首页 > 赛迪观察 > 正文

POS机诈骗案频发须引起高度重视

来源:赛迪智库  作者:李建武  投稿时间:2018-01-31

  近年来,因POS机引发的银行卡诈骗案件时有发生。不法分子通过改装POS机终端,加装盗取银行卡信息存储的设备到POS机内,以低于市场价的价格出售,恶意盗取持卡人信息。前不久,已有不少省市发现这类POS 机正通过各种渠道流入市场。一些收单机构审批简单,只需身份证、银 行卡照片和电话号码就可办理个人对私POS机,无疑为这种违法犯罪行为提供了生存空间。针对POS机诈骗事件频发提出相应对策,加强对POS机 发放机构的监管,确保刷卡消费者的合法权益,已是迫在眉睫。
 

  一、POS机机诈骗的特点及危害
 

  (一)POS机诈骗事件频发
 

  2017年6月,北京朝阳警方破获了多起POS机诈骗案,涉案金额50余万元 。2017年8月,上海市奉贤区警方破获一起特大跨省市系列POS机诈骗案 件,对商铺店家实行诈骗多达640余起,涉案金额128万余元。2017年8月 ,沈阳市公安局浑南分局侦破一起利用POS机实施的诈骗案件,被骗商户 178家,涉案金额203万元。
 

  2017年8月,云南曲靖警方抓获一诈骗团伙,经侦查对实施的POS机金融 诈骗事实供认不讳,据交代,该团伙流窜在山东、江西、河南、贵州、 陕西等地,疯狂作案20余起,涉案金额10万余元。2017年8月,重庆南岸 区警局打掉一个利用POS机进行诈骗的团伙,短短两个月,该团伙就盗刷 近百万元,受害者多达30余人。
 

  (二)POS机机诈骗的特点
 

  2017年以来,媒体曝光的多起通过POS机盗刷银行卡诈骗案有以下特点: 一是有组织的团伙犯罪。覆盖了非法改装POS机、截获持卡人信息及密码 、克隆银行卡并实施异地盗刷的黑色产业链,分工明确,协作周密,作 案手法隐秘。二是诈骗团伙学历普遍在高中水平。POS机诈骗并不需要高 深的专业技术,其大多数是通过互联网了解POS机结构,并学习改装POS 机。三是人员流动性强。犯罪嫌疑人主要通过互联网、即时聊天工具等 媒介进行线上勾结、策划以及犯罪经验传授,并在各地流窜作案。
 

  (三))POS机机诈骗的危害
 

  一是POS机诈骗给持卡人带来了严重的经济损失。近期北京、上海、四川 等地连续侦破系列POS机诈骗案件,涉案金额近千万元,给受害者造成了 难以弥补的经济损失。二是POS机诈骗干扰了正常的金融秩序。POS机诈 骗不仅扰乱了金融机构的经营秩序,还会给金融机构带来潜在的金融风 险,尤其是信用卡诈骗,会给银行造成无法挽回的声誉和资金损失。
 

  二、POS机诈骗案多发的原因
 

  (一)对对POS机终端产品监管不严
 

  POS机终端作为重要的金融支付工具,攸关公众财产安全,应定性为面向 收单机构的行业产品而非大众消费品。然而,由于产品监管方面存在漏 洞,致使POS机产品被当作一般性电子消费品,在一些购物网站甚至可以 随意购买到POS机,极易导致不符合技术标准、被非法改装过的POS终端 流入市场。不论对购买方还是使用方,都存在信息泄露、资金被盗等风 险,为电信网络诈骗开启了方便之门。
 

  (二))POS机机厂商鱼龙混杂
 

  目前,全国有银联认证的POS机终端厂商约95家,还有众多未经过银联认 证的厂商,这些终端厂商资质和技术水平有一定差异,产品质量参差不 齐。一方面,一些能力和技术水平差的公司通过挂靠、代理的形式可以 生产POS机终端,尽管授权符合要求,但在实际生产中偷工减料,产品质 量不达标。另一方面,一些未获得相应资质的POS机终端厂商执行生产标 准不严,在产品没有通过必要测试和认证的情况下,仅通过第三方收单 机构的入网联调,就将不合规的POS机产品推向市场。这些都给POS机终 端的应用埋下了安全隐患。
 

