当前位置:网站首页 > 黑客培训 > 正文

最高法:用户遭盗刷银行应赔偿,银行如何破局

freebuffreebuf 2021-06-03 332 0

本文来源:GEETEST极验

一、新规解读

银行卡明明在自己手里,余额却不翼而飞……最高人民法院关于审理银行卡民事纠纷案件若干问题的规定5月25日起施行。

1.1 盗刷问题银行将担责

《银行卡规定》第七条,明确以下两种盗刷情况,银行须赔偿:

- 发生伪卡盗刷交易或者网络盗刷交易,借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的,人民法院依法予以支持

- 发生伪卡盗刷交易或者网络盗刷交易,信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的,人民法院依法予以支持

同时,针对上述两款情形,持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错,发卡行主张持卡人承担相应责任的,人民法院应予支持。

近年来,银行卡盗刷特别是网络盗刷案件频发,严重侵害当事人财产权益,同时也影响着银行卡支付市场的安全稳定发展,潜藏着较大的风险。专家认为,该规定在银行卡产业法治化发展进程中具有里程碑作用。与此同时,新规的出台,将给银行业带来哪些影响?人们目光再次聚焦到各大银行。

二、银行面临的问题与挑战

自2018年以来,短信验证码攻击案多地频发,短信嗅探盗刷迅速蔓延全国。给用户财产造成巨大损失的同时,银行也深陷银行卡民事纠纷案件之中。

- 2019年3月,上海市普陀区人民法院判决,农行将赔偿瞿先生全额损失,包括18万的卡内被盗刷金额、利息损失以及律师费;

- 2019年12月,南昌市西湖区人民法院审理了该起储蓄存款合同纠纷案,针对验证码泄露卡被盗刷问题,鉴于银行有责任建立持卡人安全保障机制,且银行在双方储蓄合同法律关系中处于强势地位,并结合本案中双方的过错程度,法院判令银行对王某资金被骗承担70%的责任,即7000元;王某自身泄露动态密码,应承担30%的责任,即3000元;

- 2020年9月,杭州萧山区法院对储蓄存款合同纠纷案作出判决,银行赔偿小康的存款全部损失,共计102128.31元及相应利息;

- 2021年4月,温州中院依法对阮某诉某银行储蓄存款合同纠纷一案作出终审判决,银行对银行卡被盗刷造成的损失承担70%的赔偿责任,即赔偿阮某存款损失153160元及利息损失,阮某对信息管理不善导致银行卡被盗刷,承担30%的责任。驳回银行的上诉请求,维持原判;

与此同时,随着技术与市场的成熟化发展,移动支付覆盖场景将更加广泛。中国人民银行发布的最新数据显示,截至2020年末,全年银行共处理电子支付业务2352.25亿笔,金额2711.81万亿元。暴利驱动下,黑灰产频频出手,网络盗刷案件逐渐攀升。

新规的出台,无疑对银行移动支付安全提出更高的要求。但面对日益成熟的网络盗刷产业链,银行又该如何破局呢?

三、银行卡网络盗刷分析

回顾近年来关于盗刷的纠纷,银行投入了大量人力、物力与财力,尽量减少用户财产损失。但面对频发的网络盗刷案件,银行仍然只能疲于应付,问题到底出在哪?

此次新规中,针对网络盗刷问题,在实际业务场景中,一直存在两个较大争议点:

- 网络盗刷中,存在着持卡人点击不明链接后,手机接收的短信验证码被犯罪分子拦截的现象存在。如何解决这一争议,短信验证码的泄露是否基于持卡人的过错的举证责任由谁承担;

- 网络盗刷中,还存在短信嗅探,基于短信验证码的攻击行为。持卡人未经任何操作的情况下,线上资产发生盗刷,如何界定持卡人保管义务与过错。

而在以下两大争议点中,「短信验证码」又正是网络盗刷过程中黑灰产突破的关键环节。

- 案件一:2018年8月,「独钓寒江雪」在豆瓣发帖《这下一无所有了》,讲述被盗刷的经历。一时间,伪-基站、短信嗅探掀起舆论关注。与此同时,包括郑州、广州、厦门等全国多地,接连发生多起银行卡被盗刷事件。这些银行卡盗刷案件作案手段一致,均是利用手机2G网络(GSM)不加密传输的漏洞,通过伪-基站和短信嗅探器,在一定范围内获取用户手机号码和短信验证码。之后,再利用各大银行APP存在的漏洞和缺陷,实现信息窃取、资金盗刷。

- 案件二:2020年8月,深圳龙岗警方宣布打掉一个新型盗刷银行卡犯罪团伙,抓获10名嫌疑人,查缴伪-基站等电子设备6套,带破同类案件50余宗,涉案金额逾百万元。据专家分析,嫌疑人通过“GSM劫持+短信嗅探”技术截获受害人短信验证码,从而完成盗刷等操作。截至目前,这是全国该类案件中打掉涉案人数最多、金额最大的一起。

注册新账号,需要短信验证码;忘记密码又想登录网站,需要短信验证码;在网上转账提现,需要短信验证码……当前,使用短信验证码验证用户身份的技术,被广泛应用于各类移动应用和网站服务。但特殊情况下,黑产利用「伪-基站」攻击,短信验证码将遭遇拦截。那么便存在,「是否用户本人使用本人手机完成验证操作」这样的漏洞,给不法分子伪装受害者提供了机会,也给网络盗刷责任界定增加了争议点。那么,如何保证在诸多场景下是否是被本人操作呢?

四、极验「无感本机认证」

4.1 极验「无感本机认证」

极验新一代的身份认证解决方案「无感本机认证」,替代传统短信验证,既能规避传统短信验证缺点:短信轰炸、短信钓鱼、短信错误发送、短信通道堵塞、短信嗅探、第三方运营商用户信息泄露等诸多安全层面问题,同时在用户体验方面也可以解决传统短信存在延时发送不到,导致用户流失投诉等用户体验问题,极验新一代身份认证产品-无感本机认证适用于移动APP终端、H5以及微信小程序。

4.2 静默校验

「是否用户本人使用本人手机完成验证操作」这样的问题,极验新一代验证是如何解决的呢?

极验新一代验证无感本机认证中推出另外一种验证形式,用户登录成功之后,基于三大运营商的能力拿到本机SIM卡手机号与用户登录账号进行对比。根据匹配结果判断登录账号是否为本机账号,如果结果不匹配,可判断用户不是本机账号登录,可进行高强度认证。

静默校验可用于支付场景,忘记密码场景,确认本次登录APP账号为本机手机号。

结语

站在银行角度,新规的出台,有利于倒逼相关部门展开移动支付安全风险专项排查,不断加强移动支付场景安全能力建设。作为新一代身份验证解决方案,极验「无感本机认证」将为移动支付场景增加一层防护,守护用户资产安全同时,提升交互体验。而银行相关部门,在面对网络盗刷问题上,除了配合相关部门进行反诈宣传,提升用户网络安全意识外,也将多一个选择,从而更加主动的做出应对。​​​​

转载请注明来自网盾网络安全培训,本文标题:《最高法:用户遭盗刷银行应赔偿,银行如何破局》

标签:业务安全身份认证极验短信验证码银行卡盗刷

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表