银联二维码支付盗刷第一案:6家银行信用卡一夜被盗
2017/4/17 9:31:21

一夜之间,一位客户的6张信用卡遭遇盗刷,涉及光大银行、交通银行、兴业银行、广发银行、民生银行、浦发银行,矛头指向这6张卡共同绑定的支付平台——银联钱包。

本次盗刷,均系通过二维码扫码支付。2016年12月,银联正式进军二维码支付市场。3个月后,发生本次盗刷事件。

中国银联回应:“这是银联接到的关于扫码交易的首例持卡人否认交易投诉。”

银联未明确此事是否盗刷,否认存在风险漏洞;同时表示,将按风险垫付制度处理此次投诉。

银联钱包6张信用卡一夜被盗

浙江绍兴的吉先生在2015年开通了银联钱包。“希望通过APP抢一些超市、餐厅的优惠券,而优惠券都是指定银行才能享受的”,吉先生在银联钱包共绑定了十张银联卡,其中有3张借记卡、7张信用卡。

2017年3月14日凌晨1点到2点半,除中国银行信用卡之外,吉先生银联钱包绑定的其余6张信用卡全部被盗刷,合计13289元。(点击查看投诉原文)

当时,他正在睡觉,没有察觉到任何异常。早上7点半,他打开手机发现多个银行公众号的消费信息推送,感觉触目惊心:

中石化充卡3600元。其中广发、兴业、光大均充了500+500=1000元,交行充500+100=600元。

途牛旅游消费9689元。其中民生2100*2+4491(若干小额)=8691元,浦发499*2=998元。

交易异常未拦截,银联钱包有漏洞?

事后,吉先生联系相关金融机构试图追款,但谁都不愿承担责任:

打电话给中国银联客服,他们一再强调只是一个支付平台,不判断风险,也不承担责任。

打电话给银行要求冻结有争议金额,不予还款,银行说,是多张信用卡同时被盗刷,是支付平台中国银联的责任,不答应挂帐。

银联客服答复吉先生说,本次盗刷中,用于中石化储值卡充值的四张信用卡,都是通过扫商户二维码进行支付的。银联钱包的二维码支付方式有2种:

1,通过扫一扫来扫商户的二维码支付,需要输入银联钱包的支付密码但不需要手机验证码;

2,把自己的二维码给商家去扫,小于500元小额消费是不用支付密码、也不需要手机验证码。

吉先生表示,此前从来没有使用银联钱包直接进行消费,只是抢些优惠券。也是这次盗刷后,才知道银联钱包也可以像支付宝钱包一样进行扫码支付。

他表示,从来没有主动泄露过支付密码。对于银联钱包事后不予积极解决,他非常不满,并质疑银联钱包存在风控漏洞:

同一个账户名下的多张信用卡通过同一种方式进行重复消费,有些金额较大(2100元),居然依然不发送手机验证码,也未提醒银联钱包账户在异地登录及消费。

银联:无风险漏洞;如符合相关要求,会先行垫付

中国银联回应称,本次案件中所有交易均由持卡人银联钱包扫描商户二维码完成支付。“持卡人反映的问题我们正在通过法律途径进行调查,事件的属性有待司法机关认定。这起事件为银联接到的关于扫码交易的首例持卡人否认交易投诉。”

4月7日,中国银联办公室通过邮件回复聚投诉表示:针对用户投诉中提及的异地登陆、多笔重复交易等异常交易行为,银联钱包具备相关风控措施。系统不存在风险漏洞。本投诉,如符合相关制度要求,会先行垫付。(回复原文见本文文末)

4月13日,吉先生回复称:聚投诉跟进后,银联已联系告知,除浦发银行外,其余五家银行均有退款机制。银联让逐一联系发卡行,由发卡行向银联提交资料后处理。但尚未有银行因此退款。

同时,吉先生对银联的邮件答复并不满意,认为本次案件系银联风控未尽责导致:“银联钱包对于客户风险防控的理解是否就剩一个简单的六位数字支付密码?异地登录、新设备登录、扫码快捷支付都只验证支付密码,且都不通知用户本人,是否合理?相对于竞争对手支付宝钱包的各种安全举措,银联真的认为已经做了最大努力?”

吉先生在投诉帖追问了5个问题(见文末),尚待银联进一步回应。

相关判决丨吉林高院:异常交易未终止,系漏洞

2017年2月17日,吉林省高级人民法院在对张丹丹与中国工商银行股份有限公司长春大经路支行银行卡纠纷一案的再审判决中,判工行承担赔偿责任。(点击查看判例原文)

该判决中明确指出银行“提高技术和管理水平,增强抗击银行卡违法犯罪行为能力”的责任:

——本案争议所涉借记卡在明显存在信息异常的情况下,大经路支行仍然对该操作确认正确并进行转账,而未及时采取中止交易、电话确认等临时安全措施,充分证明大经路支行在对电子交易登录终端设备、登录用户身份等关键信息的真伪识别、监控和临时处置等方面存在技术漏洞。

