媒体称中国银联小额免密支付发生多起盗刷案 “免密免签”漏洞被利用

       据《半月谈》报道，近年来，一类利用银联卡小额“免密免签”(即银联卡持卡人在指定商户进行小额消费时无需输入密码或签名即可实现支付)功能默认开通漏洞，进行银行卡“隔空盗刷”的新型犯罪案件正在增多。专家担忧，如银联方面继续保持银联卡相关功能默认开通，此类案件发案率将进一步增长。

　　2018年11月中旬以来，广州市公安局南沙分局鱼窝头派出所接到多起群众报案，称被人盗刷银行卡资金。据事主反映，他们都曾在一条美食街逛街，当时银行卡在自己钱包里，但卡上的钱不翼而飞。

　　据鱼窝头派出所办案民警刘警官介绍，犯罪嫌疑人正是利用银联卡小额“免密免签”功能默认开通的漏洞，实施了不法行为。

　　作案手法是将设置好的POS机装进一个普通的男士夹包，然后物色下手对象。

　　“找到合适的对象后，拿着夹包靠过去感应一下。只要感应的距离在5厘米以内，就容易得手。”

　　刘警官说，芯片卡默认开通小额“免密免签”支付功能，小笔金额的消费不需要输入密码或者签名，只要POS机感应到芯片卡的闪付功能，就会自动付费。

　　“小额‘免密免签’支付的单笔最高限额是1000元，所以嫌疑人每次都将金额设定在999元以下，然后选择到人流密集的场所活动，这样走一圈就得利不少。”

　　记者了解到，自2015年银联为新发芯片卡默认开通小额“免密免签”功能以来，国内已发生多起利用该功能漏洞实施的“隔空盗刷”案件。

　　不少网友在社交媒体上讲述因“免密免签”功能造成盗刷的经历，并表达了对银联和银行互相推诿的不满。

　　微博网友@我就是一堆乱码表示，借记卡因“闪付功能”(免密免签)被盗刷，报警后让找银行，银行又让找银联，银联又让找警察……

　　“默认开通小额‘免密免签’功能，是此类案件中最大的问题。”

　　从事网络安全研究的四叶草安全研究院院长赵培源等安全技术专家认为，此漏洞属于硬件底层漏洞，尚无法通过软件升级等方式来规避。

　　因而默认关闭用户的小额双免功能，并为对该功能有需求的用户提供防盗刷卡套，是解决该问题的唯一途径。

　　对于广州发生的盗刷案件，中国银联广东分公司在回函中说：此次案件属于“个别商户”疑似存在非法活动，已对商户作关停处理。

　　不过记者了解到，犯罪团伙在网络上即可买到售价不足千元的授权POS机，随后通过提供他人身份证和银行卡，并利用伪造营业执照，就能轻松通过相关金融部门的审核，这说明相关审核体系存在漏洞，也说明不法“个别商户”可能会不时出现。

　　此外，不少用户对默认开通的“免密免签”功能仍毫不知情，用户端防范意识弱。

　　一些银行在用户办卡时未履行告知义务;银联方面称通过短信、网站等方式的提醒，也可能被用户当做垃圾信息忽略掉。

　　记者随机采访也显示，不少用户并不掌握自己银行卡已被默认开通相关功能，未采取有效防范措施。

　　2018年银联发布公告称，为提升银联移动支付体验、扩大服务覆盖面，从当年6月起，小额“免密免签”单笔交易限额由300元提升至1000元。

　　银联方面认为，将单笔小额“免密免签”消费限额从300元提升至1000元，是顺应消费形势，并以新加坡单笔限额960元和中国香港澳门地区850元作为参照标准。（据半月谈）