一直被視為“黑色產(chǎn)業(yè)鏈”的銀行卡盜刷,如今已近乎行走在陽光下。

  “盜刷的人在各種渠道公開叫賣盜取的銀行卡信息,然后拿到銀行卡的人通過游戲點(diǎn)卡、手機(jī)充值卡、景點(diǎn)門票、機(jī)票等各種渠道把卡里的錢洗走,”來自上海、被盜刷了近萬元的張先生告訴記者,“被盜刷的受害者,要小心謹(jǐn)慎地在銀行、支付平臺、商家平臺之間溝通、交涉,卻始終擔(dān)心自己的錢要不回來?!?/p>

  2016年7月,張先生工商銀行卡被盜刷。經(jīng)工行出具材料證明,該卡通過易寶支付的支付渠道,先后在去哪兒消費(fèi)接近4000元、在攜程消費(fèi)約5000元,均為景區(qū)門票,此外尚購買了300元話費(fèi)充值卡。其中,僅2000元交易被攔截,其余交易均已完成消費(fèi),且難以追回。根據(jù)第三方投訴平臺21CN聚投訴統(tǒng)計(jì),2015年3月至2016年3月,聚投訴平臺共接到1.7萬件投訴,其中涉及盜刷的投訴共1046件,占總投訴比值超過6%。聚投訴平臺主編潘俊珺告訴記者:“每天,都會(huì)新增很多盜刷投訴,增速也越來越快。”

  龐大的盜刷產(chǎn)業(yè)鏈

  盜刷銀行卡,滋潤著龐大的產(chǎn)業(yè)鏈。

  在QQ群中檢索“CVV”,可以得到3651個(gè)QQ群。其中,千人規(guī)模以上的群超過60個(gè),500人以上的QQ群超過200個(gè),且均保持極高的活躍度。此外,100人以上的CVV群則超過800個(gè)。幾乎每個(gè)群的簡介中都備注著“CVV、洗料通道、銀行四大件、攔截”等盜刷產(chǎn)業(yè)中的常用語。

  CVV是指信用卡安全碼。一個(gè)包含卡號、日期、CVV完整信息的信用卡在這個(gè)行業(yè)稱為“料”,“料”的種類包括各國信用卡、各行銀行卡、支付寶、微信錢包,且大多具備銀行卡、身份證、手機(jī)號、密碼等關(guān)鍵信息。

  “料”的來源多種多樣,360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室負(fù)責(zé)人林偉告訴記者:“國內(nèi)很多線上平臺或者支付機(jī)構(gòu)都存儲用戶銀行卡的基本信息,但安全機(jī)制卻普遍存在漏洞,一旦發(fā)生信息泄露,就會(huì)流出大量完整的用戶信息?!背酥?,電信詐騙、手機(jī)木馬也造成大量銀行卡信息的泄露,而目前很多帶有閃付功能的銀行卡,也可以在近距離接觸的情況下通過特定終端讀取用戶信息。

  一些具備余額、短信攔截、密碼的“料”被不斷叫賣。而少數(shù)已經(jīng)過時(shí)或者沒有余額的“料”,被以excel的形式上傳到群文件中,記者通過此類文件中信息嘗試聯(lián)系當(dāng)事人,所標(biāo)注的銀行卡、身份證、家庭住址、職業(yè)、手機(jī)號、姓名基本完全正確,而當(dāng)事人卻不知道自己信息已經(jīng)泄露。

  出售優(yōu)質(zhì)“料”,“料”主可以拿到卡內(nèi)余額的30%-50%。當(dāng)然,也有“料”主按照余額1%左右的比例收取費(fèi)用。

  剩余金額,則流入了各種“洗料”人的手中。傳統(tǒng)的轉(zhuǎn)賬、提現(xiàn)、POS機(jī)盜刷等形式因?yàn)楸O(jiān)管機(jī)構(gòu)長期打擊而成本越來越高,絕大多數(shù)“洗料”人會(huì)通過國內(nèi)多種第三方支付平臺將到手的銀行卡銷贓。

  “國內(nèi)各類混亂的支付渠道缺乏有效安全監(jiān)管,或多或少都存在一些風(fēng)險(xiǎn)控制上的漏洞,”獵豹移動(dòng)安全專家李鐵軍舉例告訴記者,“以我們?nèi)ツ旮M(jìn)的一個(gè)‘洗料通道’案件為例,上海某第三方平臺的支付渠道被黑產(chǎn)團(tuán)伙利用,短短數(shù)月的時(shí)間內(nèi)受害用戶多達(dá)數(shù)千人,損失金額從幾十到數(shù)萬不等?!睆氖芎τ脩糇凡榈南M(fèi)記錄來看,資金流包括購買游戲幣、彩票、話費(fèi)充值、機(jī)票門票等多種 “洗料”方法,有些信用卡還被發(fā)現(xiàn)通過境外消費(fèi)劃走資金。

