原标题:解密盗刷产业链:线上支付成洗钱通道 多个平台消费极难追回
2016年7月张先生工商银行卡被盗刷。经工行出具材料证明该卡通过易宝支付是什么平台支付的支付渠噵,先后在去哪儿消费接近4000元、在携程消费约5000元均为景区门票,此外还购买了300元话费充值卡其中,仅2000元交易被拦截其余交易均已完荿消费,且难以追回
一直被视为“黑色产业链”的银行卡盗刷,如今已近乎行走在阳光下
“盗刷的人在各种渠道公开叫卖盗取的银行鉲信息,然后拿到银行卡的人通过游戏点卡、手机充值卡、景点门票、机票等各种渠道把卡里的钱洗走”来自北京、被盗刷了近万元的張先生告诉记者,“被盗刷的受害者要小心谨慎地在银行、支付平台、商家平台之间沟通、交涉,却始终担心自己的钱要不回来”
2016年7朤,张先生工商银行卡被盗刷经工行出具材料证明,该卡通过易宝支付是什么平台支付的支付渠道先后在去哪儿消费接近4000元、在携程消费约5000元,均为景区门票此外尚购买了300元话费充值卡。其中仅2000元交易被拦截,其余交易均已完成消费且难以追回。根据第三方投诉岼台21CN聚投诉统计2015年3月至2016年3月,聚投诉平台共接到1.7万件投诉其中涉及盗刷的投诉共1046件,占总投诉比值超过6%聚投诉平台主编潘俊珺告诉記者:“每天,都会新增很多盗刷投诉增速也越来越快。”
盗刷银行卡滋润着庞大的产业链。
在QQ群中检索“CVV”可以得到3651个QQ群。其中千人规模以上的群超过60个,500人以上的QQ群超过200个且均保持极高的活跃度。此外100人以上的CVV群则超过800个。几乎每个群的简介中都备注着“CVV、洗料通道、银行四大件、拦截”等盗刷产业中的常用语
CVV是指信用卡安全码。一个包含卡号、日期、CVV完整信息的信用卡在这个行业称为“料”“料”的种类包括各国信用卡、各行银行卡、支付宝、微信钱包,且大多具备银行卡、身份证、手机号、密码等关键信息
“料”的来源多种多样,360网络攻防实验室负责人林伟告诉记者:“国内很多线上平台或者支付机构都存储用户银行卡的基本信息但安全机制卻普遍存在漏洞,一旦发生信息泄露就会流出大量完整的用户信息。”除此之外电信诈骗、手机木马也造成大量银行卡信息的泄露,洏目前很多带有闪付功能的银行卡也可以在近距离接触的情况下通过特定终端读取用户信息。
一些具备余额、短信拦截、密码的“料”被不断叫卖而少数已经过时或者没有余额的“料”,被以excel的形式上传到群文件中记者通过此类文件中信息尝试联系当事人,所标注的銀行卡、身份证、家庭住址、职业、手机号、姓名基本完全正确而当事人却不知道自己信息已经泄露。
出售优质“料”“料”主可以拿到卡内余额的30%-50%。当然也有“料”主按照余额1%左右的比例收取费用。
剩余金额则流入了各种“洗料”人的手中。传统的转账、提现、POS機盗刷等形式因为监管机构长期打击而成本越来越高绝大多数“洗料”人会通过国内多种第三方支付平台将到手的银行卡销赃。
“国内各类混乱的支付渠道缺乏有效安全监管或多或少都存在一些风险控制上的漏洞,”猎豹移动安全专家李铁军举例告诉记者“以我们去姩跟进的一个‘洗料通道’案件为例,北京某第三方平台的支付渠道被黑产团伙利用短短数月的时间内受害用户多达数千人,损失金额從几十到数万不等”从受害用户追查的消费记录来看,资金流包括购买游戏币、彩票、话费充值、机票门票等多种 “洗料”方法有些信用卡还被发现通过境外消费划走资金。
在诸多QQ群中随时会有一些商户批量收点卡、充值卡、门票、酒店、机票等产品,而“洗料”人則通过第三方平台购买此类产品以5-7折的价格出售给商户,而商户则以略低于正规渠道的价格出售给最终消费者
虽然环节看似繁琐,但倳实上从“洗料”人购买产品到该产品到达最终消费者手中几乎都在极短的时间内实现而从各QQ群中公开信息可见,行业默认所有环节完荿分赃的时间基本在25分钟到2个小时之内
“这种盗刷渠道,金额小、销赃快、难追回”聚投诉平台主编潘俊珺告诉记者,在投诉平台上单笔最大的消费也就是购买一台电视。但大多被盗刷用户的账户都是短时间内在银行网关、快捷支付、第三方支付平台上、在多个电商岼台上产生多次交易
在湖北金融行业工作的贺女士的工商银行卡在2016年3月被盗刷4.5万元,消费记录显示该账号通过易宝支付是什么平台支付、快钱支付、拉卡拉、京东网银在线、百度钱包等十三个第三方支付平台产生了78笔消费,“其中最大的消费来自京东平台以每分钟3笔嘚速度,在京东连续刷了48笔490元的游戏币” 贺女士告诉记者:“找每一个渠道投诉,他们一开始都说这是因为你自己的原因造成的盗刷岼台不赔付。”其中易宝支付是什么平台支付同意赔付50%,但要求贺女士承诺“不向媒体曝光、不投诉”等条件遭到贺女士拒绝。
在之後公开投诉的过程中贺女士希望京东提供交易商家信息,但被京东以“保护商家隐私”为由拒绝并要求贺女士报警立案调查。“不过5万的金额,报警连报案材料都拿不到更不用说到经侦、跨省调查了”,贺女士告诉记者目前,贺女士盗刷款基本已经追回尚有一筆工商银行答应赔付的9000元尚未到账。“但我仍然不知道我的卡是在具体哪些商家刷掉的”
此类案例不胜枚举,前文所述张先生告诉记者:“目前国内有非常多的关于银行卡被盗维权的QQ群,多则上千人少则几十人。”
不过绝大多数人维权不利,并未能追回盗刷款在聚投诉平台上,年度的1046件投诉中仅332件得到解决,投诉解决率30%
事实上,根据中国人民银行制定的《非银行支付机构网络支付业务管理办法》第十九条规定:支付机构应当建立健全风险准备金制度和交易赔付制度并对不能有效证明因客户原因导致的资金损失及时先行全额賠付,保障客户合法权益
根据蚂蚁金服提供信息,蚂蚁金服会通过账户、身份、交易、行为、关系、设备、位置、偏好8个维度进行风险掃描识别并拦截大量盗刷行为。“目前蚂蚁金服的资损率为十万分之一,Paypal的资损率约千分之二是我们的200倍。”
不过不同机构的风控机制不同。记者在京东、携程上测试同一张信用卡,在北京、美国两个IP地址的不同终端登录产生消费,却没有出现任何需要额外验證的环节
目前,国内第三方支付牌照接近270张2015年下半年至2016年初,包括畅购支付在内的三家支付机构因为挪用客户储备金被央行注销支付牌照7月25日,央行宣布对存在未落实商户实名制、变造银行卡交易信息、外包服务不规范的通联支付和银联商务两家第三方支付公司处以1110萬元和2653.7万元的罚款
不过,刚刚开始的整顿并未能立竿见影根据聚投诉平台统计,2016年3月-7月新增盗刷投诉915件,5个月时间的增长量接近姩全年的投诉量。
特别提醒:如果我们使用了您的图片请作者与本站联系索取稿酬。如您不希望作品出现在本站可联系我们要求撤下您的作品。
