「人在家中坐，賬單巴西來」你的萬事達卡還安全嗎

中國消費者報報道（記者聶國春）人在家中坐，賬單巴西來。9月9日至11日凌晨，多位浦發銀行萬事達無價世界信用卡（卡友俗稱「紅沙宣」）持卡人在社交平臺上反映，遭遇境外盜刷。這些盜刷交易均發生在巴西，單筆金額從數千元至數萬元不等。

《中國消費者報》記者調查發現，近年來，萬事達卡多次出現境外被盜刷事件，且涉及不同銀行的不同卡種。此次浦發「紅沙宣」被批量盜刷，更是將萬事達卡推上了風口浪尖。到底是何種原因導致卡被盜刷？作為連接全球商户與發卡機構的核心樞紐，萬事達卡又採取了哪些措施來保障支付安全。

用户萬事達卡遭盜刷

9月12日，李先生通過微信推送得知，自己名下的「紅沙宣」有3筆6463.1元的入賬，分別是一筆用餐和兩筆汽車配件消費，但並未收到短信和電話。他趕忙致電浦發信用卡客服，得知這3筆消費均於9月10日發生在巴西。「我沒去過巴西，而且9月的可用額度只有600多元，卻被盜刷了近兩萬元，消費當天也沒有收到銀行的任何提示。」李先生説。隨后，他向客服反饋遭遇盜刷並進行了掛失。

「紅沙宣」持卡人的盜刷賬單。

此前一天，哈爾濱的楊女士也接到微信提示，告知其浦發信用卡有3筆源於巴西的交易入賬，合計近1.3萬元。楊女士登錄APP查詢發現，早在9月9日，這3筆交易已經發生，但交易當天她並沒有收到任何短信提示。

「紅沙宣」萬事達卡被盜刷一事在社交媒體上刷屏。李先生於9月12日在社交媒體上掃碼進入了一個微信羣，里面已經有200余位持卡人中招。

9月13日，浦發銀行信用卡中心、萬事達卡及萬事網聯發佈緊急公告，稱監測到部分萬事達卡發生「未經授權的交易」，證實盜刷事件。

綜合多位持卡人的講述，記者發現，此次「紅沙宣」萬事達被盜刷，除了盜刷地點統一為巴西外，在其他多個方面也存在相似之處。首先，時間高度集中，大批用户的交易時間發生在9月9日至9月11日之間，而入賬時間在9月11日至9月12日，更有部分用户的入賬時間完全一致。其次，作案手法類似，不法分子先嚐試盜刷一筆2元至5元的小額交易，成功后再盜刷3筆金額不超過5000巴西雷亞爾（巴西的法定貨幣）的大額消費，總計人民幣1.9萬余元。再次，通知明顯滯后，用户均未收到過消費通知，僅收到了入賬通知。

據瞭解，浦發銀行和萬事達卡均在公告中明確承諾，此次事件中所有遭受盜刷的持卡人無需承擔任何損失。

技術性盜刷可能較大

事實上，早在今年2月，就有不少萬事達卡持卡人遭遇盜刷，涉及的銀行包括浦發、工行和匯豐等。據部分匯豐銀行用户反映，他們報名了萬事達的境內返現活動，在活動相關網頁上填寫並提交了信用卡CVV號碼，在這之后沒多久，其信用卡就被盜刷了。

在此次大規模批量盜刷事件爆發前，另有一家銀行推出的「暗黑破壞神」主題萬事達借記卡，也出現了多起用户被盜刷的情況，不同的是，盜刷發生地點集中在印度尼西亞。

記者9月16日在某社交平臺看到，有郵儲銀行用户發帖稱，9月15日突然收到境外交易短信確認，登錄APP查看，發現有一筆1000美元的消費因為額度不足失敗了，而這張萬事達卡「只在國內線上用過，從來沒有帶出國用過」。萬事達卡用户阿朱在該帖子下回複稱，9月12日遭遇了境外盜刷，交易顯示的盜刷商户和這位郵儲銀行用户一致，幸好她設置了鎖卡，交易失敗。