  在諸多QQ群中,隨時(shí)會(huì)有一些商戶批量收點(diǎn)卡、充值卡、門票、酒店、機(jī)票等產(chǎn)品,而“洗料”人則通過第三方平臺購買此類產(chǎn)品,以5-7折的價(jià)格出售給商戶,而商戶則以略低于正規(guī)渠道的價(jià)格出售給最終消費(fèi)者。

  雖然環(huán)節(jié)看似繁瑣,但事實(shí)上從“洗料”人購買產(chǎn)品到該產(chǎn)品到達(dá)最終消費(fèi)者手中幾乎都在極短的時(shí)間內(nèi)實(shí)現(xiàn),而從各QQ群中公開信息可見,行業(yè)默認(rèn)所有環(huán)節(jié)完成分贓的時(shí)間基本在25分鐘到2個(gè)小時(shí)之內(nèi)。

  艱難賠付

  “這種盜刷渠道,金額小、銷贓快、難追回。”聚投訴平臺主編潘俊珺告訴記者,在投訴平臺上,單筆最大的消費(fèi)也就是購買一臺電視。但大多被盜刷用戶的賬戶都是短時(shí)間內(nèi)在銀行網(wǎng)關(guān)、快捷支付、第三方支付平臺上、在多個(gè)電商平臺上產(chǎn)生多次交易。

  在湖北金融行業(yè)工作的賀女士的工商銀行卡在2016年3月被盜刷4.5萬元,消費(fèi)記錄顯示,該賬號通過易寶支付、快錢支付、拉卡拉、京東網(wǎng)銀在線、百度錢包等十三個(gè)第三方支付平臺產(chǎn)生了78筆消費(fèi),“其中最大的消費(fèi)來自京東平臺,以每分鐘3筆的速度,在京東連續(xù)刷了48筆490元的游戲幣”, 賀女士告訴記者:“找每一個(gè)渠道投訴,他們一開始都說這是因?yàn)槟阕约旱脑蛟斐傻谋I刷,平臺不賠付。”其中,易寶支付同意賠付50%,但要求賀女士承諾“不向媒體曝光、不投訴”等條件,遭到賀女士拒絕。

  在之后公開投訴的過程中,賀女士希望京東提供交易商家信息,但被京東以“保護(hù)商家隱私”為由拒絕,并要求賀女士報(bào)警立案調(diào)查?!安贿^,5萬的金額,報(bào)警連報(bào)案材料都拿不到,更不用說到經(jīng)偵、跨省調(diào)查了”,賀女士告訴記者。目前,賀女士盜刷款基本已經(jīng)追回,尚有一筆工商銀行答應(yīng)賠付的9000元尚未到賬?!暗胰匀徊恢牢业目ㄊ窃诰唧w哪些商家刷掉的?!?/p>

  此類案例不勝枚舉,前文所述張先生告訴記者:“目前,國內(nèi)有非常多的關(guān)于銀行卡被盜維權(quán)的QQ群,多則上千人,少則幾十人?!?/p>

  不過,絕大多數(shù)人維權(quán)不利,并未能追回盜刷款。在聚投訴平臺上,2015-2016年度的1046件投訴中,僅332件得到解決,投訴解決率30%。

  事實(shí)上,根據(jù)中國人民銀行制定的《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十九條規(guī)定:支付機(jī)構(gòu)應(yīng)當(dāng)建立健全風(fēng)險(xiǎn)準(zhǔn)備金制度和交易賠付制度,并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時(shí)先行全額賠付,保障客戶合法權(quán)益。

  根據(jù)螞蟻金服提供信息,螞蟻金服會(huì)通過賬戶、身份、交易、行為、關(guān)系、設(shè)備、位置、偏好8個(gè)維度進(jìn)行風(fēng)險(xiǎn)掃描,識別并攔截大量盜刷行為?!澳壳?,螞蟻金服的資損率為十萬分之一,Paypal的資損率約千分之二,是我們的200倍?!?/p>

  不過,不同機(jī)構(gòu)的風(fēng)控機(jī)制不同。記者在京東、攜程上測試,同一張信用卡,在上海、美國兩個(gè)IP地址的不同終端登錄,產(chǎn)生消費(fèi),卻沒有出現(xiàn)任何需要額外驗(yàn)證的環(huán)節(jié)。

  目前,國內(nèi)第三方支付牌照接近270張。2015年下半年至2016年初,包括暢購支付在內(nèi)的三家支付機(jī)構(gòu)因?yàn)榕灿每蛻魞浣鸨谎胄凶N支付牌照。7月25日,央行宣布對存在未落實(shí)商戶實(shí)名制、變造銀行卡交易信息、外包服務(wù)不規(guī)范的通聯(lián)支付和銀聯(lián)商務(wù)兩家第三方支付公司處以1110萬元和2653.7萬元的罰款。

  不過,剛剛開始的整頓并未能立竿見影。根據(jù)聚投訴平臺統(tǒng)計(jì),2016年3月-7月,新增盜刷投訴915件,5個(gè)月時(shí)間的增長量,接近2015-2016年全年的投訴量。(21世紀(jì)經(jīng)濟(jì)報(bào)道)