2020-11-16 来源:北方金融 作者:杨青枝
一、POS终端安全问题引发的社会危害
(一) 银行卡盗刷。
银行卡盗刷也称“伪卡盗刷”或“伪卡欺诈”, 指不法分子通过改装POS终端、在POS终端上安装测录设备或者在主板上加装银行卡侧录器等方式, 侧录、盗取持卡人的银行卡支付敏感信息, 包括卡号、密码等, 仿制一张与发卡银行所发的磁条银行卡相同的伪卡, 并利用伪卡进行取现、消费、转账等行为。银行卡盗刷的直接表现为持卡人的银行卡虽然安全保管, 但银行卡上的钱“不翼而飞”, 给持卡人、商户、发卡行带来无法估量的损失。
据央视《焦点访谈》2016年12月6日晚报道, 江苏宿迁等地警方于近日破获一起特大盗刷银行卡案件, 涉案金额1000余万元, 案件涉及全国18个省市共200余起, 不法分子通过拆装POS终端植入一个芯片模块, 在持卡人刷卡消费时趁机复制、窃取银行卡信息, 给社会造成极其恶劣的影响。
(二) POS终端“切机”.
所谓“切机”, 类似手机的“刷机”, 不法分子以设备维护、系统升级、降低费率、提高资金到账速度等手段为借口, 更换商户POS终端程序或修改POS终端系统底层参数, 变更收单机构、商户或后台绑定的银行卡账户等信息, 从而达到盗取商户资金或盗取收单手续费的目的。
中国银联发布的《2014年上半年银行卡受理市场规范工作通报》显示, 根据有关机构投诉, 乐富、中汇等机构为扩大收单市场份额, 授意或指使外包机构利用切机抢夺商户资源, 加剧了收单机构间恶意竞争。
据通联支付网络服务股份有限公司内蒙古包头业务部 (简称通联包头业务部) 反映, 2015年至2016年通联包头业务部先后发生了数十起被切机的现象, 一些不法的支付机构, 如随行付、瑞银信、中汇支付等支付机构下面的代理商以回收POS终端设备为由, 通过修改设备的底层程序、系统配置参数等手段, 伪造商户名称和代码, 更换资金清分路径, 达到非法收益、抢占市场份额的目的, 给收单机构、商户造成了一定的经济损失和其他负面影响。“切机”这种违法行为不需要购买设备, 违法成本较低, 行为性质恶劣, 严重扰乱了支付服务市场秩序。
(三) 违法经营或卷款跑路。
近年来, 随着互联网的普及, 网上非法买卖POS机 (包括MPOS) 、刷卡器等银行卡受理终端屡禁不止, 不法分子往往以入网门槛低、费率优惠、到账快等为诱饵, 诱骗商户安装一些无证收单机构的POS终端设备, 不受相关监管规定的约束, 导致信用卡套现、洗钱等违法犯罪行为的发生, 或挪用商户结算资金“跑路”的风险事件。
据中国经济网报道, 2016年3月, 浙江省宁波市的18名商户举报称, 从代理商勤丰华能手中购买的通联支付POS机, 在使用一段时间后资金无法到账, 被代理商卷款420多万元跑路。
二、POS终端安全隐患的成因分析
(一) 部分终端设备不符合安全规范。
按照中国人民银行发布的《银行卡销售点 (POS) 终端技术规范》等三项行业标准的要求, POS终端应具备防拆开关、斑马条、mesh电路等软硬件电路防护机制, 防止终端被加装非法电路或改造。但在调查中发现, 目前我国现有的POS终端生产厂商有几百家, 其中规模较大的有惠尔丰、联迪、百富、新国都、新大陆等厂商, 较小的有信雅达、升腾、华智融等, 第三方支付兴起后, 移动POS厂商更是数不胜数, 执行的安全标准不尽相同, 部分厂商生产的POS终端不符合安全标准, 如江苏宿迁等地警方破获盗刷银行卡案件中, 犯罪嫌疑使用的福建联迪商用设备有限公司生产的联迪E550型POS终端没有任何防拆、防破坏措施等。
人民银行包头市中心支行在对包头市POS终端安全和标准符合性检查中发现, 有4%的POS终端设备没有张贴防破坏标签, 近12%的POS终端设备没用配备防拆开关、斑马条、mesh电路等措施, 不能有效防范POS终端被改造或加装非法电路, 存在较大的安全隐患。
(二) 部分商业银行和收单机构不严格执行制度。
为保障银行卡应用安全, 中国人民银行做了大量的工作, 先后起草、制定、下发了一系列的标准、规范和实施意见。早在2011年就发布了关于推进金融IC卡应用工作的实施意见, 要求收单机构优先改造受理环境, 确保所有的受理终端都能够受理金融IC卡;此后的五年间曾多次发文就金融IC受理环境改造、电子现金跨行圈存、小额快速非接触商圈建设及各项试点工作进行了安排部署。为了避免由于金融IC卡降级交易可能产生的伪卡欺诈风险, 中国人民银行于2014年专门发文对关闭金融IC卡降级交易的期限做了规定, 要求所有发卡行、收单机构都应于2014年10月31日前关闭境内POS渠道降级交易。2015年又对银行卡非接受理环境建设及非接受理流程改造的进度进行了明确。但在实际工作中, 个别发卡银行和收单机构由于受自身条件的限制或出于对成本、效益的考虑, 没有严格执行人民银行的相关规定。
一是个别发卡行没有按照规定从发卡端关闭金融IC卡的降级交易, 导致部分金融IC卡的信息被不法分子盗用, 仿制出卡号、密码等关键信息相同的有效磁条卡, 实施银行卡盗刷。
二是个别收单机构没有按要求完成非接受理环境的改造, 持卡人消费时必须使用实体卡操作, 存在银行卡信息泄露风险。以包头市为例, 截至2016年9月末, 包头市可以汇总统计的POS终端有81300台, 支持非接的POS终端61943个, 非接改造的完成率为76.20%.
