

　　信用卡安全从未像今天这样猖獗。2007年11月4日下午，哈尔滨市的某条街道发生了一起便衣警察伏击事件，经过几分钟的追捕之后，疑犯尤瑞·杨格戴维束手就擒，此人为美籍俄罗斯人，44岁，他携带的两个白色盒子里散落一大堆的卡片，竟然是印着Visa和Master标志的信用卡，共计5000多张，这些卡片粗制滥造，甚至缺少卡号、签名条以及防伪标识。

　　哈尔滨警方在随后的审讯中得知，这名美籍俄罗斯人尤瑞·杨格戴维一直生活在美国，2007年10月份通过上海浦东机场入境，之后他一路北上来到了哈尔滨，此次中国之行的目的是伪造信用卡。

　　脆弱的安全

　　黑色磁条信息是任何一张信用卡使用的关键，记载了持卡用户的各类资料，ATM机、POS机也是根据磁条信息来识别信用卡。伪造信用卡的关键，就是窃取磁条信息。尽管尤瑞·杨格戴维携带的这些卡缺少卡号、签名条以及防伪标识，但是只要有磁条信息就完全可以使用。

　　事实上，尤瑞·杨格戴维伪造信用卡的最终目的，也就是盗用他人的磁条信息。一旦得到真正的磁条信息，尤瑞·杨格戴维就可以随意将别人的信息复制到这些伪造的信用卡上，然后拿着这些伪卡提现、消费，让真正的持卡人为他买单。

　　从全世界的信用卡安全案件(包括后文提及的震惊一时的美国TJX案例)来看，窃取磁条信息有很多手段。

　　除了常见的ATM机、POS机的漏洞以外，持卡用户应用信用卡手机购物、信用卡网上消费也都可能被黑客们截获信用卡信息，然后伪造信用卡。

　　甚至还有不少“李鬼”的银行网站，页面做得与真的银行网站非常相似，甚至域名只有几个字母的差别。导致信用卡用户误认为这些网站是某个银行的主页，将自己真实的姓名、卡号、密码以及其他信息输入进去，显示出来的则是“本网站正在维护”的信息。而正是这样一个简单的过程，信用卡的信息已经被窃取，可以不费吹灰之力复制一张和客户真正的信用卡磁条相同的信用卡了。

　　据公安部经济犯罪侦查局统计：截止2007年10月，全国公安机关共立信用卡诈骗案件2，311起，较去年同期上升40.4%；涉案金额达8，166万元，较去年同期上升24.3%。

　　“圈地”后的风险

　　8年前，万事达卡国际组织(MasterCard International，下称万事达)亚太区执行副总裁暨大中华区总经理冯炜权带着一家人搬到北京，负责万事达中国区业务的时候，信用卡在中国才刚刚起步。来北京之前，冯炜权曾负责万事达卡组织台湾区的业务，正好经历了信用卡在台湾从起步、发展到日渐成熟的整个过程。在北京的8年，他又一次见证了中国信用卡井喷一般的发展。

　　据统计，2003年年中，中国国内仅有300万张信用卡；但是截至2007年年中，国内已经发行4，300多万张信用卡了。4年以来国内各个银行的信用卡发卡大战犹如一场浩荡的“圈地运动”，拉动中国的信用卡数量呈井喷之势增长。

　　中国的信用卡市场在不断成熟的同时，挑战不断。片面追求覆盖率、发卡数量逐渐显露弊端，卡奴、睡眠卡、持卡人频繁销卡等现象日趋严重，以卡式独特、赠品繁多为特点的“泛卡时代”也已经开始遭遇危机。

　　冯炜权喜欢用“多市场的国家”来描述中国的信用卡市场。就目前而言，中国的信用卡用户还是和欧美等国家用户不太一样，“总之这是一个很特别的信用卡市场”，冯炜权表示，“在保障信用卡安全方面，除了银行要采取相应的安全保障措施，还有持卡用户本身要小心，万事达和其他国际卡组织一样，也在防伪上做研发。”

　　根据招商银行相关人士介绍，对于银行而言，信用卡盈利主要依靠：用户年费、循环利息以及商户的交易费等中间业务收入。而现阶段面临的主要问题则是，由于风险预测不足和管理精细程度不够，导致信用卡使用频率低、忠诚度不够、坏账死账频发等状况，信用卡业务在蕴含巨大商业潜能的同时存在着高风险。

　　很多国家都会定义一个安全指标来规范和督促信用卡的安全状况，譬如在美国，信用卡的欺诈比例要在总交易金额的4.5%以下。在这个安全指标之下，伪卡以及欺诈的比例必须低于4.5%这个安全指标。

