欢迎访问芜湖市银行业协会官网!     
返回首页 | 加入收藏
您所在的位置: 首页 >> 普及金融知识>>浏览资讯

ETC卡被隔空盗刷引爆网络 推广产品不应忽视安全

发表时间:2016-12-23  责任编辑:芜湖市银行业协会  浏览次数:687

金融机构推广新技术需预判安全风险

 

近日,一段“POS机隔空盗刷ETC速通卡”的视频引发社会广泛关注,这种“逆天”的赚钱方法迅速在微信朋友圈中刷屏。

在视频中,一名手持“银联”“闪付”字样刷卡器的男子,输入100元金额后,在一辆装有ETC的车前挡风玻璃处一贴,车主的钱就轻松地被划走了,不需要支付密码和车主本人签名。

  12月14日,交通运输部路网监测与应急处置中心下发《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》,调查结果显示,该ETC联名卡采用ETC卡与银联卡二卡合一模式,相关人员利用银联卡“小额免密面签”服务,通过“闪付”功能直接刷取与ETC联合发行的银行卡账户资金。

  ETC卡是否都存在风险

视频一经发出立刻引起人们的担忧,是否所有的ETC卡都采用了此技术?是不是都存在被盗刷的风险?

中国建设银行天津某支行办理ETC卡的工作人员李女士告诉记者,目前市场上的ETC卡主要分为三种:第一种是交通行业发行的单用途ETC卡,不具有金融功能,由交通行业专用密钥体系支撑,与银行卡体系不兼容,不会被POS机刷取;第二种是交通行业与银行联合发行,客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡,车辆上使用的ETC卡也不具备金融功能,不存在上述风险;第三种是交通行业与银行联合发行二合一的卡片,如有“闪付”功能且开通了“小额免密免签”功能,联名卡的银行账户可能存在此风险。

李女士介绍,网上曝出的被盗刷ETC卡属于第三种,储蓄卡和ETC卡是一体的,每次使用放在挡风玻璃处就可以,但是很少有人在不走高速或者不使用的时候取下来,因此才会出现被盗刷事件。

据李女士介绍,被盗刷的银行卡需要支持银联闪付QPass功能,要开通“小额免签免密”业务,同时POS机持有人也要开通“小额免密免签”业务,并且卡片需要放在POS机所能贴近的短距离内,同时满足以上四个条件,卡才有可能被盗刷。

  在ETC卡被盗刷案例中频繁出现的“闪付”又如何理解?

在中国银联官网上,对“闪付”功能是这样定义的:“闪付”是指符合国家金融标准的非接触式支付规范,其使用非接触式(感应式)的方式,支持借贷记功能、电子现金功能和其他应用功能。

关于使用方法,中国银联官网也有相应介绍:用户在支持银联“闪付”非接触式支付终端上,使用具备“闪付”功能的银联金融IC卡或NFC手机,使用挥卡方式,把卡或手机贴在POS机及其他具有银联“闪付”标识的机具上,听到“嘀”的一声即成功完成支付,无需输入密码和签名。操作方式类似于公交车刷卡。

  “闪付”免签功能是否安全

  “‘闪付’功能的使用,确实在一定程度上方便了人们的生活。”李女士说。

  “闪付”功能在生活中是否普遍应用?

据李女士介绍,“闪付”功能不仅在银行卡、ETC卡上使用,还应用于快餐、菜市场、景区和公共交通等小额快速支付和公共服务领域,还包括物业社区、校园等集中使用领域以及便利店、超市等部分传统商户。比如,不少超市和快餐连锁店等都支持银联的“闪付”功能,而此项技术的投入使用是基于小额免密免签功能。

在交通银行官网用卡指南客户服务类别里,有一个名词解释,是这样介绍“小额免密免签功能”的:所谓小额免密免签,是中国银联为持卡人提供的一种小额快速支付服务。当持卡人使用具有“闪付”功能的金融IC卡,在指定商户进行一定金额(境内300元人民币,境外以当地限额为准)及以下的交易时,只需将卡片或移动设备靠近POS机等受理终端的“闪付”感应区挥卡,即可完成支付。在支付过程中,您不会被要求输入密码,也无需签名。您使用银联芯片信用卡“小额免密免签”功能进行的交易将作为消费类交易计入信用卡账户。出于安全考虑,该功能设有每卡每日累计1000元的交易额上限。若超过交易上限,可要求商户采用插卡形式完成交易。若您仍需使用凭密功能消费,也可采用插卡形式完成交易。

  那么,具有此功能的卡怎么防止被盗刷?

  记者调查发现,各家发卡银行均在相关渠道对持卡人做出提醒。

银联作出的官方回应称:我们注意到最近网上流传的相关视频,有不法分子利用POS机盗用车主ETC银行联名卡内的账户资金。在此,我们提醒持有加载金融功能ETC卡的持卡人,注意保管好自己的银行卡片。对于此类长期离身的卡片,持卡人可致电发卡机构关闭ETC以外的功能。同时,我们也注意到,视频案例中不法分子利用了银联卡小额免密功能,在特定场景下实施不法行为。此种行为涉嫌刑事犯罪,视频中POS机具的使用也违反了《银行卡收单业务管理办法》中的相关规定,或将面临行政及刑事处罚。

此外,中国银联联合各商业银行为持卡人提供了小额免密免签专项风险保障服务。持卡人一旦发现异常双免交易,可第一时间联系发卡银行申请补偿。

对此,李女士给出了自己的建议:“在不使用ETC卡时,车主应把卡从ETC装置里取下来收好。其他‘闪付’免密免签的卡应放在带有屏蔽作用的钱包里,或者装上银行卡屏蔽卡套,或者使用卡防等预防产品。”

  推广产品不应忽视安全

  一个便民产品被不法分子利用后带来如此可怕的后果,那么,在新技术的便捷与安全之间,如何做到兼得?

对此,华北电力大学教授方仲炳给记者讲述了一件他亲身经历的事情:以前,银行免费提供短信提醒和告知义务,只要网银中有余额变化,银行会通过短信告知每笔交易情况。然而,银行推出新业务后,我必须用手机绑定银行卡才能享受此服务。以前,在手机不绑定银行卡的情况下,即便手机丢失,也不必担心银行卡出问题;现在,手机丢失会对银行卡产生致命影响。

  “总结一句话,在金融服务中,一些金融机构始终会在自己角度去设置和开发产品,并不考虑用户。”方仲炳说。

北京大学法学院知识产权学院访问教授孙远钊说:“个人对于具体、详细的技术内涵并不了解,但凡是使用任何频谱的电磁波从事对接交换或交流的技术,在先天上就永远注定含有相当高的风险,包括任何含有芯片的卡片,其中的内藏信息都可能会被盗取。换句话说,越是给使用人方便的技术,也同样给了居心叵测的人更多的便利,除非有一定的加密措施给予保护。”

民生银行一位不愿透露姓名的工程师告诉记者:“许多新的支付技术在使用条件上都存在不成熟或有漏洞的情况,只是部分银行在推广时没有考虑到用户的具体使用场景,在没有预判安全风险的情况下,就将新技术作为宣传噱头并投入使用,此次事件就是将ETC与银行支付以及‘闪付’免密免签功能整合到一起后出现的技术漏洞。”

(文章来源:法制日报)