金蝶精斗云每张信用卡,都可以轻松盗刷,只要你懂得利用现行第三方支付系统中的一个小小的漏洞。
比如,只要打通了信用卡“离线支付”和“过卡支付”:两个原本并行无交集的系统,你就可以从别人的银行信用卡中把钱划走。
这些钱,将如同多数的信用卡离线支付一样,依次经过发卡银行、银联、收单银行、第三方支付机构之手,抵达你的账上。
当然,信用卡持卡人可能总有一天会发觉钱不见了,但他也将无可奈何,因为这种无头公案,最后总是找不到负责的人。从发卡银行、银联、收单银行,到第三方支付机构,都只会把他当皮球踢。
于是,这个可能酿成金融风险的漏洞迄今没有完全补上。于是,被“盗刷”的钱仍在源源不断的流入发现这玄机的精明鬼手里:这些第三方支付机构的签约客户,至今还没有谁被投入监狱。
这堪称世界上最安全的犯罪。直到最近的这一周,这一切混乱才终于引来一场监管风暴,矛头指向给上述盗刷造就风险缺口的第三方支付平台。
6月21日,央行发布《非金融机构支付服务管理办法》,要求非金融机构必须在申请和获得相关牌照后,方可从事支付服务。
“这个领域新的风险隐患相继产生。”央行相关负责人在解释对第三方支付实施准入制的背景时说,比如支付服务相关的信息系统安全问题等。
那一串数字里的秘密
陈方是那些莫明其妙的买单者之一。
这位普通的工薪族,平时使用信用卡的次数很少,每个月都细心地核对对账单。这让他很容易发现,在自己招商银行信用卡的9月份扣款中,多出了记忆之外的一笔,金额300元。
陈方给招商银行信用卡中心拨去电话。几番沟通后他获知,这笔钱由网银在线为“乐在上海”代扣走了。
陈方回想起来,一个多月前,他在街头遇到“乐在上海”的摊点,工作人员热情地向他推销一种本市消费折扣卡,并许诺30天试用期过后不续订可自动取消,然后递给他一张详细的个人资料登记单。
“要填信用卡卡号啊?”陈方有点起疑。
“放心好了,没有密码我们划不了款,这只是个资料搜集。”工作人员说。
陈方想起自己的信用卡密码,放下心来,把卡上的数字抄在单子上。
后来的事表明,正是这串“数字”,让陈方的信用卡成了“乐在上海”的提款机。
随后,在与“乐在上海”、招商银行沟通均无果后,陈方联系了本市电视台新闻热线。很快,一直声称“持卡人责任自负”的招商银行,归还了陈方上述扣款。
记者了解发现,上述款项,依次经过招商银行、银联、网银在线、收单银行,抵达“乐在上海”账上。
“我们是这件事的受害者,垫付了这笔钱,现在只能计入坏账。”招商银行信用卡中心宣传策划室副经理丁诗妮表示。
“我从没听过这种案例,也不知道问题出在哪。”中国银联一位相关负责人说:“银联只是跨行信息转接,网上银行的控制由各银行控制,或者第三方支付机构。”
“我们不会插手。”网银在线人士对本报记者说:“风险控制是银行的事。”
至发稿时,“乐在上海”方面未对记者的求证作出回应。
记者了解发现,案例中的收单点签约,是由第三方支付机构:网银在线完成的;相应的风险控制漏洞,亦由此而来。
未经允许不得转载:金蝶精斗云 » 第三方支付系统漏洞 危险的“暗门”
