考拉超收
您当前的位置:主页 > 常见问题 >

防范POS虚假交易提额度风险的建议

2019-05-20 来源:安全付 作者:婷婷

        目前,随着我国互联网和移动互联网金融产业的快速发展,POS机业务在国内得到了快速的发展,新兴智能POS产业发展迅猛,快速发展的同时也带来了各种问题, 比较典型的问题是互联网公开买卖POS机和利用POS虚假交易提额度问题。

  据调查显示,目前在互联网以及市面上出现多种品牌的POS机设备,号称“养卡神器”,通过蓝牙连接POS进行虚假交易,骗取银行信任,从而达到为其提高信用卡额度的目的,利用互联网发布手机号、微信号等联系方式售卖POS机,存在较大风险。

  一、发展现状

  (一)POS市场划分情况

  我国目前POS市场主要分为传统POS市场智能POS市场

  传统POS是银行向商户提供的一种更加快捷方便的支付结算工具,是与银行结合完成电子支付功能的销售结算终端。传统POS采用封闭式的自有嵌入式操作系统及应用程序。消费者只需持国内任何一家具备银联表示的发卡银行发行的银行卡,即可方便快捷地在POS上刷卡支付,购买您的商品、享受您的服务。

  智能POS是以移动支付为基本功能,利用智能POS配套的商户管理云平台实现收款管理、会员管理、店铺管理等,同时也可以实现商户信息管理及统计分析。智能POS采用Windows、Linux、Andriod等多种操作系统,市场上主流智能POS多数采用Android开放式系统。智能POS可以通过3G、4G、WIFI等多种网络接入方式实现网络传输数据,可以实现传统移动POS所具有的功能。智能POS根据形态,主要分为台式的智能POS和便携的手持智能POS, 均可实现移动支付功能。

  (二)POS实现功能情况

  传统POS仅具有刷卡收款功能。智能POS目前可实现功能情况包括:

  1.支持多种收款方式,包括刷卡、扫码支付 (微信/支付宝) 、声波支付、NFC支付、第三方账户支付等。

  2.提供会员管理(CRM)功能,包括会员卡、各种券管理、会员维系等功能。刷卡消费一笔即可成为会员,并利用取得的会员资料,挖掘用户的喜好。根据所谓的场景进行个性化推荐。

  3.具有营销管理功能,下发大众点评、美团等团购网站团购验券,做广告、传单、促销活动管理。

  4.提供智能POS的大数据服务,利用云平台对商户的交易数据进行分享及分析,从而实现对商户的个性化服务。

  5.智能POS可以借助云平台和快速的网络环境 (3G、4G、WIFI等), 通过云应用商店客户端界面搜索应用下载安装,或机构 (银行、第三方运营商) 登陆云应用商店后台进行配置,将应用主动推送给终端进行自动下载安装,进行快速升级。

  (三)POS市场未来预测发展趋势

  传统POS市场目前呈逐渐萎缩趋势,而新兴智能POS市场发展速度极快,将会在未来占据主导地位。原因主要有两点:

  1.随着移动互联网技术全面爆发, 微信、支付宝扫码支付、NFC支付、Apple Pay等多种支付方式可供人们选择,移动支付已越来越被大众所选择,支付方式的改变使传统POS市场面临挑战,而能为收单商户提供更多服务的新兴智能POS产业将顺势占领主要POS市场。

  2.移动支付市场交易规模的迅速增长为智能POS的高速发展提供了有利条件。根据工信部运行监测协调局最新公布数据,截至2018年9月末,移动互联网用户总数达13.7亿, 同比增长11.3%。根据央行发布《2018年第二季度支付体系运行总体情况》显示,截止2018年第二季度,移动支付业务149.24亿笔,金额为62.88万亿元。

  (四)POS市场违规情况

  POS市场发展速度很快,尤其是智能POS市场,然而发展的同时也带来了一些问题,例如互联网公开买卖POS和利用POS虚假交易提额度的问题。

  1.违规案例1:某电子科技有限公司以销售POS品牌为“某刷A”,支持手机蓝牙接入,其对外宣传称,“某刷A”持有央行支付授权牌照,支付公司为某某支付有限公司,办理业务清算方式为央行直接清算。使用“某刷A”门槛低,只需身份证、银行卡即可办理。即交易基本流程如下:某刷A进行交易时模拟定位为本市真实商户,模拟GPS定位为省内本地备案。在办理刷卡业务时每刷一笔自动切换商户,使虚假交易数据看起来更加真实。信用卡单笔可刷5万元,单日到账额度30万元。刷卡时间为每天7点-22点40分。为模拟交易真实,通常虚拟交易早上模拟为宾馆,酒店,早餐店等商户;上午模拟为超市、电器、建材;中午模拟为各类餐饮饭店;下午模拟为黄金珠宝礼品店、百货、服装等;晚上模拟为KTV、夜总会、休闲会所。

  

