身为一家知名IT公司部门主管的刘斌至今仍心存不安。2005年6月22日下午,刘斌接到招商银行打来的电话,告知他Visa已通知银行,他的个人资料可能泄密,现有的信用卡停止使用,需要马上补寄新卡。刘斌这时仍不知道几天前在美国已经闹得沸沸扬扬的“信用卡大泄露事件”,随即打电话到Visa询问,但Visa拒不承认。而招行方面的答复则是:“责任肯定在Visa,不过问题发现得早,重新换卡就行。”
万事达卡国际组织早在2005年6月17日晚就已经宣布,一名黑客高手侵入了“信用卡第三方付款处理器”的网络系统,可能造成包括万事达、Visa、American Express和Discover在内的各种信用卡多达4000多万客户的数据资料被窃,其中万事达信用卡客户有1390万个,Visa信用卡的客户则多达2200万个。
刘斌是其中少数的中国客户之一,尽管大半个月已经过去,但对发卡行和卡组织的暧昧态度,刘斌仍有怨言。对于卷入这一事件的几家中资银行信用卡中心来说,过去近一个月的时间里,国内对信用卡使用安全的不信任情绪迅速蔓延是最令他们头疼的。“现在还在做一些安抚和补救工作,”某国有商业银行信用卡中心负责人告诉记者。
发生在美国的“泄密事件”仍在调查过程中,但泄密的关键环节已经清楚,一家叫CardSystems的公司非法储存信用卡交易资料,从而导致黑客得手。而这家公司专为万事达、Visa等国际卡组织做中间业务,每年处理的信用卡交易超过150亿笔,它在由发卡行、收单行、商户以及卡组织为主要要素形成的信用卡产业链条中处于“商户到收单行”之间的环节。在不少信用卡专家看来,这也是最容易出问题的一个环节。而在更多的显形或隐性环节中,信用卡安全隐患同样无处不在。
信息泄露可能从制卡开始
董铮做了5年多的商业银行外部营销业务,用业内人士的说法,就是信用卡委外代理业务或是委托营销业务,主要分包发卡行在信用卡申请和推广两个环节的工作。他经历了信用卡委外业务发展的各个历史阶段,应该算是元老级的业务人员,自称对信用卡感情很深。
但在2005年5月,董铮决定退出这一行业。在他看来,目前国内的市场环境,已经越来越不适合信用卡委托代理业务的发展。“目前这个行业竞争太激烈了,很多委外公司找不到赢利点,导致一些委外公司在经营思想上出现了偏差。”有不少信用卡委外公司开始越来越偏离本来的业务范围,凭借行业资源和对银行办卡程序的熟悉,干起帮人套现的“桌面下”的生意。
另一方面,一些相对正规的信用卡营销代理公司盲目求全求大,忽视了基础业务的发展,在这一过程中,国内信用卡委外代理的种种问题开始暴露出来。“专业性不强、盈利模式单一以及管理混乱等等都让其距离合格的银行服务商越来越远。”在董铮看来,随即而来的便是不少商业银行对委外代理业务采取了封杀态度。董铮称:“即便是以委外为主发展信用卡营销的银行,委外政策也一直在缩紧。”
在经营手段上面,部分委外公司的一些做法已经开始直接伤害到发卡行。“有些委外公司的业务人员在做信用卡代理销售的过程中,把客户资料私自截留。”董铮告诉记者,这些资料有的卖给其他商家,导致客户资料外泄。但最为可怕的是这些业务人员有可能跟假卡集团勾结起来制造假卡,然后不断透支。
“客户资料一般来说是由发卡行保管,但不少信用卡客户都有过被其他商家骚扰的经历,很多都是在委外发卡环节资料泄密造成的。”董铮说道。
而在制卡环节,信用卡磁条信息同样存在外泄可能。目前全球市场上,磁条卡仍然唱主角。国外发卡行制卡流程一般是发卡行向卡生产制造商下单,之后将一批批空白卡交给制卡公司写磁。“每张卡的磁条信息都有固定的格式,有一定的规律可循,账号和发卡日期可以很容易获得,而对于熟悉信用卡制作流程的从业人员来说,在一批卡中知道了一张卡的磁条信息,就能推算出其他同批次卡的基本资料。”源讯信息技术有限公司高级业务顾问张宁东告诉记者,这也就意味着,只要制卡公司有内部人士对外透露一张信用卡的信息,就等于整批卡的资料有可能被集体泄露。
