人在国内,卡在家中,钱在巴西没了。“人在广州,昨天被刷两笔巴西雷亚尔,每笔6000多元。”家住广州的夏小姐遭遇飞来横祸,两笔原始金额为4925巴西雷亚尔(巴西官方货币名称,代码是BRL),约合1.3万元人民币的金额就被盗刷了。
这并不是一起个别事件。在社交平台上,多名用户反映遭遇了同样的噩梦——名下浦发银行万事达信用卡在毫无预警的情况下,在巴西等国被盗刷,金额从数千元至数万元不等。而此时,他们大多身在国内。
记者发现,此次浦发银行万事达信用卡大规模盗刷事件具有多个共同特征,某个社交平台群聊中的受害持卡人已达300多人,以普遍被盗刷2万元估算,此次大规模盗刷事件损失金额达600多万元。
用户毫不知情、无境外交易行为的情况下,同一信用卡产品短期内集中出现境外盗刷,此次盗刷事件有哪些共同特征?损失谁来承担?持卡人如何应对?
被盗刷的是哪些卡?
浦发万事达“红沙宣”卡
“您信用卡交易巴西瑞尔4999.99已成功记账,记账金额人民币6597.28。”一名持卡人给记者的截图显示,9月11日,他先后收到三条信用卡记账短信,在没有授权、毫不知情的情况下被盗刷了1万多元。短信内容显示,这张信用卡先是被试探性刷了20BRL,然后连续刷了两笔4999.99BRL,三笔金额换算为人民币为13220.84元。
正是在9月10日至12日这几天,高达300多名浦发万事达卡无价世界卡的持卡人先后收到入账短信,账单显示他们在巴西进行了刷卡消费,但他们大多数都身在国内,甚至从未去过巴西,不理解为何这笔交易从天而降。
遭遇损失的持卡人都是同一个信用卡品种,即浦发银行与万事达联合推出的旧版“无价世界卡”,这张卡由于卡面为暗红色,因此被称为“红沙宣”卡。
“红沙宣”卡属于全币种国际信用卡,用户使用该卡在境外消费,可以通过人民币还款,主要面向境外消费需求较高的持卡人。公开资料显示,该卡持卡人通过万事达线路在全球刷卡的所有消费,每笔可享1%返现,同时有消费满额季度与年终返现。
大规模盗刷有什么特征?
“一小”试探,“三大”盗刷
“卡片一直在我手上,我人也在国内,怎么可能有境外消费?当时我就蒙了。”持卡人毛先生在9月12日中午,收到4条交易入账通知,显示成功记账,境外消费总金额接近2万元。
毛先生的经历和大多数“红沙宣”卡盗刷受害人有共同特征——“一小三大”交易,即先小额消费,确认卡片可以使用,金额在人民币2—5元。随后,连续三笔大额支出,金额不超过5000BRL,约合人民币6500元。
多名盗刷受害持卡人的交易信息截图显示,异常交易的单笔交易金额多在4900BRL,似乎有意避开5000BRL的风控预警阈值。
“一小三大”的盗刷之下,“红沙宣”卡盗刷受害人受损金额在2万元左右,盗刷的地点都是巴西,集中在9月9日和10日。甚至有受害人被盗刷的额度已经大幅超出其信用卡授信额度。
盗刷交易的商户类别五花八门,包括出租车服务、休闲饮品场所、机动车维修保养、化妆品商店等,甚至有“其他计算机维护与修理服务”“木材和各类建材卖场”等。
博通咨询金融行业首席分析师王蓬博分析,浦发万事达无价世界卡的批量盗刷,和以往零散的信用卡盗刷不同,呈现出高度组织化、精准化的攻击特征。
为什么会被盗刷?
“黑客”吃透风控规则定向操作
同是“红沙宣”卡、类似的盗刷方式,境外盗刷者精准地选中了旧版“红沙宣”卡作为突破口。为什么“红沙宣”卡会成为盗刷对象?