對於此次批量盜刷事件，浦發信用卡和萬事達卡均未明言原因。前者稱，已第一時間啟動應急響應，及時發現並阻斷了風險，並會將客户用卡安全置於首位。后者表示，已與發卡銀行第一時間啟動應急調查，併成立專項小組追溯風險源，阻斷潛在風險。9月16日，萬事達卡相關人士對記者表示，由於牽扯的方面比較多，又是跨境行為，具體原因還需要梳理，暫時沒辦法提供。

專注於數字化安全的威脅獵人撰文分析，大規模同步盜刷的前提是攻擊者已批量掌握了「紅沙宣」信用卡的關鍵信息（如卡號、有效期、CVV號碼等），具體而言，可能的信息獲取途徑有3種：一是黑客攻破了某些包含信用卡信息的數據庫，批量竊取了持卡人信用卡資料；二是黑灰產從業者利用釣魚鏈接、木馬程序等手段，從用户手中獲取了信用卡信息；三是攻擊者通過非法渠道收購了這些信用卡的信息。從盜刷手法來看，先用小額交易「探路」，再在短時間內最大化盜刷金額，説明盜刷團伙摸透了銀行和卡組織的風控規則，能夠比較精確地避開交易驗證和額度限制。選擇巴西作為盜刷地點，很可能是不法分子已在當地構建好了盜刷通道。由此可見，這是一起典型的黑灰產有組織攻擊：攻擊者通過非法手段獲取信用卡數據，並摸索出風控規則后，利用境外不規範支付渠道實現規模化資金盜取。

某信用卡行業分析人士對記者表示，按照當前的情形看，有組織的技術性盜刷攻擊的可能性更大。這意味着黑客可能找到了相關信用卡產品安全防火牆的某個漏洞，最終造成了集中盜刷。防範這類盜刷的唯一方式，就是銀行信用卡中心和卡組織不斷強化自身安全防火牆，進一步提高信用卡資金的安全性。

共建平臺避免監控盲區

記者瞭解到，事件發生后，浦發銀行信用卡中心已於9月16日至9月19日對相關係統進行了升級。

為保障支付安全，萬事達卡於2014年開始在全球支付網絡內推行支付標記化服務。該服務應用支付標記化技術，替代銀行卡卡號、卡片驗證碼、支付機構支付賬户等敏感信息，通過設置支付標記的交易次數、交易金額、有效期和支付渠道等約束規則，從源頭控制信息泄露和欺詐交易風險。

然而，層出不窮的盜刷事件讓公眾對萬事達卡的支付安全產生懷疑。博通諮詢首席分析師王蓬博認為，跨境支付安全薄弱環節主要表現在跨境風控斷層、應急響應迟緩，以及銀行與卡組織風險數據共享不及時等方面。王蓬博建議，卡組織作為結算方，須履行技術風控義務，應通過系統漏洞追溯、跨境風險攔截阻斷盜刷。針對跨境支付風險，銀行和卡組織應共建全球化的風控平臺，實時共享高風險地區和商户信息，避免出現監控盲區。

另外，作為普通持卡人，該如何防範信用卡盜刷？北京市高朋律師事務所高級合夥人郭金輝建議，持卡人在非必要時可關閉境外支付、磁條交易、免密免籤、單筆和單日高額交易功能，啟用境外、夜間、異地安全鎖功能，同時，保護好卡片信息，不在公共Wi-Fi進行支付，在小商鋪或流動返點刷卡時應注意遮擋實體卡信息，保持高度警惕，不讓卡片遠離視線。

萬事達卡及萬事網聯也提醒，持卡人要定期通過發卡行APP、短信通知或賬單核對交易（重點關注非本人消費、異常小額扣款），儘快開通每筆交易的實時提醒，線下用卡不脱離視線、線上交易保護卡號及驗證碼安全；若發現未經授權交易，立即撥打發卡行客服熱線覈實情況、凍結賬户。