在国内,制卡公司的使用并不普遍,多数情况下发卡行购买一定数额的制卡机自行制卡,但流程和制卡格式都是统一的,同样存在内部员工监守自盗的风险问题。事实上,类似的案件已有发生,2004年国内某家银行刚刚发行一批信用卡,同一批次的假卡几乎同时出现,使得该银行不得不为客户重新换卡。
5分钟内刷出假卡
在马来西亚使用信用卡,5分钟之后同样一张卡就可能出现在美国并开始交易。这听起来令人难以置信,但这样的情形却是真实存在的。Visa、万事达等卡组织曾多次提醒自己的客户尽可能不在东南亚特别是马来西亚刷卡。
马来西亚旅游业发达,外国游客众多,在消费市场上也是国际信用卡使用数量最多的国家之一。这为假卡集团进行跨国界作案提供了便利条件。
“马来西亚的很多商场、酒店都装有POS机,问题往往出在这里,”张宁东说。有不少POS机可能装有盗卡器,在客户每次刷卡的时候,这种盗卡工具可以将信用卡的基本信息记录下来。“只要有了这些基本信息,复制一张信用卡就变得十分方便。”而假卡集团一般是在马来西亚窃取信用卡资料,然后在一两分钟内通过互联网等便捷的通讯方式将其传到以美国为主的大马境外,将卡复制后疯狂刷卡。正因为如此,不少游客从马来西亚回国后,发卡行都会建议客户换卡。
客户在商户终端设备刷卡而被窃取信息的现象并不仅仅出现在马来西亚,事实上,在很多国家这已成为磁条信用卡被盗用的主要原因。曾经发生过这样一件有戏剧性的事情。有一位万事达卡国际组织的管理人员来给国内某银行信用卡中心的员工讲解信用卡的安全问题,此人在中午吃饭的时候刷了卡,一周之后他发现自己的卡被人盗用了。
在张宁东看来,磁条卡本身的安全系数较低是其中的主要原因。他说:“固有的格式是业内共知的,知道了卡号、使用期限之后,只要按照格式复制磁条信息,一张信用卡能够很方便地复制出来。”不少装在POS机里面的盗卡器也已经变得越来越小,一般情况下刷卡用户很难察觉,在不经意间就将自己的信息“出卖了”。
另一方面,在接受信用卡的时候,几乎没有哪家商户会特意去对照客户签名,收单行也不可能去核对,这也使盗卡者有了可趁之机。而商家逐利的天性使他们往往在发觉某一顾客信用卡明显有问题的时候也不会制止,任凭其刷卡。
张宁东在广东经常会被公安部门拉去研究信用卡盗窃的案子。“在不少案子中,其实有很明显的痕迹能够说明卡在被盗用,”张宁东表示。很多盗卡者在商场持卡消费的时候,往往会挑选大宗商品,有时候甚至一些电器要买好几宗。更为明显的是,在商场可以送货上门服务的情况下,这些盗卡者一般都会选择自己运走的方式。但这个时候,很少有商场工作人员会对此表示质疑。“其中有一个案子,盗卡者一天之内在同一家商场刷了几百万元人民币,这种再明显不过的盗卡行为都没有被商场发现和制止。”一位知情人透露。
在许多假卡集团里面,主要有“车手”、“车王”两种身份的人,“车手”是被“车王”雇佣专门去刷卡购物的小角色,在用假卡买了大量商品之后根据消费额度从“车王”手中提成。“当时我们经常会接到香港警方那边的消息,说有一批‘车手’进入大陆地区。而由于商户对盗卡行为的‘不作为’,使得不少香港过来的“车手”,往往能从深圳一路刷到沈阳。”张宁东的语气中有几分无奈。
一位业内人士也表示,“在不少盗卡事件中,商户应该负有一定责任。”但目前对这一问题的认定仍然很模糊。而对发卡行来说,防欺诈管理系统的建立已经开始起到预警作用,国内不少银行信用卡中心都提供了短信提醒功能,而当某一信用卡用户出现反常消费现象时,一个好的防欺诈系统能够察觉到,并及时与用户确认。但要确实杜绝信用卡被盗的现象,“目前看来还不太可能,”张宁东提醒用户只能尽量小心—“不要让你的卡离开你的视线。”