  (三)POS机安全技术标准滞后,新技术应用推广难度较大
 

  随着信息安全技术的发展,通信传输安全、身份认证技术、数据存储安 全、芯片安全、操作系统安全、信息脱密、数据编码、POS机防拆自毁程 序等多种安全技术在金融支付领域得以应用。但是,强制性安全标准规 范更新滞后,目前最新的POS机终端安全标准还是2010年发布实施的《银 联卡受理终端PIN输入设备安全规范》(Q/CUP007.6-2010)。此外,由 于高安全、高可靠性的POS机终端成本较高、系统集成复杂,在没有强制 标准制约下应用推广受限;一些掌握更高安全技术的POS机终端生产企业 迫于成本压力,以及来自低端POS机终端生产厂商的竞争压力,不得不放 弃对新安全技术的研发生产及应用推广。
 

  (四)老旧POS机终端存量较大
 

  目前,市场还存有大量老旧POS机终端仍在使用,这些POS机终端产品大 都存在一定的安全缺陷,并且也超出了厂家维保年限(一般规定为5年) ,其中大部分POS机未安装防拆装置,或防拆装置失效,容易被不法分子 拆解改装。此外,全国发行的银行卡总量在65亿张左右,其中磁条卡存 量约34亿张,由于读取磁条卡的POS机存在设计缺陷,很容易被不法分子 通过侧录的方式窃取银行卡信息。此次曝出的被非法改装的POS机终端就 属于读取磁条卡的老旧机型。
 

  三、遏制用利用POS机诈骗的措施建议
 

  (一)加强对对POS机全生命周期安全监管
 

  POS机终端设计生产和应用环节理应遵循严格的规范要求。依照颁布实施的相关规范,在应用软件开发环节,由金融收单机构下单,POS机终端厂商根据收单机构的技术标准要求制定研制方案,待通过银行或第三方机构验收后,POS机终端厂商才能做定制化生产,并且严格按照生产安全流程操作,保证设备终端信息安全。在设计生产环节,遵照金融行业《银联终端产品生命周期安全和质量管理指南》的相关要求,由POS机终端厂商进行严格的把关控制,从源头上开始保证安全,从原材料采购到生产整机入库,对整个过程关键节点都要进行相应的测试与监控。同时,要保证终端整机的安全、可靠,可根据设备序列号实现对批次产品的追溯。在安装应用环节,POS机终端交付收单机构后,会交由专门的金融主管部门分管,按照资质审查流程和标准,对POS机用户进行资质审核和材料审批,内容包括对机具布放市场后的安全和使用安全均由机构负责,银行或机构对采购的机具拥有所有权,杜绝POS机生产和流通过程中的安全隐患。金融主管部门应加强对收单机构的监管。严格禁止非法、违规提供或使用受理设备。如果已造成社会危害和不良影响的,相关机构和单位及个人有权追究其法律责任并要求赔偿。收单机构有责任、有义务给商户提供有合法来源的支付产品;收单支付产品和设备应符合国家相关金融规范及指导标准。在推广和营销各类收单受理工具和设备时,收单机构有义务为使用者说明使用要点,明确违规违法责任。
 

  (二)建立部门间协同监管机制
 

  POS机终端作为重要的金融支付工具,除了遵循国家金融行业相关规范和 设计标准外,还应接受相关行业主管部门的监督管理。例如,对于受理 金融支付的POS机,应通过工业和信息化部颁发的入网许可;POS机终端 产品投入市场前,需经过金融主管部门授权许可的银检机构和相应的安 全检测认证许可。POS机终端不同于一般的消费类电子产品,它关乎国家 金融秩序的稳定,对此类特殊的行业产品,必须加强监督管理和行业应 用的规范化。为此,在应对POS机诈骗时,还需根据各部门的职责分工, 强化相关主管部门之间的沟通合作,形成高效互动机制,借助联合开展 整治非法买卖银行卡信息的专项行动,要加强对POS诈骗新型违法犯罪交 易风险的研判管理和有效应对。
 

