来店礼、停车折抵 “过卡”成资安漏洞
https://news.ltn.com.tw/news/weeklybiz/paper/1266584
记者李靓慧/专题报导
网购等盗刷通报节节走高,这些卡片资料哪里来?信用卡专家警告,国人使用频繁的“信
用卡停车折抵”、百货业者的“来店礼”、“满额礼”,这些必须“过磁条”的“非交易
性刷卡”,已成为不法集团窃取卡号等资讯的最主要管道。
根据发卡银行、信用卡国际组织的观察,台湾网络盗刷通报不但逐年走高,且遭盗刷的状
况与国外相较,的确有偏高的现象。
如果持卡人的卡片未遗失,信用卡资料是如何外泄的?万事达卡分析,主要是来自于国内
的“非交易性刷卡使用行为”,例如停车折抵、百货来店礼兑换。
以信用卡停车折抵为例,持卡人使用时,必须在缴费机上刷信用卡磁条,该刷卡机连线至
发卡行主机,以判别该持卡人是否有足够的红利点数可扣,或是否符合免费停车资格。
但万事达卡指出,目前多数停车场采用的机器为旧式刷卡机,大都不符合支付卡行业资料
安全标准(PCI DSS, Payment Card Industry Data Security Standard),当卡号储存
在刷卡机,却又疏于资料安全管理,若有心人士拿来做非法使用,就会造成严重的网络盗
刷情况。
至于各百货通路虽均装设新型芯片刷卡机,但通常将旧式磁条刷卡机用于兑换来店礼等用
途,因此产生许多不必要的管理漏洞,甚至导致盗刷。
国内最大发卡银行中国信托观察,台湾的持卡人有“风险意识不足”的特性,对来路不明
的邮件、短信或社交软件讯息,均欠缺风险意识随意点击;且为了方便使用,经常直接在
电子设备或浏览器上储存卡号或个人资料,一旦设备被植入木马程式,手机或电脑中的卡
号等个资、银行发送的短信都有可能被窃取,进而遭到盗刷。
银行业者指出,若持卡人能证明该笔信用卡交易非本人而是遭盗刷,发卡行就得承担此一
损失;但目前多数的网络商店仍未采行3D网络认证机制,只能靠银行自救。
联邦银行指出,信用卡风控部门就是降低银行损失的重要角色,除了要紧盯持卡人的刷卡
行为,并提早发现哪些店有异常刷卡现象,才能让盗刷情形扩大前提早阻绝。
万事达卡提醒,手机网络购物盛行,网络业者多提供卡号绑定的服务,但台湾多数电子商
务业者,并不符合PCI安全标准,信用卡组织除了积极拓展代码化技术(Tokenization)
应用于网络购物,让购物平台无法储存持卡人真实卡号,也积极推动身分验证“
SecureCode”,确认交易者为持卡人本人,以提升交易安全。