一場針對特定信用卡的有組織技術攻擊,突破了銀行安全防線,數百名持卡人深夜遭遇跨國盜刷,銀行緊急響應承諾承擔損失。
9月13日凌晨,浦發銀行信用卡中心發布緊急聲明,回應近期部分萬事達卡發生的未經授權交易事件。聲明稱,該中心已與萬事達卡組織第一時間啟動應急響應機制,及時發現并阻斷了風險,并承諾避免客戶承擔“不應由其承擔的損失”。
此前,多位浦發銀行信用卡用戶在社交平臺上反映,其名下的萬事達“無價世界卡”遭遇境外盜刷。相關交易大多發生在持卡人不知情、亦無境外交易行為的情況下,事件引發公眾對跨境支付安全的擔憂。
跨國盜刷集中爆發,
注銷卡仍被盜刷?
9月中旬,浦發銀行信用卡遭遇大規模境外盜刷事件。新浪金融研究院注意到,在某社交平臺上,遭遇此次盜刷的持卡人群聊已達350余人。
這些持卡人表示,自己的信用卡在未離身且未進行任何操作的情況下,突然出現多筆境外消費記錄,單筆金額從數千到數萬元不等。
時間上,盜刷集中爆發于9月9日至11日,且均發生在巴西境內。
交易模式上,幾乎所有被盜刷用戶都經歷了“小額試探+大額連續消費”的流程,首筆交易多為10元內的小額支付,確認可成功扣款后,隨即發生2-3筆不超過5000巴西雷亞爾(約合6500元人民幣)的大額消費,多數用戶的總損失金額集中在2萬元左右。
令人不解的是,即便是可用額度極低的信用卡也未能幸免。社交媒體上有用戶反映,其浦發銀行信用卡總額度僅為2萬元,可用額度僅剩600余元,卻在巴西發生了3筆盜刷交易,合計金額接近2萬元。
圖源:小紅書
更加匪夷所思的是,有持卡人發帖稱,曾在8月中旬致電浦發銀行客服要求注銷信用卡,App隨后顯示卡片已失效,但卻在9月中旬仍然收到該信用卡在巴西被盜刷的提示信息。
圖源:小紅書
“信用卡注銷需經過30~45天‘觀察期’,在這期間卡片仍存在潛在交易風險。”有銀行業內人士解釋稱,這個觀察期的目的是確保信用卡賬戶內沒有未結清的欠款、未入賬的交易或其他潛在爭議款項,如果在觀察期內沒有異常情況,如新的欠款產生,并且之前的欠款已經全部結清,那么30~45天后銀行系統會自動完成銷戶操作。
銀行承諾保障客戶合法權益,
部分持卡人賬單已被清零
隨著受害人群體的不斷擴大和輿論持續發酵,浦發銀行信用卡中心于9月13日凌晨緊急發布官方聲明,稱已監測到部分“無價世界卡”發生未經授權的境外交易,目前已聯合萬事達卡組織啟動應急響應機制,“及時發現并阻斷后續風險”,同時明確承諾將保障客戶合法權益,避免用戶承擔不應有的損失。
圖源:“浦發銀行信用卡”微信公眾號
同日,萬事達卡組織旗下萬事網聯也發布公告,稱已與包括浦發銀行在內的發卡銀行啟動應急調查,成立專項小組追溯風險源、阻斷潛在風險,并共同推進相關持卡人的資金保障流程,避免持卡人承擔不應由其承擔的損失。
對于受害者而言,最核心的關切在于這些未經授權的交易損失最終將由誰承擔。
目前,多數遭遇盜刷的持卡人已聯系浦發銀行并將相關信用卡凍結或掛失,部分持卡人的盜刷賬單已被清零。
有受害持卡人表示:“賬單已經清零。我不需要補卡并要求注銷卡,但客服表示目前有凍結的款項,無法操作注銷。我打算下個月再聯系浦發銀行將卡注銷。”該持卡人共被盜刷1.3萬元左右,9月12日賬單仍顯示該金額,9月13日已經歸零。
圖源:小紅書
根據國際信用卡清算規則,非因持卡人自身過錯導致的盜刷損失,通常由發卡銀行或卡組織承擔。
根據《最高人民法院關于審理銀行卡民事糾紛案件若干問題的規定》,發生偽卡盜刷交易或者網絡盜刷交易,信用卡持卡人基于信用卡合同法律關系請求發卡行返還扣劃的透支款本息、違約金并賠償損失的,人民法院依法予以支持。
跨境風控體系持續完善但仍存挑戰,
