拉卡拉電簽版
您當前的位置:主頁 > 常見問題 >

pos終端常見安全隱患成因與解決建議

2020-11-16 來源:北方金融 作者:楊青枝

  一、POS終端安全問題引發的社會危害

  (一) 銀行卡盜刷。

  銀行卡盜刷也稱“偽卡盜刷”或“偽卡欺詐”, 指不法分子通過改裝POS終端、在POS終端上安裝測錄設備或者在主板上加裝銀行卡側錄器等方式, 側錄、盜取持卡人的銀行卡支付敏感信息, 包括卡號、密碼等, 仿制一張與發卡銀行所發的磁條銀行卡相同的偽卡, 并利用偽卡進行取現、消費、轉賬等行為。銀行卡盜刷的直接表現為持卡人的銀行卡雖然安全保管, 但銀行卡上的錢“不翼而飛”, 給持卡人、商戶、發卡行帶來無法估量的損失。

  據央視《焦點訪談》2016年12月6日晚報道, 江蘇宿遷等地警方于近日破獲一起特大盜刷銀行卡案件, 涉案金額1000余萬元, 案件涉及全國18個省市共200余起, 不法分子通過拆裝POS終端植入一個芯片模塊, 在持卡人刷卡消費時趁機復制、竊取銀行卡信息, 給社會造成極其惡劣的影響。

  (二) POS終端“切機”.

  所謂“切機”, 類似手機的“刷機”, 不法分子以設備維護、系統升級、降低費率、提高資金到賬速度等手段為借口, 更換商戶POS終端程序或修改POS終端系統底層參數, 變更收單機構、商戶或后臺綁定的銀行卡賬戶等信息, 從而達到盜取商戶資金或盜取收單手續費的目的。

  中國銀聯發布的《2014年上半年銀行卡受理市場規范工作通報》顯示, 根據有關機構投訴, 樂富、中匯等機構為擴大收單市場份額, 授意或指使外包機構利用切機搶奪商戶資源, 加劇了收單機構間惡意競爭。

  據通聯支付網絡服務股份有限公司內蒙古包頭業務部 (簡稱通聯包頭業務部) 反映, 2015年至2016年通聯包頭業務部先后發生了數十起被切機的現象, 一些不法的支付機構, 如隨行付、瑞銀信、中匯支付等支付機構下面的代理商以回收POS終端設備為由, 通過修改設備的底層程序、系統配置參數等手段, 偽造商戶名稱和代碼, 更換資金清分路徑, 達到非法收益、搶占市場份額的目的, 給收單機構、商戶造成了一定的經濟損失和其他負面影響。“切機”這種違法行為不需要購買設備, 違法成本較低, 行為性質惡劣, 嚴重擾亂了支付服務市場秩序。

  (三) 違法經營或卷款跑路。

  近年來, 隨著互聯網的普及, 網上非法買賣POS機 (包括MPOS) 、刷卡器等銀行卡受理終端屢禁不止, 不法分子往往以入網門檻低、費率優惠、到賬快等為誘餌, 誘騙商戶安裝一些無證收單機構的POS終端設備, 不受相關監管規定的約束, 導致信用卡套現、洗錢等違法犯罪行為的發生, 或挪用商戶結算資金“跑路”的風險事件。

  據中國經濟網報道, 2016年3月, 浙江省寧波市的18名商戶舉報稱, 從代理商勤豐華能手中購買的通聯支付POS機, 在使用一段時間后資金無法到賬, 被代理商卷款420多萬元跑路。

pos機安全

  二、POS終端安全隱患的成因分析

  (一) 部分終端設備不符合安全規范。

  按照中國人民銀行發布的《銀行卡銷售點 (POS) 終端技術規范》等三項行業標準的要求, POS終端應具備防拆開關、斑馬條、mesh電路等軟硬件電路防護機制, 防止終端被加裝非法電路或改造。但在調查中發現, 目前我國現有的POS終端生產廠商有幾百家, 其中規模較大的有惠爾豐、聯迪、百富、新國都、新大陸等廠商, 較小的有信雅達、升騰、華智融等, 第三方支付興起后, 移動POS廠商更是數不勝數, 執行的安全標準不盡相同, 部分廠商生產的POS終端不符合安全標準, 如江蘇宿遷等地警方破獲盜刷銀行卡案件中, 犯罪嫌疑使用的福建聯迪商用設備有限公司生產的聯迪E550型POS終端沒有任何防拆、防破壞措施等。

