銀聯(lián)二維碼支付盜刷第一案：6家銀行信用卡一夜被盜

cc龍卷風(fēng) 2017-04-16

展開全文

一夜之間，一位客戶的6張信用卡遭遇盜刷，涉及光大銀行、交通銀行、興業(yè)銀行、廣發(fā)銀行、民生銀行、浦發(fā)銀行，矛頭指向這6張卡共同綁定的支付平臺——銀聯(lián)錢包。

本次盜刷，均系通過二維碼掃碼支付。2016年12月，銀聯(lián)正式進軍二維碼支付市場。3個月后，發(fā)生本次盜刷事件。

中國銀聯(lián)回應(yīng)：“這是銀聯(lián)接到的關(guān)于掃碼交易的首例持卡人否認(rèn)交易投訴。”

銀聯(lián)未明確此事是否盜刷，否認(rèn)存在風(fēng)險漏洞；同時表示，將按風(fēng)險墊付制度處理此次投訴。

銀聯(lián)錢包6張信用卡一夜被盜

浙江紹興的吉先生在2015年開通了銀聯(lián)錢包?！?span>希望通過APP搶一些超市、餐廳的優(yōu)惠券，而優(yōu)惠券都是指定銀行才能享受的”，吉先生在銀聯(lián)錢包共綁定了十張銀聯(lián)卡，其中有3張借記卡、7張信用卡。

2017年3月14日凌晨1點到2點半，除中國銀行信用卡之外，吉先生銀聯(lián)錢包綁定的其余6張信用卡全部被盜刷，合計13289元。（點擊查看投訴原文）

當(dāng)時，他正在睡覺，沒有察覺到任何異常。早上7點半，他打開手機發(fā)現(xiàn)多個銀行公眾號的消費信息推送，感覺觸目驚心：

中石化充卡3600元。其中廣發(fā)、興業(yè)、光大均充了500+500=1000元，交行充500+100=600元。

途牛旅游消費9689元。其中民生2100*2+4491（若干小額）=8691元，浦發(fā)499*2=998元。

交易異常未攔截，銀聯(lián)錢包有漏洞？

事后，吉先生聯(lián)系相關(guān)金融機構(gòu)試圖追款，但誰都不愿承擔(dān)責(zé)任：

打電話給中國銀聯(lián)客服，他們一再強調(diào)只是一個支付平臺，不判斷風(fēng)險，也不承擔(dān)責(zé)任。

打電話給銀行要求凍結(jié)有爭議金額，不予還款，銀行說，是多張信用卡同時被盜刷，是支付平臺中國銀聯(lián)的責(zé)任，不答應(yīng)掛帳。

銀聯(lián)客服答復(fù)吉先生說，本次盜刷中，用于中石化儲值卡充值的四張信用卡，都是通過掃商戶二維碼進行支付的。銀聯(lián)錢包的二維碼支付方式有2種：

1，通過掃一掃來掃商戶的二維碼支付，需要輸入銀聯(lián)錢包的支付密碼但不需要手機驗證碼；

2，把自己的二維碼給商家去掃，小于500元小額消費是不用支付密碼、也不需要手機驗證碼。

吉先生表示，此前從來沒有使用銀聯(lián)錢包直接進行消費，只是搶些優(yōu)惠券。也是這次盜刷后，才知道銀聯(lián)錢包也可以像支付寶錢包一樣進行掃碼支付。

他表示，從來沒有主動泄露過支付密碼。對于銀聯(lián)錢包事后不予積極解決，他非常不滿，并質(zhì)疑銀聯(lián)錢包存在風(fēng)控漏洞：

同一個賬戶名下的多張信用卡通過同一種方式進行重復(fù)消費，有些金額較大（2100元），居然依然不發(fā)送手機驗證碼，也未提醒銀聯(lián)錢包賬戶在異地登錄及消費。

銀聯(lián)：無風(fēng)險漏洞；如符合相關(guān)要求，會先行墊付

中國銀聯(lián)回應(yīng)稱，本次案件中所有交易均由持卡人銀聯(lián)錢包掃描商戶二維碼完成支付。“持卡人反映的問題我們正在通過法律途徑進行調(diào)查，事件的屬性有待司法機關(guān)認(rèn)定。這起事件為銀聯(lián)接到的關(guān)于掃碼交易的首例持卡人否認(rèn)交易投訴。”

4月7日，中國銀聯(lián)辦公室通過郵件回復(fù)聚投訴表示：針對用戶投訴中提及的異地登陸、多筆重復(fù)交易等異常交易行為，銀聯(lián)錢包具備相關(guān)風(fēng)控措施。系統(tǒng)不存在風(fēng)險漏洞。本投訴，如符合相關(guān)制度要求，會先行墊付。（回復(fù)原文見本文文末）

