黑龙江消费网

中国消费者报报道（记者聂国春）人在家中坐，账单巴西来。9月9日至11日凌晨，多位浦发银行万事达无价世界信用卡（卡友俗称“红沙宣”）持卡人在社交平台上反映，遭遇境外盗刷。这些盗刷交易均发生在巴西，单笔金额从数千元至数万元不等。

《中国消费者报》记者调查发现，近年来，万事达卡多次出现境外被盗刷事件，且涉及不同银行的不同卡种。此次浦发“红沙宣”被批量盗刷，更是将万事达卡推上了风口浪尖。到底是何种原因导致卡被盗刷？作为连接全球商户与发卡机构的核心枢纽，万事达卡又采取了哪些措施来保障支付安全。

用户万事达卡遭盗刷

9月12日，李先生通过微信推送得知，自己名下的“红沙宣”有3笔6463.1元的入账，分别是一笔用餐和两笔汽车配件消费，但并未收到短信和电话。他赶忙致电浦发信用卡客服，得知这3笔消费均于9月10日发生在巴西。“我没去过巴西，而且9月的可用额度只有600多元，却被盗刷了近两万元，消费当天也没有收到银行的任何提示。”李先生说。随后，他向客服反馈遭遇盗刷并进行了挂失。

“红沙宣”持卡人的盗刷账单。消费者供图

此前一天，哈尔滨的杨女士也接到微信提示，告知其浦发信用卡有3笔源于巴西的交易入账，合计近1.3万元。杨女士登录APP查询发现，早在9月9日，这3笔交易已经发生，但交易当天她并没有收到任何短信提示。

“红沙宣”万事达卡被盗刷一事在社交媒体上刷屏。李先生于9月12日在社交媒体上扫码进入了一个微信群，里面已经有200余位持卡人中招。

9月13日，浦发银行信用卡中心、万事达卡及万事网联发布紧急公告，称监测到部分万事达卡发生“未经授权的交易”，证实盗刷事件。

综合多位持卡人的讲述，记者发现，此次“红沙宣”万事达被盗刷，除了盗刷地点统一为巴西外，在其他多个方面也存在相似之处。首先，时间高度集中，大批用户的交易时间发生在9月9日至9月11日之间，而入账时间在9月11日至9月12日，更有部分用户的入账时间完全一致。其次，作案手法类似，不法分子先尝试盗刷一笔2元至5元的小额交易，成功后再盗刷3笔金额不超过5000巴西雷亚尔（巴西的法定货币）的大额消费，总计人民币1.9万余元。再次，通知明显滞后，用户均未收到过消费通知，仅收到了入账通知。

据了解，浦发银行和万事达卡均在公告中明确承诺，此次事件中所有遭受盗刷的持卡人无需承担任何损失。

技术性盗刷可能较大

事实上，早在今年2月，就有不少万事达卡持卡人遭遇盗刷，涉及的银行包括浦发、工行和汇丰等。据部分汇丰银行用户反映，他们报名了万事达的境内返现活动，在活动相关网页上填写并提交了信用卡CVV号码，在这之后没多久，其信用卡就被盗刷了。

在此次大规模批量盗刷事件爆发前，另有一家银行推出的“暗黑破坏神”主题万事达借记卡，也出现了多起用户被盗刷的情况，不同的是，盗刷发生地点集中在印度尼西亚。

记者9月16日在某社交平台看到，有邮储银行用户发帖称，9月15日突然收到境外交易短信确认，登录APP查看，发现有一笔1000美元的消费因为额度不足失败了，而这张万事达卡“只在国内线上用过，从来没有带出国用过”。万事达卡用户阿朱在该帖子下回复称，9月12日遭遇了境外盗刷，交易显示的盗刷商户和这位邮储银行用户一致，幸好她设置了锁卡，交易失败。

对于此次批量盗刷事件，浦发信用卡和万事达卡均未明言原因。前者称，已第一时间启动应急响应，及时发现并阻断了风险，并会将客户用卡安全置于首位。后者表示，已与发卡银行第一时间启动应急调查，并成立专项小组追溯风险源，阻断潜在风险。9月16日，万事达卡相关人士对记者表示，由于牵扯的方面比较多，又是跨境行为，具体原因还需要梳理，暂时没办法提供。

专注于数字化安全的威胁猎人撰文分析，大规模同步盗刷的前提是攻击者已批量掌握了“红沙宣”信用卡的关键信息（如卡号、有效期、CVV号码等），具体而言，可能的信息获取途径有3种：一是黑客攻破了某些包含信用卡信息的数据库，批量窃取了持卡人信用卡资料；二是黑灰产从业者利用钓鱼链接、木马程序等手段，从用户手中获取了信用卡信息；三是攻击者通过非法渠道收购了这些信用卡的信息。从盗刷手法来看，先用小额交易“探路”，再在短时间内最大化盗刷金额，说明盗刷团伙摸透了银行和卡组织的风控规则，能够比较精确地避开交易验证和额度限制。选择巴西作为盗刷地点，很可能是不法分子已在当地构建好了盗刷通道。由此可见，这是一起典型的黑灰产有组织攻击：攻击者通过非法手段获取信用卡数据，并摸索出风控规则后，利用境外不规范支付渠道实现规模化资金盗取。

某信用卡行业分析人士对记者表示，按照当前的情形看，有组织的技术性盗刷攻击的可能性更大。这意味着黑客可能找到了相关信用卡产品安全防火墙的某个漏洞，最终造成了集中盗刷。防范这类盗刷的唯一方式，就是银行信用卡中心和卡组织不断强化自身安全防火墙，进一步提高信用卡资金的安全性。

共建平台避免监控盲区

记者了解到，事件发生后，浦发银行信用卡中心已于9月16日至9月19日对相关系统进行了升级。

为保障支付安全，万事达卡于2014年开始在全球支付网络内推行支付标记化服务。该服务应用支付标记化技术，替代银行卡卡号、卡片验证码、支付机构支付账户等敏感信息，通过设置支付标记的交易次数、交易金额、有效期和支付渠道等约束规则，从源头控制信息泄露和欺诈交易风险。

然而，层出不穷的盗刷事件让公众对万事达卡的支付安全产生怀疑。博通咨询首席分析师王蓬博认为，跨境支付安全薄弱环节主要表现在跨境风控断层、应急响应迟缓，以及银行与卡组织风险数据共享不及时等方面。王蓬博建议，卡组织作为结算方，须履行技术风控义务，应通过系统漏洞追溯、跨境风险拦截阻断盗刷。针对跨境支付风险，银行和卡组织应共建全球化的风控平台，实时共享高风险地区和商户信息，避免出现监控盲区。

另外，作为普通持卡人，该如何防范信用卡盗刷？北京市高朋律师事务所高级合伙人郭金辉建议，持卡人在非必要时可关闭境外支付、磁条交易、免密免签、单笔和单日高额交易功能，启用境外、夜间、异地安全锁功能，同时，保护好卡片信息，不在公共Wi-Fi进行支付，在小商铺或流动返点刷卡时应注意遮挡实体卡信息，保持高度警惕，不让卡片远离视线。

万事达卡及万事网联也提醒，持卡人要定期通过发卡行APP、短信通知或账单核对交易（重点关注非本人消费、异常小额扣款），尽快开通每笔交易的实时提醒，线下用卡不脱离视线、线上交易保护卡号及验证码安全；若发现未经授权交易，立即拨打发卡行客服热线核实情况、冻结账户。