三是部分银行和支付机构对商户资质审核不严、受理终端或网络支付接口管理不规范, 为不法分子利用银行、支付机构的支付服务从事违法犯罪活动提供了可乘之机。近年来, 各收单机构为追求市场份额, 重业务拓展、轻安全管理, 对特约商户资质审核不严格, 对在用的终端设备缺乏长期有效的跟踪监督和安全管理, 对闲置的终端设备没有及时回收并办理退出手续, 存在一定的安全漏洞。此外, 部分收单机构采用第三方外包形式安装、维护POS终端, 对外包人员疏于管理, 对终端设备读卡模块等这些关键部件的维护及密级参数修改等, 没有严密的审批流程和监督机制;极易引发安全风险。
(三) 持卡人和商户安全意识不强。
在对包头市POS终端安全和标准符合性检查中发现, 部分商户对POS终端的安全隐患认识不足, 设备随意放置、相互借用、移机等现象普遍存在, 有的商户抱着宁多无缺的态度安装了多家收单机构的终端, 设备闲置率高, 管理混乱, 为不法分子或别有用心的人提供可乘之机。
部分商户法律意识淡薄, 受无证支付机构的蛊惑, 贪图眼前的利益, 安装低廉甚至是免费的银行卡受理终端, 开展信用卡套现、违规经营等;部分持卡人安全保密意识淡薄, 认为只要卡在手中就万无一失, 在购物消费时, 随意暴露卡号、密码等银行卡支付敏感信息等, 引发多种安全隐患。
三、相关建议
(一) 加强对POS终端设备的安全规范管理。
银行卡受理终端属于金融服务专用设备, 其技术标准符合性和安全防护等级直接关系到客户信息安全、资金安全和支付服务市场秩序, 为此中国人民银行重新修订并于2016年9月6日发布了《银行卡销售点 (POS) 终端技术规范》等三项行业标准的要求, 分别从POS终端硬件要求、软件要求和安全加密技术等方面提出了新的标准, 各收单机构和POS终端生产厂商都应严格执行相关标准, 从生产、流通、申领、安装及使用管理等各个环节严格把关, 杜绝不符合技术标准、被非法改装过的终端设备流入市场, 有效防范和打击伪卡盗刷、POS终端切机等违法行为。
(二) 加快推进金融IC卡和移动金融的应用进程。
一是要继续推进金融IC卡的发卡力度, 加快磁条银行卡向IC卡应用迁移的进程。二是继续完善金融IC卡受理环境。各发卡行应严格按照人民银行的要求, 及时关闭金融IC卡ATM渠道、POS渠道降级交易;各收单机构优先改造受理环境, 加快非接受理环境建设及非接受理流程改造的进度, 努力营造安全、便捷的用卡环境, 切实保护商户和持卡人的利益。
(三) 加大对特约商户的日常管理和监督检查。
各银行卡收单机构应严格落实银行卡收单、网络支付相关监管制度规定, 切实履行商户资质审核、风险管理、受理终端和网络支付接口管理等责任, 确保商户为依法设立且经营活动合法合规, 严防虚假商户申领受理终端或开通网络支付接口、违规移机使用受理终端、违规布放移动受理终端等问题。同时各收单机构应在规定时间内核对全部受理终端的使用地点, 对于违规移机使用、无法确认实际使用地点的受理终端一律停止业务功能, 防止受理终端流入不法分子手中用于从事非法活动。
各收单机构要加强对其外包服务商或代理机构人员的管理, 认真签订安全保密协议, 建立全程跟踪监督、定期巡查和责任追究制度, 及时发现和排除风险隐患, 努力从源头上减少银行卡被复制盗刷, 确保持卡人的用卡安全。
(四) 利用科技手段对POS终端交易进行风险监控。
充分利用大数据分析、身份识别、用户行为建模等高科技手段, 建立POS终端事前入网身份识别、事中数据校验、事后交易风险防范多层次的管理机制。在入网环节, 将身份信息、密钥等内置于安全模块中, 实行终端注册管理机制, 从源头上确保终端的合法性。在交易环节, 利用大数据分析和交易行为建模, 自动校验、筛查交易记录, 有效甄别银行卡盗刷、终端切机、移机等违规行为。利用风险信息共享机制, 提高违规交易追溯效率, 及时预警异常交易, 并采取调查核实、风险提示、延迟结算等管控措施, 有效防范POS终端的交易风险。
(五) 普及银行卡安全知识, 提高从业人员、持卡人的安全意识。
各商业银行充分发挥分支机构多、营业网点分布广、客户资源多等优势, 通过举办大型培训、讲座, 设立咨询台、LED屏滚动、张贴海报、排放展架和折页等多种形式宣传银行卡安全用卡知识。各收单机构应重点开展对金融从业人员、商户和收银员培训, 特别是针对受理复合卡的业务员, 督促其正确读取芯片信息, 熟练掌握非接受理机具的使用方法, 切实提升金融IC卡和移动金融的用户体验, 努力培养安全的支付习惯。
