近年来,一类利用银联卡小额“免密免签”(即银联卡持卡人在指定商户进行小额消费时无需输入密码或签名即可实现支付)功能默认开通漏洞,进行银行卡“隔空盗刷”的新型犯罪案件正在增多。
银行卡还在
钱却被一笔笔刷走
2018年11月中旬以来,广州市公安局南沙分局鱼窝头派出所接到多起群众报案,称被人盗刷银行卡资金。据事主反映,他们都曾在一条美食街逛街,当时银行卡在自己钱包里,但卡上的钱不翼而飞。
据鱼窝头派出所办案民警刘警官介绍,犯罪嫌疑人正是利用银联卡小额“免密免签”功能默认开通的漏洞,实施了不法行为。
作案手法是将设置好的POS机装进一个普通的男士夹包,然后物色下手对象。
刘警官说,芯片卡默认开通小额“免密免签”支付功能,小笔金额的消费不需要输入密码或者签名,只要POS机感应到芯片卡的闪付功能,就会自动付费。
“免密免签”漏洞
可能被滥用
“默认开通小额‘免密免签’功能,是此类案件中最大的问题。”
从事网络安全研究的四叶草安全研究院院长赵培源等安全技术专家认为,此漏洞属于硬件底层漏洞,尚无法通过软件升级等方式来规避。
因而默认关闭用户的小额双免功能,并为对该功能有需求的用户提供防盗刷卡套,是解决该问题的唯一途径。
据调查,犯罪团伙在网络上即可买到售价不足千元的授权POS机,随后通过提供他人身份证和银行卡,并利用伪造营业执照,就能轻松通过相关金融部门的审核,这说明相关审核体系存在漏洞,也说明不法“个别商户”可能会不时出现。
此外,不少用户对默认开通的“免密免签”功能仍毫不知情,用户端防范意识弱。
一些银行在用户办卡时未履行告知义务;银联方面称通过短信、网站等方式的提醒,也可能被用户当做垃圾信息忽略掉。