来源:南方周末 作者:范传贵 发布时间:2008-10-30 16:08:23 字体:[大 中 小]
摘 要:没有丢失过银行卡,同样可能被盗刷。专家认为,这样的案例频发,首先和国内银行卡太易复制有关。国内银行卡均是磁条卡,而非更安全的IC卡。其次,和银行后台对账户管理不够严密也有关系,使“克隆卡”蒙混过关。还与ATM机等银行产品安全监测不够完善有关。
没有丢失过银行卡,同样可能被盗刷。甚至有农业银行四位储户在同一天被盗刷九十余万元。
专家认为,这样的案例频发,首先和国内银行卡太易复制有关。国内银行卡均是磁条卡,而非更安全的IC卡。其次,和银行后台对账户管理不够严密也有关系,使“克隆卡”蒙混过关。还与ATM机等银行产品安全监测不够完善有关。
在广州,有四位中国农业银行的储户尽管从未丢过银行卡,但他们在同一天、同一台农行的ATM取款机上取款后,于同一天在珠宝店被盗刷九十余万元。这样让人心惊的失窃案已反复在各大城市上演。日前,广州市公安局甚至通过手机短信群发给广州市民,提醒人们在ATM机上刷卡要小心防范。
事实上,据中国银联统计,2006年我国共发生433起银行卡账户信息泄露事件,银行卡欺诈金额为1.84亿元人民币。
银行卡检测中心总经理田朝阳告诉南方周末,国内银行卡欺诈手法中除了短信诈骗等传统手段外,也出现了利用网络病毒盗用持卡人信息等新手段,欺诈手段不断翻新。
ATM机上的离奇盗取
ATM机,几乎让地铁维修工邓先生接近破产。9月16日早晨,邓先生的农业银行银行卡在几个小时内被盗刷了35万多元,他几乎已身无分文。
在接下来的几天里,邓先生陆续认识了三位和他同病相怜的人,他们都在同一天、在同一台农业银行ATM机上取钱后银行卡被盗刷,四位受害者合计被盗刷九十多万元。
事后,南方周末记者随邓先生又来到这台ATM机所在的银行。发现机身周围看不到任何安全提示,来往的顾客依旧毫无遮掩地输着密码取钱。
目前,四位受害者已联合委托了“许霆案”中许霆的辩护律师杨振平、吴义春起诉涉事银行,希望得到赔偿。
杨振平律师在接受南方周末记者采访时介绍,在近一个月内,他已经接到广州、深圳两地共9起有关ATM盗刷案的委托了,“问题已经非常严重了”。
广东省公安厅网站的“警方提醒”栏目显示,“利用ATM盗取账户信息诈骗”已赫然被列为头号新型诈骗,在另一条信息里,警方一口气列出了9种利用ATM犯罪的手段。
邓先生至今无法理解,为什么卡明明在自己身上,钱却被盗刷一空?这也是几位受害者共同的疑惑。
“克隆一张银行卡太简单”
对邓先生等受害者的困惑,中国银行卡检测中心总经理田朝阳博士向南方周末作了详细分析。
她认为:“可能是在ATM刷卡的过程中被犯罪分子盗取了信息,克隆出你的银行卡来。克隆一张卡太简单了。”她介绍,现在中国的银行卡大多为磁条卡,克隆很容易,其安全性要靠银行整个后台环境来保障。
“如果只拿到密码和账号克隆张卡就可以取钱,那么银行的后台核对体系就有问题。”杨振平律师认为。
这个案子的一个特点在于,几位受害者都在同一个时段在同一个ATM机上使用过银行卡后出事。“按推理,信息肯定是在ATM上被盗取的,”杨振平律师断定,“银行没有管好自己的设备,结果被人家做了手脚都没发现,这也是管理上的问题。”
这一案件的涉事银行农业银行广东省分行相关负责人表示,在公安没有破案之前不能归咎责任,“谁能保证客户不是贼喊抓贼,以此诈取银行的钱财?谁能排除不是储户自己不小心泄露了密码信息?”
