信用卡0.3秒闯三关过账

坐落纽约市曼哈顿第五大道的技术中心设有科技体验空间,展示万事达卡与商家联手开发的物联网服务。图中的电冰箱连接网络,用户可直接上网购买日常用品。(苏文琪摄)
“Identity Check”手机应用让持卡人以自拍代替密码,完成网上消费的验证程序。(万事达卡提供)

实况报道

大家也许不知道,全球拥有近1900个伺服机输送点的万事达卡网络系统,每小时可处理1亿6000多万项交易;交易尖峰期一般落在11月14日至隔年的1月2日。

信用卡看似普遍,但根据业界调查,全球85%的交易仍以现金完成;可预见的是,现今国际社会越来越重视金融包容性,信用卡市场在未来存在巨大的发展空间。

这块潜力无限的大饼自然也引来罪犯的觊觎,不断想方设法钻漏洞,试图窃取钱财和持卡人的资料。

如何确保每项信用卡交易的安全性,以增进持卡人的用卡信心,因此成了包括万事达卡(Mastercard)在内的国际信用卡公司时刻思考探索的问题。

《联合早报》记者日前走访万事达卡坐落美国圣路易斯的数据中心,以及位于纽约的技术中心,了解目前的信用卡交易安全趋势和其未来的走向与挑战。

 

 

300毫秒,这是万事达卡每项信用卡交易大约所需时间。

无论是实体交易或网上交易,只要不存在网络连接问题,付款指示往往在一眨眼间(或准确说是0.3秒)通过,让人几乎忘记每一笔信用卡交易的背后其实都经过了层层把关。

万事达卡作为全球第二大国际信用卡组织,它的发卡量至今超过23亿张,持卡人遍布210多个国家和地区,每年要处理超过480亿项交易。

为确保顺畅快捷的付款过程,公司在世界各地设有数据中心,其中包括新加坡,并计划在更多地点设立数据中心以应付需求。

这些数据中心会把当地交易的资料输送到圣路易斯的数据中心处理,如果该数据中心出现突发状况,设在堪萨斯城的数据中心可随时接应处理全球数据。

万事达卡网络营运高级业务主任汤姆·拉纳(Tom Larner)说,目前与公司连线的发卡银行多达2万2000家,所以数据中心采取了万全措施,避免系统故障或中断的情况出现,例如数据中心这座建筑本身就以地震多发区的抗震标准来设计,可抵御天灾的侵袭。

数据中心的主脑为营运指挥中心,这里约有100名员工24小时不间断轮班。他们必须确认每项交易的真伪,并确保系统运作正常。如果出现刷卡信息错误,或银行系统遭入侵,他们得及时排除问题,工作压力颇高。

每项信用卡交易须过三关

基本上,万事达卡每项信用卡交易都经过三个层面的验证。首先,交易者是否使用真实账户;第二,所谓的持卡人是否真为其人;最后,交易本身的真实性。

万事达卡全球安全与决策产品执行副总裁乔恩·杰柏(Johan Gerber)说,随着实体信用卡的保安技术获得提升,伪造难度加大,罪犯即使成功偷走卡片,也无法轻易使用。这促使罪犯转向盗用身份,以假冒持卡人身份在网上进行信用卡诈骗活动。

杰柏强调:“任何保安措施的有效性其实等同于它最脆弱的一环,所以我们需要对资料和数据进行多重保护,不能只靠单一措施。”

建立网上消费安全机制 分享电商大饼

电子商务(电商)市场日益壮大,跨境交易变得更频密。以东南亚为例,专家预计本区域的电子商务收益会在2020年突破250亿美元(约343亿新元),新兴经济体如越南和印度尼西亚到时预计会取代马来西亚和泰国,成为电子商务的最大市场。

电子商务发展不是没有阻力,一部分来源于网站保安措施不足。万事达卡身份识别方案执行副总裁鲍勃·雷尼(Bob Reany)指出,信用卡诈骗案在网络平台的发生率比现实世界来得高,因此银行在处理信用卡交易时也更为谨慎,使网上交易的批准率与实体交易相比偏低。

雷尼说:“但是这样的做法并没有令网络信用卡诈骗案明显减少,结果形成恶性循环。银行不轻易批准交易,消费者的上网购物兴致也就被削弱了。”

为此,万事达卡的保安团队这些年来积极开发新技术,优化消费者上网消费的体验,尤其网络世界少了信用卡公司最大的竞争对手——现金,是不可错过的商机。

杰柏说,建立网上消费安全机制不仅是防止信用卡盗用,还要建立消费者的信心。

他说:“在付款过程中适当加点阻碍,给消费者一定的掌控权,如同给网上交易平台额外防护,这相信也是商家乐见的。”