4月13日，吉先生回復(fù)稱：聚投訴跟進后，銀聯(lián)已聯(lián)系告知，除浦發(fā)銀行外，其余五家銀行均有退款機制。銀聯(lián)讓逐一聯(lián)系發(fā)卡行，由發(fā)卡行向銀聯(lián)提交資料后處理。但尚未有銀行因此退款。

同時，吉先生對銀聯(lián)的郵件答復(fù)并不滿意，認(rèn)為本次案件系銀聯(lián)風(fēng)控未盡責(zé)導(dǎo)致：“銀聯(lián)錢包對于客戶風(fēng)險防控的理解是否就剩一個簡單的六位數(shù)字支付密碼？異地登錄、新設(shè)備登錄、掃碼快捷支付都只驗證支付密碼，且都不通知用戶本人，是否合理？相對于競爭對手支付寶錢包的各種安全舉措，銀聯(lián)真的認(rèn)為已經(jīng)做了最大努力？”

吉先生在投訴帖追問了5個問題（見文末），尚待銀聯(lián)進一步回應(yīng)。

相關(guān)判決丨吉林高院：異常交易未終止，系漏洞

2017年2月17日，吉林省高級人民法院在對張丹丹與中國工商銀行股份有限公司長春大經(jīng)路支行銀行卡糾紛一案的再審判決中，判工行承擔(dān)賠償責(zé)任。（點擊查看判例原文）

該判決中明確指出銀行“提高技術(shù)和管理水平，增強抗擊銀行卡違法犯罪行為能力”的責(zé)任：

——本案爭議所涉借記卡在明顯存在信息異常的情況下，大經(jīng)路支行仍然對該操作確認(rèn)正確并進行轉(zhuǎn)賬，而未及時采取中止交易、電話確認(rèn)等臨時安全措施，充分證明大經(jīng)路支行在對電子交易登錄終端設(shè)備、登錄用戶身份等關(guān)鍵信息的真?zhèn)巫R別、監(jiān)控和臨時處置等方面存在技術(shù)漏洞。

——將防范和控制銀行卡欺詐風(fēng)險的責(zé)任完全或主要寄希望于持卡人嚴(yán)守密碼上，不但給持卡人非法強加了其無力承擔(dān)的不合理責(zé)任，更不利于整體銀行業(yè)的高效、安全運行和良性發(fā)展。

識別異常交易，系硬性要求

值得注意的是，二維碼支付一直以來因支付風(fēng)險問題備受質(zhì)疑，直到2016年8月才再次獲得官方承認(rèn)。對于異常交易的風(fēng)險管控，主管部門已陸續(xù)出臺相關(guān)規(guī)定提出明確要求。

——2014年3月，央行下發(fā)緊急文件，叫停二維碼支付等面對面支付服務(wù)，理由是線下二維碼支付存在一定的支付風(fēng)險隱患。

——2016年6月，央行出臺政策《關(guān)于進一步加強銀行卡風(fēng)險管理的通知》，明確各商業(yè)銀行、支付機構(gòu)針對批量或高頻登錄等異常行為，應(yīng)利用IP地址、終端設(shè)備標(biāo)識信息、瀏覽器緩存信息等進行綜合識別，及時采取附加驗證、拒絕請求等手段。

——2016年8月，支付清算協(xié)會向支付機構(gòu)下發(fā)《條碼支付業(yè)務(wù)規(guī)范》(征求意見稿)，意見稿中明確對及時處理可疑交易、承擔(dān)因未采取措施導(dǎo)致的風(fēng)險損失責(zé)任提出要求。這是央行在2014年叫停二維碼支付以后首次官方承認(rèn)二維碼支付地位。

——2016年12月，銀聯(lián)正式推出銀聯(lián)二維碼支付標(biāo)準(zhǔn)，主要包括《中國銀聯(lián)二維碼支付安全規(guī)范》和《中國銀聯(lián)二維碼支付應(yīng)用規(guī)范》兩個規(guī)范，正式進軍二維碼支付市場。這是業(yè)內(nèi)首次針對二維碼支付出臺的相應(yīng)規(guī)范。

——2017年3月14日，中國銀聯(lián)發(fā)生首起掃碼支付盜刷案件，浙江紹興的吉先生銀聯(lián)錢包中綁定的6張信用卡一夜被盜，合計13289元，全部通過掃碼支付。

附1：4月7日，中國銀聯(lián)辦公室郵件回復(fù)聚投訴全文

銀聯(lián)錢包對于異常交易（包括異地登陸、多筆重復(fù)交易等）具備相關(guān)風(fēng)控措施，會綜合根據(jù)交易情況、風(fēng)控規(guī)則、用戶體驗進行判斷和處理，銀聯(lián)錢包系統(tǒng)不存在風(fēng)險漏洞。

