腾讯科技2016腾讯科技 > 互联网报道 > 互联网新闻 > 正文

信用卡存盗刷暗门:利用第三方支付系统漏洞

2010年06月25日03:0521世纪经济报道王思璟我要评论(0)
字号:T|T

找不到买单者

正是利用这个惯例,“乐在上海”打通了信用卡中“离线支付”和“实体店”——两个原本并行无交集的支付系统,找到了一条生财之道。

根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范围仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员消费折扣卡”,向商户收取推广费并向“会员”收取会员费。

身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。

根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海提供”电子商务应用服务。

协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被提供的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。

“责任就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”

但招行自己并不在“乱设POS的收单银行”之外。

据记者了解,在网银在线向“乐在上海”提供的支付服务中,协议银行包括招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。

这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们提供收单服务。

而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不发生任何接触,亦没有相关资质审核。

那么,商户资质审核是谁的责任?

在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。

在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险控制。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额占据前三。

“资质管理的责任,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应该谁对这个实体店进行资质管理。”

第三方支付之患

而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事责任。

“我们不会插手,此事由商户与用户协商处理。” 前述网银在线总部人士说。

在网银在线与“乐在上海”等各类商户的合约中,此类风险被明文“规避”。按照合约,网银在线不介入商户和持卡消费者或任何第三方之间的交易纠纷,商户应独自承担因其销售的商品或服务引起的各类责任。由于商户责任造成网银在线所提供服务引起的法律上的责任,由商户负责或追究有关方面的责任,与网银在线无关。

至于此种“合约规避”是否合法,并无相关法规明确。

“这是行业通行规则,交易风险是商户的责任。”网银在线人士对记者说:“信用卡欺诈的防范义务在于商户,我们提供信用卡防欺诈系统,给他们一定参考。”

那么,如果不是消费者失误而是商户有意“欺诈”,防范义务又在谁呢?这一点并不清晰。

至于对商户的资质审核,网银在线认为:“乐在上海说他们是网银的合作伙伴,那资质一定没问题了。”

而“合作伙伴”一说,其依据是“乐在上海”自己在某个网页上发布的一段广告。

“这是个行业性问题。”一位第三方支付行业风险控制人士说,作为创新性很大的新兴行业,第三方支付存在不断更新的欺诈手段。

该人士认为,案例的风险控制缺口在于,网银在线作为第三方支付平台,理想状态下,应该保证自己的签约商户不会保存客户核心支付资料,特别是案例中信用卡卡号、CVV码等。

在支付行业的国际通行认证PC中,上述商户资质审核被明确要求。

然而,根据公开材料,网银在线直至2010年2月,方通过PCI认证。

这是否意味着此前的网银在线签约商户,均未通过上述资质审核?而网银在线之外的其他众多支付企业,又有多少仍未经过PCI认证?仍不得而知。

或许,央行即将实施的第三方支付行业准入制,可能是目前能寄望的一条出路。

“考虑支付服务的专业性和安全性要求等,(支付服务牌照)申请人应符合内控制度、风控措施等方面的规定”。央行相关负责人在6月21日表示,将会在随后的管理办法实施细则中,细化技术安全检测认证证明等方面的法规。

[责任编辑:samyao]
登录 (请登录发言,并遵守相关规定) 分享至: 腾讯微博
如果你对科技频道有任何意见或建议,请到交流平台反馈。到微博反馈

企业服务

热点推荐

推广信息