實況報道
大家也許不知道,全球擁有近1900個伺服機輸送點的萬事達卡網絡系統,每小時可處理1億6000多萬項交易;交易尖峰期一般落在11月14日至隔年的1月2日。
信用卡看似普遍,但根據業界調查,全球85%的交易仍以現金完成;可預見的是,現今國際社會越來越重視金融包容性,信用卡市場在未來存在巨大的發展空間。
這塊潛力無限的大餅自然也引來罪犯的觊觎,不斷想方設法鑽漏洞,試圖竊取錢財和持卡人的資料。
如何確保每項信用卡交易的安全性,以增進持卡人的用卡信心,因此成了包括萬事達卡(Mastercard)在內的國際信用卡公司時刻思考探索的問題。
《聯合早報》記者日前走訪萬事達卡坐落美國聖路易斯的數據中心,以及位于紐約的技術中心,了解目前的信用卡交易安全趨勢和其未來的走向與挑戰。
300毫秒,這是萬事達卡每項信用卡交易大約所需時間。
無論是實體交易或網上交易,只要不存在網絡連接問題,付款指示往往在一眨眼間(或准確說是0.3秒)通過,讓人幾乎忘記每一筆信用卡交易的背後其實都經過了層層把關。
萬事達卡作爲全球第二大國際信用卡組織,它的發卡量至今超過23億張,持卡人遍布210多個國家和地區,每年要處理超過480億項交易。
爲確保順暢快捷的付款過程,公司在世界各地設有數據中心,其中包括新加坡,並計劃在更多地點設立數據中心以應付需求。
這些數據中心會把當地交易的資料輸送到聖路易斯的數據中心處理,如果該數據中心出現突發狀況,設在堪薩斯城的數據中心可隨時接應處理全球數據。
萬事達卡網絡營運高級業務主任湯姆·拉納(Tom Larner)說,目前與公司連線的發卡銀行多達2萬2000家,所以數據中心采取了萬全措施,避免系統故障或中斷的情況出現,例如數據中心這座建築本身就以地震多發區的抗震標准來設計,可抵禦天災的侵襲。
數據中心的主腦爲營運指揮中心,這裏約有100名員工24小時不間斷輪班。他們必須確認每項交易的真僞,並確保系統運作正常。如果出現刷卡信息錯誤,或銀行系統遭入侵,他們得及時排除問題,工作壓力頗高。
每項信用卡交易須過三關
基本上,萬事達卡每項信用卡交易都經過三個層面的驗證。首先,交易者是否使用真實賬戶;第二,所謂的持卡人是否真爲其人;最後,交易本身的真實性。
萬事達卡全球安全與決策産品執行副總裁喬恩·傑柏(Johan Gerber)說,隨著實體信用卡的保安技術獲得提升,僞造難度加大,罪犯即使成功偷走卡片,也無法輕易使用。這促使罪犯轉向盜用身份,以假冒持卡人身份在網上進行信用卡詐騙活動。
傑柏強調:“任何保安措施的有效性其實等同于它最脆弱的一環,所以我們需要對資料和數據進行多重保護,不能只靠單一措施。”
建立網上消費安全機制 分享電商大餅
電子商務(電商)市場日益壯大,跨境交易變得更頻密。以東南亞爲例,專家預計本區域的電子商務收益會在2020年突破250億美元(約343億新元),新興經濟體如越南和印度尼西亞到時預計會取代馬來西亞和泰國,成爲電子商務的最大市場。
電子商務發展不是沒有阻力,一部分來源于網站保安措施不足。萬事達卡身份識別方案執行副總裁鮑勃·雷尼(Bob Reany)指出,信用卡詐騙案在網絡平台的發生率比現實世界來得高,因此銀行在處理信用卡交易時也更爲謹慎,使網上交易的批准率與實體交易相比偏低。
雷尼說:“但是這樣的做法並沒有令網絡信用卡詐騙案明顯減少,結果形成惡性循環。銀行不輕易批准交易,消費者的上網購物興致也就被削弱了。”
爲此,萬事達卡的保安團隊這些年來積極開發新技術,優化消費者上網消費的體驗,尤其網絡世界少了信用卡公司最大的競爭對手——現金,是不可錯過的商機。
傑柏說,建立網上消費安全機制不僅是防止信用卡盜用,還要建立消費者的信心。
他說:“在付款過程中適當加點阻礙,給消費者一定的掌控權,如同給網上交易平台額外防護,這相信也是商家樂見的。”
智慧型EMV晶片強化安全
本地銀行早在2011年全面推行嵌有智慧型EMV晶片的信用卡和轉賬卡,美國直到去年10月才開始推行這項新技術。記者日前在紐約時,還曾碰到不接受EMV晶片卡的商家。
在EMV技術面世前,信用卡磁條經常是罪犯下手的目標,通過經改裝的刷卡機,竊取持卡人的資料。