此次事件中，銀聯(lián)錢包已完整校驗持卡人的銀聯(lián)錢包用戶名、密碼、支付密碼等只能由用戶本人掌握的隱私要素。同時銀聯(lián)錢包的客戶端和后臺都通過相關(guān)安全檢測與認(rèn)證，嚴(yán)格遵守相關(guān)信息安全管理要求，不存在用戶隱私信息泄露的風(fēng)險。

持卡人所述的銀聯(lián)錢包二維碼支付規(guī)則基本正確，但具體輸入要素及免密標(biāo)準(zhǔn)，銀聯(lián)錢包會根據(jù)業(yè)務(wù)場景和交易情況進行動態(tài)調(diào)整。

持卡人投訴的相關(guān)交易屬于銀聯(lián)錢包主掃支付交易，即持卡人通過銀聯(lián)錢包APP掃描商戶二維碼后，在銀聯(lián)錢包APP內(nèi)完成支付。

銀聯(lián)會根據(jù)商戶、交易及用戶情況，動態(tài)確定單筆及單日交易限額。

當(dāng)前，銀聯(lián)已有相應(yīng)的風(fēng)險墊付制度，為充分保障持卡人權(quán)益，銀聯(lián)會在符合相關(guān)制度要求的情況下，對持卡人的損失進行先行墊付。同時銀聯(lián)將啟動相應(yīng)的調(diào)查取證工作，并保留進一步追償和訴諸司法的權(quán)力。

附2：4月13日，投訴人5大追問以及最新追款情況

1、銀聯(lián)錢包中有多卡綁定和快捷支付功能，是否需要承擔(dān)所綁定卡片的風(fēng)險防控職責(zé)？

2、不法分子在夜間一點半至兩點半密集作案是有預(yù)謀的，說明其已經(jīng)提前使出了或者盜取了我的支付密碼且永新設(shè)備登錄我的銀聯(lián)賬號。異地及新設(shè)備登錄一句提示都沒有，銀聯(lián)到底為客戶做了什么？

3、銀聯(lián)錢包對于客戶風(fēng)險防控的理解是否就剩一個簡單的六位數(shù)字支付密碼？異地登錄、新設(shè)備登錄、掃碼快捷支付都只驗證支付密碼，且都不通知用戶本人，是否合理？相對于競爭對手支付寶錢包的各種安全舉措，銀聯(lián)真的認(rèn)為已經(jīng)做了最大努力？

4、銀聯(lián)會根據(jù)商戶、交易及用戶情況，動態(tài)確認(rèn)單筆及單日交易限額這種官方的作為答復(fù)沒有任何誠意，就我個人而言，我的銀聯(lián)錢包賬戶從未使用過主動掃碼支付，首次掃碼支付后通過綁定的民生信用卡就進行了是比交易，且有兩筆金額高達(dá)2100元，銀聯(lián)仍未進行手機動態(tài)碼驗證，若不是民生銀行主動凍結(jié)了我的信用卡，損失還會更大。

5、你們客服所說的和五個銀行有個機制，可能可以幫我追回部分款項，是個什么機制？銀行到底要提交什么申請，能否站在客戶的角度，主動聯(lián)系銀行幫忙追回款項，我不希望再發(fā)生像廣發(fā)銀行這樣的情況。

各個銀行卡片盜刷處理的最新情況：

1、交通銀行盜刷600元中石化油卡，已全額退款；
2、民生銀行盜刷8691元途牛旅游，盜刷當(dāng)日我本人致電途牛追回3606.8元，還有5084.2元未追回，已在本地的民生信用卡中心填寫了否認(rèn)交易聲明，留了全部資料，待處理，據(jù)說處理時效3-6個月；
3、浦發(fā)銀行盜刷998元途牛旅游，盜刷當(dāng)日我本人致電途牛追回798.4元，還有199.6元由于浦發(fā)和銀聯(lián)沒有那個什么機制，無法繼續(xù)追回；
4、興業(yè)銀行盜刷1000元中石化油卡，客服已通過電子郵件要了我的資料和否認(rèn)交易聲明，正在處理中；
5、廣發(fā)銀行無法發(fā)起追回款項的申請，并再三追問以什么理由向銀聯(lián)提交退款申請；
6、光大銀聯(lián)在我提交銀聯(lián)的新情況后還未聯(lián)系過本人；
7、中國銀聯(lián)至今還未承認(rèn)在銀聯(lián)錢包風(fēng)險防控上存在問題，僅表示和五個銀聯(lián)有個什么機制，可能可以協(xié)助我追回部分款項。