機移動端的常見攻擊手法有二：一是不法分子修改持卡人預留手機號，進而實施網絡盜刷。例如，不法分子利用變號軟件，偽裝成持卡人給銀行客服系統打電話，要求修改預留手機號碼、密碼。

　　二是不法分子編造積分兌換、額度調整、退貨退款等理由，向持卡人手機發送釣魚網站鏈接，持卡人點擊該鏈接后，交易驗證號碼即被盜取，不法分子進而完成盜刷。

　　面對以上新手法，部分銀行已采用“虛擬手機號”、“非預留電話”等技術升級信息保護。目前，浦發銀行信用卡為客戶傳輸信息時，不再顯示客戶真實的手機號碼，以動態虛擬號代替；民生銀行則推出了“非預留電話進線”、“交互式動態語音驗證”功能，設置了周期性多次致電提醒、賬戶爭議及處理提醒等多項風險業務提示，以更加有效地防范風險。