针对此次浦发银行万事达无价世界卡集中在巴西出现盗刷的原因,浦发银行客服对受害持卡人反映,目前暂未锁定具体原因,但不排除信用卡信息通过网络渠道泄露,或在POS机使用过程中发生信息泄露的可能性。
业内人士多认为,集中盗刷事件可能涉及黑客攻击或支付环节信息泄露。
王蓬博表示,这次浦发万事达无价世界卡的批量盗刷,不仅专门锁定单一卡种、交易地点集中在巴西,还刻意规避消费金额的阈值,明显是黑客吃透了卡组织与银行的风控规则后实施的定向操作,而非过去随机的信息泄露或物理盗刷。
“信用卡被攻击,是每天都会发生的事。但是这个漏洞在某一个特定的时间被一群特定的人群攻击成功了,造成了这一个事件。”一位资深信用卡专家解释,应是发卡行或卡组织被“撞库”,被找到了相关信用卡产品安全防火墙的某个漏洞,最终造成了集中盗刷。
王蓬博进一步认为,技术层面指向可能利用万事达支付链路接口漏洞或风控盲区,这本质是对跨境支付体系底层安全的突破,而非单点用户信息泄露。“除了批量攻击导致的集中损失,更暴露万事达自身风控的问题,这会直接削弱用户对跨境支付体系的信任,对行业合规公信力的冲击远大于单次零散盗刷。”
薄弱环节在哪里?
跨境交易监控滞后
“红沙宣”卡使用了EMV标准芯片介质,技术上被认为相对安全,并非传统容易被盗刷的磁条卡。“原来都认为芯片卡是最安全的支付方式,现在看来技术上芯片卡升级不彻底也会存在问题。”王蓬博认为,此次大规模盗刷事件暴露的隐患非常多,特别是芯片卡技术升级的问题。
大多数持卡人在损失形成时,已错过了挽回的时机。大多数“红沙宣”卡持卡人反映,交易发生在9月9日,他们在被盗刷时并没有收到任何通知与信息提示,直到9月11日后才收到入账信息,如毛先生在9月12日收到的信息,实际上是延迟的入账信息。
迟到两天的警报,让本可以第一时间冻结卡片、阻止后续损失的机会化为泡影,甚至不少持卡人在挂失后才收到被盗刷的交易信息。
王蓬博认为,这也暴露了流程上跨境交易监控滞后,巴西等地盗刷未触发实时预警,反映出异常交易监测机制失效。“支付安全薄弱环节集中在跨境风控断层、应急响应迟缓,以及银行与卡组织风险数据共享不及时等。”
后续情况如何处理?
持卡人不用承担损失
面对这一突发事件,浦发银行于9月13日凌晨发布了公告,表示监测到部分万事达无价世界卡发生未经授权的交易,信用卡中心与万事达卡组织第一时间启动应急响应,及时发现并阻断了风险。
浦发银行表示,避免客户承担不应由其承担的损失,全力维护客户合法权益。
卡组织万事达卡及万事网联同样表示,与发卡银行一起第一时间启动应急调查,成立专项小组追溯风险源、阻断潜在风险,并共同推进相关持卡人的资金保障流程,避免持卡人承担不应由其承担的损失。
有持卡人被盗刷账单已清零。多名持卡人反映,银行承诺客户无需承担相关盗刷损失。
如何及时预防盗刷?
挂失、报警、留足证据
境外交易环节是信用卡盗刷的高发区,部分境外商户仍使用相对宽松的验证方式,为盗刷留下了空间。
资深信用卡专家表示,系统漏洞被攻破相当于“城破了”,个人只能做好自我防护,把“门锁上”。
如今,在大多数银行的手机APP里,“一键锁卡”或“关闭境外交易”几乎成了标配。若无境外支付需求,持卡人可主动关闭信用卡的境外交易功能,或仅在出境时临时开通。
王蓬博也进一步提醒,持卡人都要开通实时交易提醒,定期核查账单,关闭非必要境外支付功能。
值得注意的是,使用实体卡时,要注意遮挡实体卡信息,妥善保管卡号、有效期、姓名、安全码这些信用卡“四要素”。王蓬博提醒,持卡人应保护好敏感信息,避免卡片脱离视线。
那么遇到盗刷应该如何处理?一旦发现盗刷,应立即联系发卡行挂失止付。“信用卡结算是需要时间的,挂失后的风险由银行承担。”资深信用卡专家表示,持卡人遭遇到盗刷后,通过就近ATM或POS机进行一笔交易,以留存卡片在本人处、盗刷非本人操作的关键证据,同时需要向公安机关报案,有助于后续维权与追损。
王蓬博表示,持卡人遇盗刷立即“挂失”“报警”并保存回执,通过银行APP留存真卡所在地证据,借助举证责任倒置规则维权,确保损失可追溯追偿。
“证明交易不是自主行为,损失基本上都能挽回。”资深信用卡专家认为。
南方+记者 黎华联
网络股票杠杆提示:文章来自网络,不代表本站观点。