萬事達卡支付系統執行副總裁南茜·奧馬利(Nancy O’Malley)爲記者介紹去年成立的電子安全實驗室(DigiSec Lab)時,就展示這樣一部刷卡機。
機身外表看似沒異樣,其實內有乾坤。在特殊X光機下,刷卡機裏頭原來有額外裝置,可讀取持卡人的資料。
奧馬利說,爲對抗罪犯,實驗室也提供政府機構法證方面的協助,而科技允許他們在不破壞證物的情況下,證實刷卡機已被動手腳。
電子安全實驗室每年會收到不下100宗的可疑報告,交由實驗室的六名研究員深入調查。
奧馬利認爲,免接觸式付款的交易只要做足防範,甚至比實體信用卡交易更安全。
“打個比方,電子錢包如Samsung Pay、Apple Pay和Android Pay的信用卡信息都已用獨特識別符號(tokenization)代替,另有加密程序和EMV晶片,交易其實很安全。”
雷尼補充,黑客一般靠出售竊取回來的資料謀利,保安措施如果齊全,黑客就須耗更長時間才能得逞,變相增加他們的成本,自然會令他們興致缺缺,轉而找其他目標。
此外,爲避免持卡人的個人資料外泄,有關數據在公司系統傳送時,都不具名。傑柏說:“萬一黑客在這個過程竊取到我們的資料,資料也會因不具名而大大降低遭濫用的可能性。”
萬事達卡開發“電子身份”
隨著越來越多罪犯趨向網絡平台下手,更企圖盜用身份行騙,萬事達卡團隊突發奇想,爲持卡人建立經得起驗證的“電子身份”。
公司過去一年多已在歐洲和北美洲推出名爲“Identity Check”的手機應用,並將分階段在世界其他地區推出,預計明年登陸亞洲。
下載新應用後,持卡人上網消費,只需使用應用自拍,就可取代密碼完成驗證。
生物認證系統精密
乍聽之下,這個付款方式似乎不太靠譜。不過雷尼說,罪犯要造假冒充並不容易,因爲應用會要求用戶對著鏡頭眨眼,以確保用戶是真人,而不是一張照片。這套精密的生物認證系統可辨識臉型、五官的距離,甚至是臉上的細紋,所以戴或不戴眼鏡也能辨認。
雷尼也說:“如果持卡人整容或發生嚴重意外影響容貌,都須到銀行更新臉部辨識認證。”
另外,應用會標識用戶付款時的所在地,再配合其消費習慣進行分析,層層保安措施令罪犯更難下手。
各式各樣的認證程序,或多或少給予消費者一定的掌控權保護自己的信用卡和個人資料。基于對公司系統和持卡人的信任,萬事達卡已對持卡人大膽許下“零責任”(zero liability)的承諾。只要持卡人爲保護信用卡免遭遺失和失竊采取了相應措施,並在信用卡丟失後立即通知發卡銀行,持卡人無須爲遭盜用的信用卡承擔責任。
奧馬利說:“信用卡交易正大量轉移至網絡平台,如果連最基本的信心都沒有,無法說服消費者使用新服務,也無法跟商家進一步合作,開發物聯網(Internet of Things)平台的服務。”
利用數據找出可疑交易
面對每秒上千項信用卡交易同時進行的信息量,萬事達卡多管齊下加強交易的安全性,除實時監控來往數據,也利用數據找出可疑交易。
2013年2月,犯罪分子盯上了一家銀行系統,最後從26個國家發動攻擊,在300台提款機上實施大規模的欺詐犯罪,涉案金額逾4000萬美元。
這僅是衆多網絡攻擊事件的其中一起。爲有備無患,萬事達卡在全球設下安全網,一旦發現類似攻擊或入侵事件,可及時啓動防護機制,減少發卡銀行的損失。
公司系統一旦察覺某家發卡銀行的交易系統出現問題,也可暫代銀行讓交易通過,同時通知銀行有關狀況。很多時候,消費者根本察覺不到個中偏差。
萬事達卡安全網曾在2014年及時阻止黑客進一步攻擊英國某服務供應商。當時系統監測到異常支出活動,在損失擴大至6萬美元時及時“出手”阻止。事後調查顯示,如果沒及時阻止攻擊,損失可能超過1800萬美元。
傑柏說,目前沒數據顯示罪犯專挑某區域下手,讓人無從判斷他們下一個攻擊目標。“我們現在像是與罪犯競賽,試圖搶先找出系統漏洞,並填補它。”
持卡人平常的消費習慣也能幫助公司縮小可疑範圍。傑柏說,萬事達卡的IQ系列(IQ Series)保安系統,可就信用卡的消費記錄,爲每次交易進行風險評估,從而判斷是否容許交易通過。
一般而言,大額消費的認證要求比小額消費高,海外消費的風險系數則比本地消費高。但傑柏補充,如果有關信用卡不時有海外簽賬的習慣,其海外消費的風險標准會相應調低。