——将防范和控制银行卡欺诈风险的责任完全或主要寄希望于持卡人严守密码上,不但给持卡人非法强加了其无力承担的不合理责任,更不利于整体银行业的高效、安全运行和良性发展。

识别异常交易,系硬性要求

值得注意的是,二维码支付一直以来因支付风险问题备受质疑,直到2016年8月才再次获得官方承认。对于异常交易的风险管控,主管部门已陆续出台相关规定提出明确要求。

——2014年3月,央行下发紧急文件,叫停二维码支付等面对面支付服务,理由是线下二维码支付存在一定的支付风险隐患。

——2016年6月,央行出台政策《关于进一步加强银行卡风险管理的通知》,明确各商业银行、支付机构针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。

——2016年8月,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确对及时处理可疑交易、承担因未采取措施导致的风险损失责任提出要求。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。

——2016年12月,银联正式推出银联二维码支付标准,主要包括《中国银联二维码支付安全规范》和《中国银联二维码支付应用规范》两个规范,正式进军二维码支付市场。这是业内首次针对二维码支付出台的相应规范。

——2017年3月14日,中国银联发生首起扫码支付盗刷案件,浙江绍兴的吉先生银联钱包中绑定的6张信用卡一夜被盗,合计13289元,全部通过扫码支付。

附1:4月7日,中国银联办公室邮件回复聚投诉全文

银联钱包对于异常交易(包括异地登陆、多笔重复交易等)具备相关风控措施,会综合根据交易情况、风控规则、用户体验进行判断和处理,银联钱包系统不存在风险漏洞。

此次事件中,银联钱包已完整校验持卡人的银联钱包用户名、密码、支付密码等只能由用户本人掌握的隐私要素。同时银联钱包的客户端和后台都通过相关安全检测与认证,严格遵守相关信息安全管理要求,不存在用户隐私信息泄露的风险。

持卡人所述的银联钱包二维码支付规则基本正确,但具体输入要素及免密标准,银联钱包会根据业务场景和交易情况进行动态调整。

持卡人投诉的相关交易属于银联钱包主扫支付交易,即持卡人通过银联钱包APP扫描商户二维码后,在银联钱包APP内完成支付。

银联会根据商户、交易及用户情况,动态确定单笔及单日交易限额。

当前,银联已有相应的风险垫付制度,为充分保障持卡人权益,银联会在符合相关制度要求的情况下,对持卡人的损失进行先行垫付。同时银联将启动相应的调查取证工作,并保留进一步追偿和诉诸司法的权力。

附2:4月13日,投诉人5大追问以及最新追款情况

1、银联钱包中有多卡绑定和快捷支付功能,是否需要承担所绑定卡片的风险防控职责?

2、不法分子在夜间一点半至两点半密集作案是有预谋的,说明其已经提前使出了或者盗取了我的支付密码且永新设备登录我的银联账号。异地及新设备登录一句提示都没有,银联到底为客户做了什么?

3、银联钱包对于客户风险防控的理解是否就剩一个简单的六位数字支付密码?异地登录、新设备登录、扫码快捷支付都只验证支付密码,且都不通知用户本人,是否合理?相对于竞争对手支付宝钱包的各种安全举措,银联真的认为已经做了最大努力?

4、银联会根据商户、交易及用户情况,动态确认单笔及单日交易限额这种官方的作为答复没有任何诚意,就我个人而言,我的银联钱包账户从未使用过主动扫码支付,首次扫码支付后通过绑定的民生信用卡就进行了是比交易,且有两笔金额高达2100元,银联仍未进行手机动态码验证,若不是民生银行主动冻结了我的信用卡,损失还会更大。

5、你们客服所说的和五个银行有个机制,可能可以帮我追回部分款项,是个什么机制?银行到底要提交什么申请,能否站在客户的角度,主动联系银行帮忙追回款项,我不希望再发生像广发银行这样的情况。

各个银行卡片盗刷处理的最新情况:

1、交通银行盗刷600元中石化油卡,已全额退款;

2、民生银行盗刷8691元途牛旅游,盗刷当日我本人致电途牛追回3606.8元,还有5084.2元未追回,已在本地的民生信用卡中心填写了否认交易声明,留了全部资料,待处理,据说处理时效3-6个月;

3、浦发银行盗刷998元途牛旅游,盗刷当日我本人致电途牛追回798.4元,还有199.6元由于浦发和银联没有那个什么机制,无法继续追回;

4、兴业银行盗刷1000元中石化油卡,客服已通过电子邮件要了我的资料和否认交易声明,正在处理中;

5、广发银行无法发起追回款项的申请,并再三追问以什么理由向银联提交退款申请;

6、光大银联在我提交银联的新情况后还未联系过本人;

7、中国银联至今还未承认在银联钱包风险防控上存在问题,仅表示和五个银联有个什么机制,可能可以协助我追回部分款项。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消