上海市银监局警示银行卡外联机构盗取信息
近日,上海银监局针对近期出现的盗取持卡人密码信息、盗划客户资金案件发出警示,各商业银行需及时检测与外联机构合作的安全性,做好风险防范,保障客户资金安全。
上海银监局要求,上海市商业银行需对外联系统开展风险排查,对可疑交易应逐笔甄别,要改变与外联机构查询业务的直联模式,通过跳转网银系统实现银行卡查询交易;加强查询交易的安全控制,并设定通过外联机构查询错误密码的锁定条件。对确认存在风险又不能及时排除的外联机构要果断中止合作,并及时报告监管部门。
相关信息:2010年5月以来,不法分子利用与部分银行卡清算系统相联,具备支付和购物功能网站可大批量、不设限发送银行卡密码、信息查询请求的弱安全性缺陷,以银行卡卡号大排序、简单密码穷举等方式,轮番进行密码探测,盗取包括卡号和交易密码在内的部分银行卡用户的交易信息,之后通过电话银行渠道以无磁交易或制作伪卡方式转移、盗划资金。
实际上,此类受攻击的外联支付机构都没有设置银行卡查询交易的锁定条件。而被探测到银行卡信息的卡主要有以下特点:一是多为非银联标准卡,二是为2004年前批量开设的睡眠卡,三是密码设置过于简单的卡片。