去的一段时间里,银行卡被网上盗刷的各种新闻屡屡见诸报端,连我行也因95533伪基站的问题也处在了舆论的漩涡之中。网上盗刷的渠道,大部分都是通过一个名为“快捷支付”的业务进行的。而这个业务本质上是第三方支付所提供,由支付宝首创,在发展一定时间后各家第三方支付开始跟进。现在,大部分金融知识薄弱的群众都认为“快捷支付”就是网上银行,更有甚者宁可使用“快捷支付”都不愿意使用各大银行的网上银行。支付宝在当时发展快捷支付是有其客观需求的。但是发展至今日,快捷支付却存在诸多问题,从开通到每次支付,都与银行传统的风控理念相去甚远。目前快捷支付的开通方式是由第三方支付向银行发送客户输入的银行所预留相关信息和手机号码来核对客户身份进行开通,并不验证银行卡密码。快捷支付所验证的身份资料、预留手机号等都不是银行眼中的关键性安全因素,在实际上打破了银行原有的支付安全体系。即使银行后来为竞争而推出了类快捷支付产品,但开通验证内容中必须有卡密码,这也从一个侧面验证了银行和第三方支付对关键性安全因素的认识差异。
然而目前个人隐私泄露的情况可以说是触目惊心,快捷支付与银行方核对的客户相关信息早已经不能作为识别客户身份的完善依据,更不足以成为防范风险的屏障。4月10日,中央电视台新闻三十分节目中播出了银行卡盗刷的来龙去脉。大概内容说的是犯罪分子通过伪基站发送钓鱼短信、架设免费WIFI、改装POS等方式盗取个人信息、短信验证码和银行卡信息,再通过复杂的黑色产业链最终将资金窃取。 事实上,包括你我在内的绝大多数普通人的隐私早已经在某一群人手中流传。任何一个存储海量个人信息的网站被“拖库”或被内部人卖出后,这群人的饕餮盛宴便随之开始,而依靠这些个人信息和密码来进行客户身份验证的网站自然成为下一轮攻陷的目标,最终他们的数据库将会成为比你我更了解自己的存在。除了非法手段之外,很多企业对客户的隐私的漠视也是隐私泄露的重要原因。比如目前移动要求客户更换4G卡时将客户常去的地址提供给电话营销人员、之前爆出的蚂蚁花呗催收通过联系关系人来提醒借款人进行还款的方式等,都是将客户隐私交给组织内权限较低的人员甚至外包人员,大大增加了泄漏的可能和日后追责的难度。至此,快捷支付与银行所核对的信息已经失去了验证客户本人身份和意愿的能力,只有手机验证码在苦苦抵挡。 目前,除了常见的伪基站伪造号码以及批量发送钓鱼短信之外,电信运营商所提供的一些服务也成为犯罪分子利用的工具。比如之前的短信保管箱保存短信验证码、最近爆出的通过邮箱发送诈骗短信等等。而虚拟运营商的170号段更是成为了钓鱼短信发送的重灾区。这些问题都在实际上将快捷支付所撕开的缺口越扯越大。
问题就出来了,手机号码成了快捷支付的唯一身份标识和唯一安全凭证,也成了客户——快捷支付商户——银行这三者之间联系起来的唯一通用标识。但是,手机号码本身的安全也是个问题,工信部虽然虽然三令五申的要求手机号码实名制,但是有新的人总会找到突破口,犯罪分子利用临时身份证无法识别,手机运营商网上营业厅支持挂失补号等功能,这样一来,大家都生活在了一个没有任何保障的金融环境之下。
如何解决这个问题?
1.银行预留手机号码实名制:因为开通银行卡快捷支付必须要求银行预留的手机号码与客户使用的手机号码一致,这里的号码不是短信等号码,是客户银行身份信息里的号码必须要一致,才能开通。所以建议总行层面各大运营上联合,趁手机号码实名制之际,要求但凡是要开通快捷支付的客户,其手机号码必须实名制且是必须本人身份号码办理的身份证。
2.加强银行预留手机号新增及变更审核。目前,部分网点的经办人员及授权人员在客户预留手机号码这一块重视程度不够,仅仅依靠手机验证码来识别是否客户本人使用手机号,甚至有的经办人员直接授权通过,让犯罪分子有了可趁之机。
3.建立紧急处理机制。包括我本人在内的诸多客户都有拨打95533或者400-820-0588客户服务热线很难接通的体验,若是遇到诈骗或是资金风险根本就来不及处置,结果只能眼睁睁的看着资金被犯罪分子划走。建议95533或是40-820-0588客户服务热线,亦或是前台有专门的人工风险受理机制,尽量将客户的资金损失降低到最小。
4.加强金融知识推广普及,通过各种渠道提醒前来我行办理业务的客户防范资金风险,了解必要的金融常识,让犯罪分子无计可趁。