盗刷产业链调查：线上支付成盗刷洗钱通道 赔付艰难

　　一直被视为“黑色产业链”的银行卡盗刷，如今已近乎行走在阳光下。

　　“盗刷的人在各种渠道公开叫卖盗取的银行卡信息，然后拿到银行卡的人通过游戏点卡、手机充值卡、景点门票、机票等各种渠道把卡里的钱洗走，”来自北京、被盗刷了近万元的张先生告诉记者，“被盗刷的受害者，要小心谨慎地在银行、支付平台、商家平台之间沟通、交涉，却始终担心自己的钱要不回来。”

　　2016年7月，张先生工商银行卡被盗刷。经工行出具材料证明，该卡通过易宝支付的支付渠道，先后在去哪儿消费接近4000元、在携程消费约5000元，均为景区门票，此外尚购买了300元话费充值卡。其中，仅2000元交易被拦截，其余交易均已完成消费，且难以追回。根据第三方投诉平台21CN聚投诉统计，2015年3月至2016年3月，聚投诉平台共接到1.7万件投诉，其中涉及盗刷的投诉共1046件，占总投诉比值超过6%。聚投诉平台主编潘俊珺告诉记者：“每天，都会新增很多盗刷投诉，增速也越来越快。”

　　庞大的盗刷产业链

　　盗刷银行卡，滋润着庞大的产业链。

　　在QQ群中检索“CVV”，可以得到3651个QQ群。其中，千人规模以上的群超过60个，500人以上的QQ群超过200个，且均保持极高的活跃度。此外，100人以上的CVV群则超过800个。几乎每个群的简介中都备注着“CVV、洗料通道、银行四大件、拦截”等盗刷产业中的常用语。

　　CVV是指信用卡安全码。一个包含卡号、日期、CVV完整信息的信用卡在这个行业称为“料”，“料”的种类包括各国信用卡、各行银行卡、支付宝、微信钱包，且大多具备银行卡、身份证、手机号、密码等关键信息。

　　“料”的来源多种多样，360网络攻防实验室负责人林伟告诉记者：“国内很多线上平台或者支付机构都存储用户银行卡的基本信息，但安全机制却普遍存在漏洞，一旦发生信息泄露，就会流出大量完整的用户信息。”除此之外，电信诈骗、手机木马也造成大量银行卡信息的泄露，而目前很多带有闪付功能的银行卡，也可以在近距离接触的情况下通过特定终端读取用户信息。

　　一些具备余额、短信拦截、密码的“料”被不断叫卖。而少数已经过时或者没有余额的“料”，被以excel的形式上传到群文件中，记者通过此类文件中信息尝试联系当事人，所标注的银行卡、身份证、家庭住址、职业、手机号、姓名基本完全正确，而当事人却不知道自己信息已经泄露。

　　出售优质“料”，“料”主可以拿到卡内余额的30%-50%。当然，也有“料”主按照余额1%左右的比例收取费用。

　　剩余金额，则流入了各种“洗料”人的手中。传统的转账、提现、POS机盗刷等形式因为监管机构长期打击而成本越来越高，绝大多数“洗料”人会通过国内多种第三方支付平台将到手的银行卡销赃。

　　“国内各类混乱的支付渠道缺乏有效安全监管，或多或少都存在一些风险控制上的漏洞，”猎豹移动安全专家李铁军举例告诉记者，“以我们去年跟进的一个‘洗料通道’案件为例，北京某第三方平台的支付渠道被黑产团伙利用，短短数月的时间内受害用户多达数千人，损失金额从几十到数万不等。”从受害用户追查的消费记录来看，资金流包括购买游戏币、彩票、话费充值、机票门票等多种 “洗料”方法，有些信用卡还被发现通过境外消费划走资金。

　　在诸多QQ群中，随时会有一些商户批量收点卡、充值卡、门票、酒店、机票等产品，而“洗料”人则通过第三方平台购买此类产品，以5-7折的价格出售给商户，而商户则以略低于正规渠道的价格出售给最终消费者。

　　虽然环节看似繁琐，但事实上从“洗料”人购买产品到该产品到达最终消费者手中几乎都在极短的时间内实现，而从各QQ群中公开信息可见，行业默认所有环节完成分赃的时间基本在25分钟到2个小时之内。