智慧型EMV晶片强化安全

本地银行早在2011年全面推行嵌有智慧型EMV晶片的信用卡和转账卡,美国直到去年10月才开始推行这项新技术。记者日前在纽约时,还曾碰到不接受EMV晶片卡的商家。

在EMV技术面世前,信用卡磁条经常是罪犯下手的目标,通过经改装的刷卡机,窃取持卡人的资料。

万事达卡支付系统执行副总裁南茜·奥马利(Nancy O'Malley)为记者介绍去年成立的电子安全实验室(DigiSec Lab)时,就展示这样一部刷卡机。

机身外表看似没异样,其实内有乾坤。在特殊X光机下,刷卡机里头原来有额外装置,可读取持卡人的资料。

奥马利说,为对抗罪犯,实验室也提供政府机构法证方面的协助,而科技允许他们在不破坏证物的情况下,证实刷卡机已被动手脚。

电子安全实验室每年会收到不下100宗的可疑报告,交由实验室的六名研究员深入调查。

奥马利认为,免接触式付款的交易只要做足防范,甚至比实体信用卡交易更安全。

“打个比方,电子钱包如Samsung Pay、Apple Pay和Android Pay的信用卡信息都已用独特识别符号(tokenization)代替,另有加密程序和EMV晶片,交易其实很安全。”

雷尼补充,黑客一般靠出售窃取回来的资料谋利,保安措施如果齐全,黑客就须耗更长时间才能得逞,变相增加他们的成本,自然会令他们兴致缺缺,转而找其他目标。

此外,为避免持卡人的个人资料外泄,有关数据在公司系统传送时,都不具名。杰柏说:“万一黑客在这个过程窃取到我们的资料,资料也会因不具名而大大降低遭滥用的可能性。”

万事达卡开发“电子身份”

随着越来越多罪犯趋向网络平台下手,更企图盗用身份行骗,万事达卡团队突发奇想,为持卡人建立经得起验证的“电子身份”。

公司过去一年多已在欧洲和北美洲推出名为“Identity Check”的手机应用,并将分阶段在世界其他地区推出,预计明年登陆亚洲。

下载新应用后,持卡人上网消费,只需使用应用自拍,就可取代密码完成验证。

生物认证系统精密

乍听之下,这个付款方式似乎不太靠谱。不过雷尼说,罪犯要造假冒充并不容易,因为应用会要求用户对着镜头眨眼,以确保用户是真人,而不是一张照片。这套精密的生物认证系统可辨识脸型、五官的距离,甚至是脸上的细纹,所以戴或不戴眼镜也能辨认。

雷尼也说:“如果持卡人整容或发生严重意外影响容貌,都须到银行更新脸部辨识认证。”

另外,应用会标识用户付款时的所在地,再配合其消费习惯进行分析,层层保安措施令罪犯更难下手。

各式各样的认证程序,或多或少给予消费者一定的掌控权保护自己的信用卡和个人资料。基于对公司系统和持卡人的信任,万事达卡已对持卡人大胆许下“零责任”(zero liability)的承诺。只要持卡人为保护信用卡免遭遗失和失窃采取了相应措施,并在信用卡丢失后立即通知发卡银行,持卡人无须为遭盗用的信用卡承担责任。

奥马利说:“信用卡交易正大量转移至网络平台,如果连最基本的信心都没有,无法说服消费者使用新服务,也无法跟商家进一步合作,开发物联网(Internet of Things)平台的服务。”

利用数据找出可疑交易

面对每秒上千项信用卡交易同时进行的信息量,万事达卡多管齐下加强交易的安全性,除实时监控来往数据,也利用数据找出可疑交易。

2013年2月,犯罪分子盯上了一家银行系统,最后从26个国家发动攻击,在300台提款机上实施大规模的欺诈犯罪,涉案金额逾4000万美元。

这仅是众多网络攻击事件的其中一起。为有备无患,万事达卡在全球设下安全网,一旦发现类似攻击或入侵事件,可及时启动防护机制,减少发卡银行的损失。

公司系统一旦察觉某家发卡银行的交易系统出现问题,也可暂代银行让交易通过,同时通知银行有关状况。很多时候,消费者根本察觉不到个中偏差。

万事达卡安全网曾在2014年及时阻止黑客进一步攻击英国某服务供应商。当时系统监测到异常支出活动,在损失扩大至6万美元时及时“出手”阻止。事后调查显示,如果没及时阻止攻击,损失可能超过1800万美元。

杰柏说,目前没数据显示罪犯专挑某区域下手,让人无从判断他们下一个攻击目标。“我们现在像是与罪犯竞赛,试图抢先找出系统漏洞,并填补它。”

持卡人平常的消费习惯也能帮助公司缩小可疑范围。杰柏说,万事达卡的IQ系列(IQ Series)保安系统,可就信用卡的消费记录,为每次交易进行风险评估,从而判断是否容许交易通过。

一般而言,大额消费的认证要求比小额消费高,海外消费的风险系数则比本地消费高。但杰柏补充,如果有关信用卡不时有海外签账的习惯,其海外消费的风险标准会相应调低。

1