对于银行方这种解释,杨振平律师认为,只要银行拿不出十足的证据来证明储户是主动公开自己的信息的,这样的说法就不成立。而且他认为银行把责任完全归咎于储户很不负责任。“银行吸收很多存款,居于强势地位,管理方面上是有能力做到的,连这方面责任都加给储户,光靠储户自己的谨慎去防范,这对普通储户是不公平的。”杨振平认为,银行应该负全责。
但田朝阳认为,除了银行方面的原因,持卡人能否保护好卡以及卡的密码也是安全用卡至关重要的一个环节。银行卡被盗用不是一个简单的问题,到底在哪个方面出了问题,需要作技术上很多方面的取证,才能决定谁应该负责任。
安全性检测不够完善
银行卡检测中心总经理田朝阳还认为,ATM这些自助设备发生的问题是最多的。
她介绍,国内已经明确的ATM检测认证主要由两部分构成:一是国家质检总局牵头实施的3C认证,未经3C认证的禁止销售。二是公安部牵头实施的 ATM安全认证,主要侧重于保险柜的安全性能等。但是涉及到ATM银行卡业务处理和信息技术方面的安全性检测国内没有开展,这往往是ATM等自助设备最容易给高技术犯罪产生漏洞的环节。
由于没有完整的安全检测认证,各家商业银行在ATM招标采购时的要求也各不相同,ATM产品的安全性良莠不齐,厂商也无所适从。
广电运通金融电子股份有限公司生产的ATM机在国内占有一定的市场份额。该公司有关负责人告诉南方周末,他们的ATM已针对一些犯罪行为,在设计上做了一些改进,比如安装后视镜等措施。但当记者问及是否经过第三方检测时,他却答不上来。
而田朝阳认为,问题的根本在于,没有一个有力的监管主体站出来抓这个事情,“这件事的推动要靠全社会,包括行业主管单位、商业银行一起来推动”。
成本太高难换新式银行卡
央行副行长苏宁在2007年视察银行卡检测中心的安全检测实验室后,曾问过田朝阳,按现在高安全的要求、水平,产品成本要提高多少?
田朝阳没有把具体的成本数据告诉南方周末,但她给记者举了个例:“目前IC卡的安全性比磁条卡要高上很多,但是要把中国所有的磁条卡都换成IC卡,在短期内不太可能,成本太高了。因为你如果用IC卡,那现在这个POS机、ATM机,全部要换或者升级,包括后台系统也要改造,包括卡也要换,IC卡的成本比较高,总成本会非常惊人。”
按照她的看法,要在目前的条件上解决银行卡安全性问题,应该从三个方面入手:其一,监管的主体要明确,并提出行之有效的措施;其二,要制定相关标准;其三,对产品本身的安全要求要提高,这个产品包括ATM、POS机等设备,包括网络、账户系统、密钥等等,还包括持卡人。
■利用ATM机的九种犯罪手段
当前不法分子利用ATM机盗窃、诈骗钱财案件多发,其伎俩多样,具体包括:
1.吞卡+假提示。不法分子事先在ATM机屏幕侧面张贴假告示并将克隆的ATM机插卡槽用胶水贴接在银行ATM机插卡槽上,待客户的卡被“吞”后,再用假告示获取卡密码。
2.吞卡+窥号。不法分子在ATM机插卡口处安装吞卡装置造成吞卡故障,在持卡人背后或在远处用望远镜窥视密码。等持卡人因ATM机故障而离开后,不法分子取出银行卡。或是不法分子把MP4安装在ATM机上方,等用户取钱离去后,不法分子再对银行卡进行克隆从而达到犯罪目的。
3.窃号+伪卡。不法分子利用持卡人随手丢弃的ATM机回执单盗取银行卡卡号等信息制作伪卡,然后用偷窥窃取的持卡人密码在ATM机上取款。
4.假提示。不法分子在ATM机旁张贴假的银行公告,以“银行程序调试”等为理由,要求持卡人在限定时间内将自己银行卡的资金通过ATM机转账到指定账户上,窃取持卡人资金。
5.窥号+掉包。不法分子趁持卡人在ATM机上取款时,窥视密码,然后引开持卡人注意力,其同伙快速将持卡人ATM机上的银行卡掉包,并利用窥视的密码取款。
6.假冒银行工作人员。不法分子制造ATM机故障吞卡,冒充银行工作人员以修理机器等名义骗取持卡密码等资料,制造伪卡取款。
7.假短信。不法分子假冒银行名义,利用手机短信或电话的方式,假称持卡人的银行卡在某处消费或卡的信息资料被泄露,并称其银行卡可能被伪造并使用,诱骗持卡人在ATM机上将卡内资金转入不法分子提供的账户内。
8.吞卡+假键盘或假门禁。不法分子在ATM机插卡口安装吞卡装置造成吞卡故障,让持卡人以为卡被吞而离开;同时,在ATM机键盘上贴假键盘,或安装假门禁窃取持卡人密码。然后,取出银行卡,配以获取的银行卡密码作案。
9.假帮助+掉包。不法分子选择白天正常上班时间,以等待取款为名站在持卡人附近,利用持卡人对ATM机操作不熟练以帮助为由,博得持卡人的信任,当取款即将结束时不法分子谎称持卡人银行卡被“吞”,让其去寻求银行工作人员的帮助,在持卡人离开之际,不法分子窃取持卡人资金。