  人民銀行包頭市中心支行在對包頭市POS終端安全和標準符合性檢查中發現, 有4%的POS終端設備沒有張貼防破壞標簽, 近12%的POS終端設備沒用配備防拆開關、斑馬條、mesh電路等措施, 不能有效防范POS終端被改造或加裝非法電路, 存在較大的安全隱患。

  (二) 部分商業銀行和收單機構不嚴格執行制度。

  為保障銀行卡應用安全, 中國人民銀行做了大量的工作, 先后起草、制定、下發了一系列的標準、規范和實施意見。早在2011年就發布了關于推進金融IC卡應用工作的實施意見, 要求收單機構優先改造受理環境, 確保所有的受理終端都能夠受理金融IC卡;此后的五年間曾多次發文就金融IC受理環境改造、電子現金跨行圈存、小額快速非接觸商圈建設及各項試點工作進行了安排部署。為了避免由于金融IC卡降級交易可能產生的偽卡欺詐風險, 中國人民銀行于2014年專門發文對關閉金融IC卡降級交易的期限做了規定, 要求所有發卡行、收單機構都應于2014年10月31日前關閉境內POS渠道降級交易。2015年又對銀行卡非接受理環境建設及非接受理流程改造的進度進行了明確。但在實際工作中, 個別發卡銀行和收單機構由于受自身條件的限制或出于對成本、效益的考慮, 沒有嚴格執行人民銀行的相關規定。

  一是個別發卡行沒有按照規定從發卡端關閉金融IC卡的降級交易, 導致部分金融IC卡的信息被不法分子盜用, 仿制出卡號、密碼等關鍵信息相同的有效磁條卡, 實施銀行卡盜刷。

  二是個別收單機構沒有按要求完成非接受理環境的改造, 持卡人消費時必須使用實體卡操作, 存在銀行卡信息泄露風險。以包頭市為例, 截至2016年9月末, 包頭市可以匯總統計的POS終端有81300臺, 支持非接的POS終端61943個, 非接改造的完成率為76.20%.

  三是部分銀行和支付機構對商戶資質審核不嚴、受理終端或網絡支付接口管理不規范, 為不法分子利用銀行、支付機構的支付服務從事違法犯罪活動提供了可乘之機。近年來, 各收單機構為追求市場份額, 重業務拓展、輕安全管理, 對特約商戶資質審核不嚴格, 對在用的終端設備缺乏長期有效的跟蹤監督和安全管理, 對閑置的終端設備沒有及時回收并辦理退出手續, 存在一定的安全漏洞。此外, 部分收單機構采用第三方外包形式安裝、維護POS終端, 對外包人員疏于管理, 對終端設備讀卡模塊等這些關鍵部件的維護及密級參數修改等, 沒有嚴密的審批流程和監督機制;極易引發安全風險。

  (三) 持卡人和商戶安全意識不強。

  在對包頭市POS終端安全和標準符合性檢查中發現, 部分商戶對POS終端的安全隱患認識不足, 設備隨意放置、相互借用、移機等現象普遍存在, 有的商戶抱著寧多無缺的態度安裝了多家收單機構的終端, 設備閑置率高, 管理混亂, 為不法分子或別有用心的人提供可乘之機。

  部分商戶法律意識淡薄, 受無證支付機構的蠱惑, 貪圖眼前的利益, 安裝低廉甚至是免費的銀行卡受理終端, 開展信用卡套現、違規經營等;部分持卡人安全保密意識淡薄, 認為只要卡在手中就萬無一失, 在購物消費時, 隨意暴露卡號、密碼等銀行卡支付敏感信息等, 引發多種安全隱患。