         2.违规案例2:另有一家电子科技有限公司销售POS品牌为“某刷B”,支持手机蓝牙接入,适用所有主流智能手机手机和PAD终端。其对外宣传“某刷B”是银联卡检测中心、银联受理终端双重认证、国家颁发银联支付牌照。支持D+0、T+1两种到账模式,且拥有银行颁发支付业务许可证。其交易基本流程同上述“某刷A”相同。

  二、POS机虚假交易提额度存在的风险

  (一)消费者个人信息泄露风险

  非法交易的智能POS可以记录消费者的每一笔消费交易数据,在利用智能POS的大数据服务进行分享及分析时,消费者的个人消费交易数据实际上已经遭到了泄露, 而且在整个过程中并未获得消费者的任何授权和许可。非法交易的智能POS将成功消费一笔商品的消费者提升为会员,并利用取得的会员资料进行个性化推荐,在此过程中,消费者的个人信息仍然存在着泄露风险。智能POS多数采用Android开放式系统,与传统POS系统相比,智能、开放式的操作系统更易遭受信息泄露风险。例如2017年在GEEKPWN安全极客大赛上海站上,盘古团队两名队员利用智能POS系统漏洞替换关键应用软件, 5分钟内获得所有POS消费者刷卡信息,并复制消费的银行卡后,在另一台智能POS机器成功进行消费。

  (二)违规经营的风险

  通过国家工商局经营范围查询,以上两家电子科技公司均不具有相关售卖资质,且根据人民银行发布的《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发[2016]261号)规定,自2016年12月1日起,任何单位和个人不得在网上买卖POS(包括MPOS)、刷卡器等受理终端,而以上两公司利用互联网进行售卖POS行为,均属违规经营。

  (三)违规虚假宣传的风险

  不具有合法宣传资质。上述两公司在宣传中均显示其拥有央行支付授权牌照信息,其中一家使用某某支付有限公司牌照,属于冒名宣传。使用诱导宣传用语。上述两公司在其广告中使用“刷卡、养卡提额”等宣传标语,这是诱导持卡人采用违规刷卡,以获取与自身收入状况、经济能力所不符信用额度的行为。

  (四)伪造虚假交易的风险

  为银行识别其真实交易行为带来困难。以上两种POS自动GPS定位省内本地,同时多时段切换模拟商户进行刷卡虚假交易,为银行识别其真实交易行为带来困难, 有极强迷惑性。容易给银行带来资金风险。在其虚假交易不易识别的情况下,银行会误以为其交易行为是正常交易行为,容易为其进一步提升其信用额度,一旦持卡人资金链断裂,将会给银行带来资金风险。

  (五)洗钱风险

  持卡人在利用以上非法POS进行虚假交易时,其利用虚假交易掩饰、隐瞒非法所得的来源,该行为则具有明显洗钱特征,涉嫌洗钱犯罪。以上非法POS均在网上销售,不法分子极易获得以上违法POS机,因网上销售的便利性及隐蔽性,这为相关监管带来不便。

  三、相关建议

  (一)制定智能POS功能标准

  建议规范及细化智能POS功能标准,明确智能POS允许功能和禁止功能。对消费者交易数据及个人信息除在必备交易时间内保留外禁止留存于智能POS存储空间内。禁止智能POS将消费者交易数据上传至云平台上进行大数据分析。禁止智能POS收集会员资料并利用取得的会员资料对消费者开展个性化推荐。禁止智能POS使用开放式操作系统,禁止智能POS开放私自安装应用软件及升级功能。

  (二)建立POS机特种经营模式

  加强对POS机销售商监管,对其网站售卖行为进行备案。对违规售卖POS具及时通报工商、信息化产业部、公安,实行联合监管。将POS作为特种经营金融机具, 严禁非银行类金融机构与第三方支付机构生产、销售POS机具。建立POS安全产品准入标识识别制度,对当前市场上存在的POS机具重新认定准入发放,有效清理当前市场上存在的违法POS机机具。

  (三)开展POS机违法销售广告治理

  建议监管部门联合开展POS违法销售广告治理。加大金融知识普及力度,提醒消费者了解支付业务最新法规知识,使用正规渠道刷卡消费。加大对POS机违法销售的惩处力度,提高不法分子违法销售的犯罪成本。

  (四)加强特约商户业务管理

  监管机构应加强对特约商户业务收单机构监管。对收单POS来源及资质要做严格审查。银行机构应定期分析特约商户交易数据,判定收单机构是否有资格和能力开展此类业务。银行机构要对持卡人交易数据进行大数据分析,严查虚假交易行为,对存在虚假交易行为持卡人建议记入个人征信黑名单。

  (五)精准识别打击洗钱行为

  督促金融机构和支付机构尽快落实客户身份识别制度,加强对客户以及POS商户异常可疑交易的大数据工作。建议开展POS虚假交易和洗钱行为数据鉴别分析,探索建立洗钱行为交易模型。开展多部门联合执法行动,合理分工,明确各部门职责,共同打击洗钱行为。统一各金融监管机构内部反洗钱部门,实行合署办公,设立金融机构反洗钱中心,切实为查办洗钱行为提供机制保障。