　　但国内似乎缺乏相应的规范，部分银行似乎也未给予足够重视。“国内不少银行可能会因为顾及面子，所以不愿意把它实际的伪卡损失报上来。其实，这并不利于发展，作为一个刚刚发展起来的市场，出现欺诈和伪卡都是正常的，重要的是如何消除、避免，并且形成一套机制来尽可能让信用卡更安全。”冯炜权打了一个比方，就像小孩子犯错误是在所难免的，中国的信用卡市场还是“小孩子”，出现错误后，加强安全机制防止再度犯错才是上上之选，瞒住不报或者瞒住少报都不是解决之道。

　　毕竟，对于持卡人来说，他们并不需要太多的信用卡，而是需要足够安全和方便的信用卡。

　　各就各位防风险

　　远在旧金山的老太太，会因为小孙子来看望她，而拿着花旗银行的信用卡去超市购买小孩的零食或者玩具，一回到家里，就会有电话留言。原来，这是花旗银行的信用卡服务中心来电话求证：老太太今天是不是在某个地点进行了消费？为什么会和过去的消费习惯不太一样？信用卡有否遗失？等等。

　　这是冯炜权带孩子去旧金山看望妈妈，因为信用卡消费而发生的事情。

　　冯炜权介绍，包括美国花旗银行在内的众多银行信息系统已经能够“捕捉”到持卡人与平时消费习惯不同的消费异常，然后马上通知系统，信用卡服务中心立即就会致电或者短信询问持卡人。

　　灵敏地“捕捉”到异常的消费状况，并且及时与持卡人进行核对，就能有效地降低信用卡欺诈的机率。但就银行而言，对异常消费状况的“灵敏嗅觉”，需要有一个强大的商业智能系统作后台支撑。

　　汇丰银行(HSBC)在防信用卡欺诈的路上走在前列，从去年开始，汇丰银行就应用了欺诈防范管理系统。欺诈防范管理系统为汇丰银行的信用卡客户提供更加完善的反欺诈侦测，进而改进了客户服务。汇丰银行欺诈风险部门负责人德里·威尔德(Derek Wylde)介绍，仅仅3个月，相对于财产案件管理系统，欺诈防范系统将代理调查潜在欺诈案件的效率提高了10%；处理潜在的银行卡交易欺诈的计算机资源成本降低了30%。

　　在本土银行中，招商银行的许多举措值得称道。2007年11月，各地电视台轮番播出的5个黑衣保镖造型的电视广告格外吸引眼球，该广告诠释了招商银行的“五重安全保障”理念：一、签名/密码，随心选择；二、短信消费提醒；三、“24小时异常消费监测”服务；四、消费明细E-mail告知；五、失卡万全保障。

　　作为中国国内信用卡发卡量最大的银行，招商银行最早发现中国的消费者偏好使用手机短信沟通。于是，招商银行最早创立了“短信交易提醒服务”。持卡人的信用卡消费金额达到一定数额后，消费账单立即会由手机短信传送，以便持卡人随时核对。

　　民生银行虽未在国内信用卡圈地时代拔得头筹，但是民生银行却已采用赛仕软件研究有限公司(SAS Institute Inc.，SAS)的商业智能分析平台对信用卡进行智能分析。民生银行系统部副总经理高晨伟指出：“民生银行对客户、产品、渠道等方面进行全面的数据分析，做到真正意义上的用数据说话，用数据规避风险并实现效益最大化。”

　　就具体应用而言，首先，民生银行通过创建模型对信用卡关键业务指标和报表数据进行挖掘，帮助信用卡中心人员更方便、更快速地获得关于客户、产品、渠道、区域等各方面的信息，从而有力地支持市场营销、风险管理、客户关系管理、财务计划等精细化管理工作的展开。

　　其次，开发预测模型和科学决策支持系统。通过对第一阶段模型激活、挖掘有效数据，对用户信用卡申请、开卡、使用等各个阶段的行为进行评估和分析，开发出中高端储蓄客户信用卡产品交叉销售响应预测模型，以及不良贷款催讨预测模型，以规避银行在信用卡发出后存在的风险。

　　此外，SAS中国公司风险管理解决方案总监朱卫文也表示，将评分卡应用于信用卡发卡审批环节，以此为标准自动批准授信或自动拒绝，既方便银行操作又节省人力的投入，也对信用卡发行后可能产生的不良资产进行掌控。

　　目前，民生银行的信用卡发卡量已经突破300万张，单靠人工审批发卡已经难以跟上这一速度，高晨伟正在考虑用智能分析系统替代一部分人工发卡审批，从而提高发卡审批的效率，同时通过有效的数据分析，进行客户细分和定位，并开展针对性的管理和营销。

　　网上交易的安全门

　　“过去网络黑客的目的相对都比较单纯，现在的黑客很大一部分是专门盗窃网上交易持卡人的信息，譬如卡号、密码等各种信息，这已经是犯罪行为。”中国金融认证中心(下称CFCA)总经理李晓峰对比最近几年黑客行为的变迁说道。

　　几年前，黑客往往以单打独斗的形式出现，很多黑客只是炫耀计算机技术，而不以获利为目的；而今天，黑客们已经转向获利型、团伙式，甚至向产供销一条龙的“黑客产业链”发展。

