信用卡风险三重门：磁条卡漏洞和网络支付

磁条卡技术漏洞、网络支付风险、银行员工盗卡风险　　高谈　　[ 技术潮流的速度超过大家的想象。一种可能是，中国还未过渡到芯片卡时代，便直接跳入移动支付时代，即信用卡直接与手机绑定 ]　　信用卡的出现，让人们不用揣着厚厚的现金到处跑，不过它也让人们的消费欲望更膨胀，更让一些“黑客”有机可乘。　　上海市高级人民法院数据显示，2011年的银行金融商业纠纷案件中，信用卡纠纷案件占比为73.88%。　　另外，最高人民检察院的数据显示，2006年~2010年，全国检察机关受理移送起诉的金融犯罪案件数量最多的就是信用卡诈骗罪，占比高达38.8%。　　信用卡的安全隐患主要有三个，分别是磁条卡本身的技术漏洞、信用卡网络支付风险和银行员工盗卡风险。　　磁条卡的漏洞　　信用卡的一个主要风险来自于目前所使用的磁条卡技术本身的漏洞。　　目前国内信用卡普遍使用磁条技术，利用磁条记录客户信息，用户只要在POS机或ATM机上刷卡，就会在机器上留下该银行卡的磁条信息。　　由于磁条信息有固定的格式，一名熟悉信用卡制作流程的技术人士，可以通过卡号、使用期限等，按照格式复制出磁条信息。在同一批卡中知道了其中一张卡的磁条信息，也能推算出其他同批次卡的基本资料。　　另外，假设有人在POS机上装上一个盗卡装置，就能轻松获得客户的磁条信息；甚至有的网站专门出售磁条信息，通过读卡器将它扫到白卡上，再打上卡号，就克隆了一张信用卡。　　盗用磁卡的现象在一些东南亚国家非常严重。一个惊人的例子是，根据马来西亚法律，出现盗刷后由银行承担损失，前几年竟然有一家银行曾因此而倒闭。中国游客在进入东南亚旅游时也多被银行告知要格外小心。　　而对于持卡人来说，最好的应对信用卡盗用的方法恐怕是开通短信提醒功能，一旦发生异常情况马上致电银行。　　“开通短信提醒功能，有助于持卡人马上发现异常情况，银行就能够以最快的速度止损。”招商银行信用卡中心总经理刘加隆告诉第一财经日报(微博)《财商》。　　芯片卡虽然比磁条卡更安全，却因为其高成本而迟迟推广不开。　　Europay、MasterCard、VISA三个国际卡组织在2003年就联合制定了银行芯片卡统一技术标准EMV。中国人民银行在2005年发布了兼容EMV标准的PBOC2.0中国金融芯片卡标准，工商银行于2007年11月推出国内首张PBOC2.0标准的信用卡。　　按照央行拟定的银联标准PBOC2.0芯片卡(IC卡)总体目标，国有商业银行应在2013年年底前全面发行金融IC卡；全国性股份制商业银行应在2015年年底前全面发行金融IC卡；自2015年1月1日起，所有新发行的银行卡应为金融IC卡。　　不过，一些业内人士并不看好芯片卡的未来。　　我爱卡网首席执行官涂志云告诉记者：“技术潮流的速度超过大家的想象。一种可能是，中国还未过渡到芯片卡时代，便直接跳入移动支付时代，即信用卡直接与手机绑定。”　　网络支付风险　　网络支付这种不见卡不见人的隔空打牛式支付方式，让信用卡支付增加了危险系数。　　“换了芯片卡后仍然没有办法制止网络购物中的刷卡风险，因为网络消费根本就不用看见卡。并且信用卡在网购中的使用占比已经呈逐年增加之势。”刘加隆告诉记者。　　实际上信用卡作为支付工具已经越来越网络化。网络经济活动要求资金支付实时、迅速，传统的现金、票据支付等方式难以适应，而网上支付很好地满足了以上要求。　　艾瑞统计数据显示，2012年一季度末中国互联网支付交易规模达7760亿元，