  三、相關建議

  (一) 加強對POS終端設備的安全規范管理。

  銀行卡受理終端屬于金融服務專用設備, 其技術標準符合性和安全防護等級直接關系到客戶信息安全、資金安全和支付服務市場秩序, 為此中國人民銀行重新修訂并于2016年9月6日發布了《銀行卡銷售點 (POS) 終端技術規范》等三項行業標準的要求, 分別從POS終端硬件要求、軟件要求和安全加密技術等方面提出了新的標準, 各收單機構和POS終端生產廠商都應嚴格執行相關標準, 從生產、流通、申領、安裝及使用管理等各個環節嚴格把關, 杜絕不符合技術標準、被非法改裝過的終端設備流入市場, 有效防范和打擊偽卡盜刷、POS終端切機等違法行為。

  (二) 加快推進金融IC卡和移動金融的應用進程。

  一是要繼續推進金融IC卡的發卡力度, 加快磁條銀行卡向IC卡應用遷移的進程。二是繼續完善金融IC卡受理環境。各發卡行應嚴格按照人民銀行的要求, 及時關閉金融IC卡ATM渠道、POS渠道降級交易;各收單機構優先改造受理環境, 加快非接受理環境建設及非接受理流程改造的進度, 努力營造安全、便捷的用卡環境, 切實保護商戶和持卡人的利益。

  (三) 加大對特約商戶的日常管理和監督檢查。

  各銀行卡收單機構應嚴格落實銀行卡收單、網絡支付相關監管制度規定, 切實履行商戶資質審核、風險管理、受理終端和網絡支付接口管理等責任, 確保商戶為依法設立且經營活動合法合規, 嚴防虛假商戶申領受理終端或開通網絡支付接口、違規移機使用受理終端、違規布放移動受理終端等問題。同時各收單機構應在規定時間內核對全部受理終端的使用地點, 對于違規移機使用、無法確認實際使用地點的受理終端一律停止業務功能, 防止受理終端流入不法分子手中用于從事非法活動。

  各收單機構要加強對其外包服務商或代理機構人員的管理, 認真簽訂安全保密協議, 建立全程跟蹤監督、定期巡查和責任追究制度, 及時發現和排除風險隱患, 努力從源頭上減少銀行卡被復制盜刷, 確保持卡人的用卡安全。

  (四) 利用科技手段對POS終端交易進行風險監控。

  充分利用大數據分析、身份識別、用戶行為建模等高科技手段, 建立POS終端事前入網身份識別、事中數據校驗、事后交易風險防范多層次的管理機制。在入網環節, 將身份信息、密鑰等內置于安全模塊中, 實行終端注冊管理機制, 從源頭上確保終端的合法性。在交易環節, 利用大數據分析和交易行為建模, 自動校驗、篩查交易記錄, 有效甄別銀行卡盜刷、終端切機、移機等違規行為。利用風險信息共享機制, 提高違規交易追溯效率, 及時預警異常交易, 并采取調查核實、風險提示、延遲結算等管控措施, 有效防范POS終端的交易風險。

  (五) 普及銀行卡安全知識, 提高從業人員、持卡人的安全意識。

  各商業銀行充分發揮分支機構多、營業網點分布廣、客戶資源多等優勢, 通過舉辦大型培訓、講座, 設立咨詢臺、LED屏滾動、張貼海報、排放展架和折頁等多種形式宣傳銀行卡安全用卡知識。各收單機構應重點開展對金融從業人員、商戶和收銀員培訓, 特別是針對受理復合卡的業務員, 督促其正確讀取芯片信息, 熟練掌握非接受理機具的使用方法, 切實提升金融IC卡和移動金融的用戶體驗, 努力培養安全的支付習慣。

免费性交黄片,欧美久久久电影,91se在线播放,黄色免费电影网站,欠久欧洲免费精品视频