　　李晓峰介绍，“黑客产业”的前端是专门生产制作病毒的黑客；然后将制好的病毒挂到网上(专业术语叫做“挂网”)出售给专门“售毒”的人，若黑客本身也参与到了整个网上交易欺诈团伙，则黑客可能也会参与一些病毒的挂网传播；挂网之后，病毒开始肆虐，“黑客产业”的后端就可以直接作案了。

　　而信用卡，总是网上交易欺诈尤其是“网络钓鱼”和“网银大盗”的中招大户。由于担心信用卡欺诈，导致有些信用卡持卡人不敢利用网络进行金融交易，促使网络零售商销售额的下降；采用传统的人与人之间的交易模式，又会引起交易费用的增加，而与欺诈相关的费用支出，同时大大降低了金融机构的利润率和生产效率。

　　费雷斯特市场调研公司(Forrester Research)近期调查结果显示，33%左右的网上成年购物者表示，对安全的担心迫使他们在假日期间减少了网上购物的次数甚至避免在网上购物；20%的网上成年购物者称因特网安全性令他们“很担心”或者“极其担心”；55岁及以上的成年人对网上购物安全性的担心比例最高(31%的人表示“很”或者“极其”担心)。

　　但信用卡的网上使用，方便、快捷的优点不可抹煞。在安全和方便之间，持卡人感到左右为难。

　　其实网上交易的安全和成熟，也是一个渐进的过程。中国作为一个新兴的信用卡市场，发展速度已经令人感到吃惊了。冯炜权表示，现在的重点，并不是更多更快的发卡，而是让信用卡使用更安全、更放心。

　　“对信用卡安全的精耕细作，离不开各个角度的支持。首先、国内还要继续健全相关的法律法规，这是政府首当其冲应该关注的；第二、银行也要充分重视，不要讳疾忌医，要建设安全的系统保障用户的权益；第三、持卡用户自己更要小心。”李晓峰最后提醒道。

　　信用卡欺诈的几种主要形式

　　卡遗失或被盗您的信用卡遗失或被盗，在没有经您允许的情况下继续使用。

　　未签收您没有收到发卡银行给您的新卡或替代卡，直到您收到一份列满非您所为的交易清单时，才知道卡不见了。

　　欺诈性申请您的个人信息被他人用来申请信用卡。这一类型的欺诈一般很难察觉，往往只能在发卡机构收到用户投诉，或该账户在发卡后不久即累积大量欠款的情况下才能被发现。如果您不是该发卡机构的用户，有时得等到您在其他机构申请信用卡时，才会发现自己被冒名在其他银行申请信用卡。

　　伪造如果您已经领到卡，而账户报告中出现您没有进行过的交易，那么最有可能的情况就是有人用您的账号伪造信用卡，并在您合法使用自己信用卡的同时也使用该信用卡。

　　账户接管

　　当您持有属于自己的金融卡时，其他人佯装持卡人，通过申领一张替代卡“接管”了您的账户，且往往更改了联系地址。这种欺诈往往只能在两种情况下被发现：看到账务报告上未经您手的交易或发现自己没有收到每月的帐务报告。无信用卡欺诈行为当您持有自己的卡时，他人只需知道您的账号就可以进行一些无需出示信用卡的交易，例如邮购、电话购物或网上交易。当您发现自己的帐务报告上有未经您手的邮购/电话购物或网上交易时，才能发现这种欺诈行为。

　　其他欺诈行为 除以上5种欺诈外，其他几种情况也被列为欺诈行为。例如：盗窃信用卡，并使用结余转账支票，而您也许曾经或未曾从该银行申请过该服务。

　　关于支付卡行业数据安全标准

　　PCI DDS条目、规则构建和维护安全网络

　　规则1：安装并维护防火墙配置以保护持卡人数据。

　　规则2：不要使用供货商提供的默认的系统密码以及其他安全参量。

　　保护持卡人数据

　　规则3：保护所储存的持卡人的数据。

　　规则4：在公开的、公共的网络上传输持卡人数据时采用加密术。

　　运用易损性管理程序

　　规则5：使用并定期升级反病毒软件。

　　规则6：开发并运用安全系统和应用软件。

　　严格执行访问控制措施

　　规则7：在交易所需知道数据的情况下也要严格控制访问持卡人数据。

　　规则8：对每一个访问计算机的人分配一个唯一的ID。

　　规则9：对持卡人数据的物理进入进行严格控制。

　　例行监控和检测网络

　　规则10：跟踪和监控对网络资源和持卡人数据进行的所有访问。

　　规则11：例行检测安全系统和程序。坚持执行信息安全政策。

　　规则12：坚持执行有关信息安全的政策。

　　PCI DSS 1.1版是由支付卡行业安全标准委员会(PCI Security Standards Council，PCI SSC)于2006年9月编制发布的。该标准代表了该委员会所有发起成员共同认可的一套数据安全规范。