  (三)加强对对POS机机安全防护技术研发和标准的制修订
 

  作为一种特殊的金融支付工具,POS机首要的功能应是确保持卡人刷卡交 易的安全。一方面,要加强安全技术的研发与应用,提升POS机应用安全 保障能力;另一方面,要及时更新POS机终端的安全标准规范,推动新型 安全技术的应用。研究制定应对POS机诈骗的具体技术标准,应从以下方 面展开:一是通过应用新型安全支付标记化技术,对银行卡安全码等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期 、支付渠道等域控属性,从源头控制信息泄露和交易风险。二是采用具 有信息输入即时数据加密功能的安全控件,防止收单机构及委托代理机
 

  构非法采集支付敏感信息。三是加强客户端软件安全管理,确保客户端 软件符合国家金融行业相关标准和信息安全要求,提升客户端软件安全 防控能力。四是利用大数据分析用户行为建模等手段,建立交易风险监 控模型和系统,及时预警异常交易,并采取调查核实、风险提示、延迟结算、附加验证、拒绝请求等措施,应对批量或频繁登录等异常行为。 五是强化第三方收单服务平台的安全评估,增加服务器端对接收数据的 有效性校验功能,防止客户端提交非法数据及SQL注入等攻击。
 

  (四)设定严格的入网及报废机制
 

  POS机终端作为金融支付工具,应具有严格的入网审查许可。POS终端厂商通过安全认证后,方可进行产品入网许可申请,保证安全认 证产品与入网产品的一致性,并由主管部门进行监管,未获得进网许可 证以及进网许可证失效的电信设备不得加贴进网标志。此外,无论从使 用期限、硬件老化程度,还是应用环境、行业安全标准更迭来看,电子 产品都应当有一定的生命周期和年限要求。对于POS机产品,可以考虑在 进网标上加上使用年限字样,约定特殊产品的在网有效期,以规避因技 术更新、安全技术等级提高等因素造成原有终端不符合现有安全使用条件,相关部门可进一步研究POS机终端报废回收办法。
 

  (五)做好POS机机安全宣贯工作
 

  引导POS机生产企业加强行业自律,利用先进成熟的安全信息、安全技术 手段,实现对敏感信息的隔离保护,生产安全可靠的POS终端产品。同时 ,还应加强银行卡互联网支付等交易密码的保护管理和安全宣传和教育 ,培养收单商户、普通用户的风险防范意识和安全支付习惯,提高安全防范意识,针对犯罪分子典型作案手法,开展安全支付教育工作,通过网站、微博、微信以及网络安全周等不同渠道,及时向商户通报犯罪分子的最新作案手法,提高用户的风险防范意识。

共1页 |< 首页 < 上一页 1 下一页 > 尾页 >|

【上一篇】: 2017年互联网行业十大热词盘点:人工智能、共享单车、新零售上榜    【下一篇】: 从世界500强的十年变迁研判全球产业演替趋势

  中国电子信息产业发展研究院(赛迪集团)是直属于国家工业和信息化部的一类科研事业单位。成立二十多年来,一直致力于面向政府、面向企业、面向社会提供研究咨询、评测认证、媒体传播与技术研发等专业服务。形成了政府决策与软科学研究、传媒与网络服务、咨询与外包服务……[详细]

赛迪专家更多

创新推动市县国企信息化

新时代,信息化建设已成为企业获得竞争优势不可或缺的..

六大亮点绘出工业互联网平台发展路线图

2018年上半年,国家密集出台了一系列支持工业互联..

赛迪机构

咨询业 媒体业 评测业 信息技术服务业 会展培训业 其他(分支机构)