全球支付系统风险三大发展趋势
添加时间:2014-10-15 21:52
1. 日益增加的无卡交易(CNP) 欺诈风险。
全球范围内,电子商务业迅猛发展,互联网用户不断增多,宽带覆盖范围越来越广,智能手机覆盖率不断提高。在中国,研究表明,到 2020 年,中国的网购交易规模将达到 2.5万亿元,约是 2012 年的 3 倍。
而其它研究也表明,到 2015 年,中国有望超过美国,成为全球第一大网购市场。然而,科技的发展在丰富购物渠道的同时,也增加了犯罪机会。从全球趋势中越来越明显看到,欺诈由伪造卡向无卡交易 (CNP) 欺诈转变,中国也将面临类似的情况。
2. 数据泄露案件日益增加且形式多样。
毋庸置疑,欺诈者正在不断适应新环境,改变攻击目标,扩大欺诈范围。他们不断变换组织形式,扩大势力范围,改进攻击方法,寻找新机会。即使支付系统参与者加大防御力度,欺诈者还是会从支付系统的最薄弱环节寻找突破口,诈骗方法也是从简单到复杂,其特征有三点。
(1)犯罪分子不断适应新环境。
一是欺诈者的主要攻击目标由持卡人和商户转向会员银行和处理商。二是随着欺诈总数的增长,各类实体遭受欺诈的数量也在激增。三是欺诈由以个人和本地犯罪集团为主发展为由成熟的国际犯罪团伙精心策划。四是欺诈行为一度集中在盗窃个人卡片,而如今,欺诈者多利用网上系统的漏洞通过复杂的跨境计划来实施。
(2)数据泄露攻击方法相对稳定。
从大多数数据泄露案件可以看出,遭到入侵的实体缺乏基本的安全措施。事实上,在过去五年间,常见的攻击方法并没有太大改变。看似复杂的攻击其实主要利用系统的破绽,用相当简单的方法进行攻击。
例如,许多攻击者经常使用一种名为“资料隐码攻击(SQL-injection)”的方法,入侵公司网站所在服务器上的数据库。这一众所周知的攻击方法在 1998年首次出现,至今依然在受攻击实体常见漏洞名单中榜上有名。尽管数据泄露的方法在演变,但大多仅涉及中低难度的攻击,不足为惧,我们有对付它们的工具。真正需要我们警惕的是少数攻击行径,它们对整个支付系统影响巨大,必须严加防范。
(3)数据泄露问题开始向静态数据渠道转移。
在北美,EMV 采用率相对较低,数据泄露主要集中在实体企业。而在亚太地区,大多数有据可查的数据泄露集中在电子商务企业。美国市场已经扩大了 EMV 的使用范围,而Visa 则积极推动这一趋势。最近 Visa 再度确认,自 2015 年10 月 1 日起,美国将被纳入全球责任转移政策框架下,这一政策将适用于所有在美国销售点进行的跨境、国内信用卡及借记卡交易。
3. 新参与者和新服务给支付体系带来新的风险。
第三方支付代理在支付系统中广泛出现,给 Visa 及客户带来了信誉和财务的双重风险。
因此,过去两年来,Visa 对第三方代理的管控力度大大加强。
(1)第三方代理的增加给系统带来风险和复杂性。
目前,有三股力量促使第三方代理迅猛增长 :一是客户越来越多地外包支付类服务,如账户管理等日常运作服务。
商户也招揽第三方代理,这样他们就能专注于制定战略规划,在竞争激烈的市场中准确定位和定价,以此来增加销售额。
二是支付行业持续发展,吸引了更多投资者和大量新参与者涌入。三是新的第三方代理商业模式出现,诸多技术创新为消费者和零售商提供激动人心的创新交易方式,mPOS 即是很好的案例,但这些创新可能带来新的风险。
在这一领域,Visa 付出了诸多努力,如通过 Visa 服务提供商注册等计划,提升支付生态系统中参与者的公开性和透明度 ;通过培训、最佳实践和威胁智能等认知活动,帮助银行客户提高代理风险控制能力。
(2)挑战与控制。
虽然大多数第三方代理机构拥有健全的风险控制机制,但几个“坏苹果”就足以侵蚀人们对支付系统的信任。管控不力可能导致代理和支付服务提供商(PSP)为从事非法活动的商户埋单而浑然不知。过度依赖第三方代理、缺乏管理层监管可能会导致合规过失,将机构置于一系列风险之下。例如,银行将信用卡印制业务外包给卡片供应商,这就意味着将客户数据托付给供应商,会给银行信誉带来一系列隐私泄露和安全风险。