持卡人需掌握應急處置技能
從行業視角來看,信用卡境外集中盜刷并非首次發生。去年12月,有工行信用卡用戶反饋,在前往巴黎旅行的情況下,卡片在當地發生5000多歐元的盜刷交易;今年4月,也有居住在西班牙的中國用戶在社交平臺發文,稱自己的招行全幣種信用卡被盜刷24萬印度盧布。
圖源:小紅書
但此次浦發銀行事件因兩個特點引發更多關注:一是實時提醒機制失效,多位用戶反饋,盜刷交易發生時未收到銀行發送的短信或微信通知,僅在交易完成入賬后才收到賬單提醒,導致錯過第一時間止損的機會。
圖源:知乎
二是超授信額度交易規則存疑,前述持卡用戶總額度為2萬元,剩余可用額度僅600余元,卻仍被盜刷1.9萬元,超授比例達90%,而據行業常規,信用卡超授信額度通常控制在10%以內,此次超授比例明顯超出合理范圍。
多位信用卡行業分析人士表示,按照當前的情形看,有組織的技術性盜刷攻擊的可能性更大。這意味著黑客可能找到了相關信用卡產品安全防護體系的某個漏洞,最終造成了這次集中盜刷事件。
事實上,針對境外盜刷這一支付安全“難題”,監管層面早有明確要求。
2016年,中國人民銀行發布的《關于進一步加強銀行卡風險管理的通知》(銀發〔2016〕170號)明確要求商業銀行和支付機構“強化支付敏感信息內控管理”,并“全面應用支付標記化技術”(Tokenization),從源頭控制信息泄露和欺詐交易風險,同時要求銀行卡清算機構應會同成員機構進一步落實銀行卡受理過程中的偽卡欺詐風險責任,保護芯片化遷移方的權益。建立完善的投訴處理機制,妥善處理欺詐風險事件,切實保障客戶的合法權益。
監管要求并未止步于此。為持續提升銀行跨境支付風險防控能力,2022年中國人民銀行又發布了《關于支持外貿新業態跨境人民幣結算的通知》,進一步細化了對銀行和支付機構在跨境業務中的展業要求,包括“明確業務真實性審核、反洗錢、反恐怖融資、反逃稅以及數據報送等要求,壓實銀行與支付機構展業責任,防控業務風險”。
2024年4月,國家外匯管理局在發布《關于金融機構報送銀行卡境外交易信息的通知》中,要求發卡行每日報送前24小時內單筆等值1000元人民幣以上的境外消費交易信息,實行零報送制度并納入外匯管理考核。這一規定顯著提升了境外交易的透明度,為風險追溯提供了數據基礎。
盡管商業銀行已按監管要求,逐步搭建起覆蓋跨境交易全流程的風險監控模型,完善緊急止付、快速凍結等應急處置機制,并且多數銀行還同步優化了“可疑交易自動攔截”等防護功能,但行業共識是,這些措施仍難以完全杜絕技術手段不斷翻新的跨境盜刷行為。
對于普通持卡人來說,了解如何防范盜刷風險至關重要。銀行專業人士建議,若當前無境外消費需求,可聯系銀行暫時關閉境外支付功能,避免財產損失。
各家銀行App均提供賬戶安全鎖功能,其中包括境外安全鎖、夜間安全鎖,以及異地賬戶使用安全鎖。用戶可根據自身需求啟用相應功能,有效避免資金損失。
在進行刷卡交易時,可適當調整消費限額,并增加密碼驗證和短信提示。在銀行卡使用期間,設置較低的免密觸發金額,也能在一定程度上降低被盜刷的風險。
目前銀行卡賬戶金額變動提醒的方式有多種,最常見的就是短信和微信銀行的提醒服務。持卡人可多渠道設置消費提醒,以便在某種渠道出現問題時仍能及時獲知賬戶變動情況,最大程度降低盜刷損失。
如果發現未經授權的交易,應立即撥打發卡行客服熱線核實情況、凍結賬戶,并及時報警處理。
【免責聲明】本文僅代表作者本人觀點,與和訊網無關。和訊網站對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。郵箱:news_center@staff.hexun.com
最新評論