同比增长112.6%；另据Gartner数据，2012年全球移动支付交易额将超过1720亿美元，预计通过各种方式参与移动支付交易的用户数量也将达到2.122亿。　　信用卡网络安全隐患的根源在于账户和密码信息被盗。最初级的是直接向持卡人索要，称“异常账户活动”，要求持卡人提供银行卡卡号及密码。　　升级版的密码小偷会建立一个与正常网站极为类似的页面，在持卡人网购时通过钓鱼网站取得信用卡支付密码，再通过网络盗刷。　　还有一种情况是持卡人在网吧等公共上网场所进行网上交易，或者使用代理服务器进行交易时，中途信息被截取，被“黑客”盗取卡号及密码。这种情况下即便是使用软键盘也仍然有安全隐患，因为软键盘只是防止键盘上记录信息，而不能防止传输过程中的危险。　　“最终网络支付安全，取决于服务提供商对数据加密的技术。如果数据包经过加密，就算中途被截取一般情况下也很难被破解。”一位技术人士告诉记者。　　另外，在信用卡网络支付中，U盾被业内人士认为是目前最安全的手法。而由于许多网络支付其实是通过第三方支付平台来完成，第三方支付平台也在网络支付领域做了许多创新。　　“银行系统由于过分强调安全性让支付变得更加繁琐，而第三方支付则一直在平衡使用的便利性与安全性。”涂志云告诉记者。　　目前支付宝(微博)采取的快捷支付系统，由于采取了手机动态密码支付制度，使得交易要通过手机移动验证才能完成；加上快捷交易有额度限制，所以将意外损失控制在一定范围内；如果再加上持卡人的即时短信提醒，持卡人发现问题立马就能够向银行反映，以最快的速度止损。　　银行员工盗卡风险　　家贼难防。银行员工作案在信用卡风险中比重不大，但也不可忽视。　　歌星孙楠就曾经因为销卡未销户，被民生银行信用卡中心职员任颀获取了个人资料，并以其名义补办钻石信用卡，盗刷了120万。　　这个案例中引人注目的两个点分别是：信用卡已经注销还存在风险吗？信用卡的额度怎么会高达120万元？　　如果不想使用信用卡了，如何注销信用卡？是不是向银行提交注销申请就万事大吉了呢？可千万不要大意，注销信用卡也是存在风险的。　　很多人可能认为注销了信用卡就注销了账户，但事实上，二者并不是同一件事情。　　一位股份制银行信用卡部门负责人告诉记者，磁卡交易需要由交易终端发送信息，还要有银行回应才能完成交易，已经注销的卡片，由于不能得到银行的回应而不可能交易成功。　　但是如果单单注销了信用卡而保留账户，那么客户的个人信息也依然保留。如果这些个人信息被非法分子获取，就可以向银行提交恢复信用卡的申请，而若银行在信用卡恢复审批上存在漏洞，批准了申请，信用卡密码被重新设置激活后，就有被盗刷的风险。　　作为持卡人在销卡时候如何规避类似风险？首先，废卡要妥善处理，应该沿磁条剪断报废，避免磁条中的个人信息泄露。另外，银行应当妥善保管销卡未销户的客户资料，避免客户的个人信息被不法分子窃取。　　(实习记者 罗文雯对本文亦有贡献)　　网络支付安全须知　　1. 在任何时候，不要将您的账号、密码告诉别人；不要相信任何通过电子邮件、短信、电话等方式索要卡号和密码的行为。对于已经向不明人员或网站提供
网上银行密码的，要立即登录网上银行修改密码，或到柜面进行密码重置。　　2. 选择不容易猜测的密码，以免被猜中。　　3. 为您的网上银行设置专门的密码，区别于您在其他场合中(例如：其他网上服务、ATM、存折和银行卡等)使用的用户名和密码，避免因某项密码的丢失而造成其他密码的泄露。　　4. 将您的网上银行登录密码和用以对外转账的支付密码设置为不同的密码，多重验证以保证您的资金安全。　　5. 不要在计算机上保存您的密码。不要将密码书写于纸张或卡片上。要定期更改密码。　　6. 查看欢迎页面上的“上次登录时间”和实际登录情况是否相符，便于您及时发现异常情况。