杭州的刘女士两天前在一家旅游订票网站预订了一张杭州直飞北京的机票,并选择用某股份制银行的信用卡快捷支付。看到支付页面时,刘女士傻了眼:不需要有效期、验证码,只要输入信用卡末四位卡号,支付就完成了。“如果不法分子知道我的信用卡卡号,就能轻而易举盗刷了。”刘女士对此忧心忡忡。
目前,国内大多数主流订票网站和航空公司均提供信用卡支付服务,无卡、无密码交易越来越普及。不同网站设置的交易门槛不一,需要提供的信息大致包括卡号、有效期、验证码等,部分网站为了方便客户,在持卡人第二次选择信用卡快捷支付时,就出现了上述刘女士遇到的情况,只要输入卡号末四位即可。
在互联网金融时代,我们的身份信息、卡片信息无不一一暴露于网络或者手机上,在网上注册时需要提供身份证号和手机号,使用信用卡管家APP软件时需要上传卡号、账单邮箱地址,有的甚至要求实拍信用卡正、反面照片,这在手机恶意软件、网络病毒和黑客肆虐的今天,无疑加剧本就岌岌可危的用卡安全风险。
网上支付选择“保存至常用信用卡”再支付时只需卡号后四位
只要信用卡16位卡号和有效期,就能轻易实现盗刷。别以为这是假的,昨天,记者亲自在一家旅游订票网站上体验了把疯狂盗刷。
点开该家旅游订票网站团购页面,记者选择了一家团购价为99元的连锁酒店,点击“抢购”键进入信息页面,填写了完整的手机号码后确认支付,系统跳转到了支付页面。
记者选择了Z银行的信用卡支付,需要填写的信息包括信用卡16位卡号和有效期。经过朋友王鑫(化名)的同意,记者填写了他的信用卡卡号和有效期,确认提交后,很快系统就提醒该笔交易成功,包含酒店订单号、券号、密码等信息的短信发送到了记者手机上。与此同时,王鑫与Z银行信用卡中心绑定的微信提示交易提醒信息,示意预授权交易扣款成功。
“这么简单,盗刷就成功了?”王鑫觉得不可思议,是不是因为交易金额太低,Z银行才设置了如此低门槛的支付流程?
随后,记者选择了一张从杭州飞往云南,票价为5000元左右的头等舱机票,填写了姓名、身份证号、手机号等信息,仍然选择Z银行的信用卡快捷支付。因为第一次支付时系统默认勾选了“保存至常用信用卡”一栏,第二次购票时,系统提示记者需要填写的信息为卡号后四位。凭着记忆输入王鑫信用卡后四位卡号后,机票购买也显示成功,出发时间、航班号、起飞时间等信息在几分钟后发送至记者手机。
只有Z银行的支付环节如此简单?其实不然。在该旅游订票网站,有16家银行的信用卡支持快捷支付,如果是首次支付,J银行、H银行和Z银行一样,持卡人只需要提供卡号和有效期,P银行需要提供卡号、有效期、验证码和证件号码,G银行要求提供的信息最全面,包括持卡人姓名、卡号、有效期、验证码和证件号码。
“保存至常用信用卡”一栏,被很多持卡人忽视,用户只能自己点击取消。记者发现,在16家银行的支付页面,均设置有这一栏,意味着在第二次支付时,用户需要输入的信用卡信息仅需卡号后四位。
无独有偶,记者打开了另外一家旅游订票网站的支付页面,同样在最下角设置有“记住此卡,下次支付更便捷”等字样。
手机信用卡助手软件会强行记录信用卡信息
在信用卡领域,一些信用卡管家APP软件风生水起,几乎有卡一族人手一份。
在记者的手机里,默默躺着4款信用卡助手软件,分别是51银行卡管家、卡惠、卡牛和挖财信用卡管家,它们功能各异,对用户需要输入的信息要求也不同。
记者打开51银行卡管家APP软件想要添加信用卡信息时,被要求拍下信用卡正面、背面照片并上传。这意味着所有与信用卡有关的重要信息,如验证码、有效期、信用卡卡号等全部赤裸裸地被上传至APP云端服务器。如果不按要求将信用卡拍照,“一键短信”、“一键电话”、“银行业务”等所有功能将不能使用。
卡牛和挖财信用卡管家的功能类似,用户需要输入与信用卡绑定的账单邮箱和邮箱登录密码,系统会显示信用卡剩余额度、总消费金额、账单日等信息。需要注意的是,从银行电子账单中获取的信用卡卡号后四位也会显示在列表信息中。
安全专家
存有信用卡信息的数据库存在被攻击的风险
那么,这些记录了信用卡信息的APP客户端,是否会威胁到持卡人的用卡安全?
一位多年从事APP程序研发的业内人士透露,在APP云端数据库,系统会储存明码类信息,譬如信用卡卡号、姓名和手机号码等,密码类数据将直接加密嫁接到银行端程序。如51银行卡管家获取的信用卡截图照片就有可能存储于自身服务器中,如果系统管理不善,遭遇恶意软件和黑客攻击,储存的用户信用卡验证码、有效期等重要信息就会遭遇泄露危机。
“一些非正规信用卡管家类APP的下载,也会使用户信息受到威胁。”360手机卫士安全专家张旭说,如果用户下载的银行卡管家类APP为“山寨货”,首先会导致手机号码、所在位置等信息外泄;其次,如果下载到的银行卡管家类应用遭二次打包,植入了手机木马,后果将非常严重,银行卡卡号等信息会完全外泄,假如是信用卡,即使设置了密码,在被盗取后仍将有被盗刷的风险。
用户自己的信息安全防范意识也很重要。如果手机没有设置开机密码,任何人打开该手机内卡牛或者挖财信用卡管家等应用,都能轻而易举偷窥到末四位卡号。这样一来,有了这些信息,不法分子在“无卡支付”门槛较低的网站就能轻易实现盗刷。
其实,“无卡支付”在国外已经相当普遍,在国外网站上使用信用卡支付,通常只需要填写信用卡卡号、有效期、持卡人姓名、信用卡背面后三码(即验证码),移动支付的便捷性不言而喻,支付方式也得到各家银行、万事达等国际组织或者银联组织的授权。
“刷卡安全取决于一个国家的用卡环境是否完善,道德素质是否经受得起考验。”业内人士表示,国内用卡环境并没有那么完善,随着大量网络平台的线上服务规模扩大到一定程度,风险控制的压力会急剧增加。