信用卡从未离身，咋会被盗刷了6000多？

　　原来，有人盗取了他的卡面信息团购餐券，无需交易密码就完成交易

    银行人士提醒，信用卡背面的CVV2码很重要，最好贴上胶布防泄露

　　“我的信用卡被人在一个团购网上盗刷了6000多元，我怀疑是网站泄露了我的信用卡信息，而这个网站的信用卡支付渠道也存在漏洞。”昨天，张先生向重庆晨报民生及时雨反映。重庆晨报记者调查发现，张先生所投诉的携程团购网在使用信用卡时的确不需要信用卡密码、短信动态验证码等。

　　信用卡无端被刷6399元

　　10月20日上午11点，住在北京的张先生的手机收到招商银行信用卡微信服务号提醒：他的信用卡，先后产生了9笔、每笔711元的消费。张先生很诧异，他说自己最近根本没有动用过信用卡。

　　“肯定是被人盗刷了！”张先生说，微信上关于几笔消费的详细信息显示，交易商户为上海华程西南旅行社有限公司，而该公司是携程网所对应的实体公司，总计6399元的消费属于预授权。于是，他第一时间联系招行要求冻结账户，招行客服表示将展开调查。

　　张先生立即拨打了携程网的客服电话。下午3点，客服人员反馈说查到了交易记录：6399元被用于团购一家名为榕树海鲜大排档的抵扣券，这家大排档远在福建。更令张先生郁闷的是，在他申请冻结之前，这些抵用券已由预授权转化为实际消费。

　　支付不需密码和短信验证

　　张先生很纳闷，他的信用卡和手机都没丢失过，为什么还能被盗刷？

　　他登录携程团购网体验后发现，这个网站的信用卡支付渠道只需录入信用卡卡号、有效期、卡背面签名处后末三位数字的CVV2码，以及该卡在银行预留的手机号码，即可完成支付与交易。整个过程无须信用卡交易密码，预留手机也没收到银行发送的短信动态验证码。

　　张先生说，卡号、有效期和CVV2码被直接印在信用卡上。“一旦有人记录下这几个信息，同时又获知持卡人的手机号码，即使拿不到该信用卡，也能在携程团购网上盗用。”

　　张先生将自己的信用卡卡面信息及预留手机号码外泄的矛头指向了携程团购网。

　　携程客服回复称，网站内部有严格的安全控制措施，客户信息的传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料，携程也不会随意泄露。

卡号、有效期、CVV2码，信用卡上的这三个信息很重要，一旦泄露，可能会被别有用心的人盗刷。

　　无密码支付比较常见，防盗刷要靠自己

　　携程客服昨天表示，在携程网站通过信用卡支付，的确不需信用卡密码、短信动态验证码等就可完成预授权交易。

　　招行信用卡客服人员则介绍，无需交易密码是信用卡的一种支付形式，一般只针对酒店、机票等实名制业务，并且是用于一些安全级别通过了验证的企业或商家。这种交易方式，通过持卡用户向商家提供卡片信息即可完成消费交易。这位客服人员还表示，这种交易方式目前只能靠保管好信用卡、防止卡面信息泄露来避免被盗刷。也就是说，目前尚无特殊的强制手段，来对无需密码的交易形式进行限制。

　　银行业内人士介绍称，携程网站需要填写的信用卡卡号、有效期和CVV2码三个信息中，CVV2码最为重要。

　　CVV2码又称信用卡安全码，是信用卡交易时的一个安全代码。它通常是印刷在信用卡背面签名处后，是斜体字的最后3位数字；用于证实付款人在交易时是拥有该信用卡的，从而防止信用卡欺诈。CVV2码相当于信用卡的身份证，持卡用户可凭此码进行消费交易。据了解，境外网站购物不需要密码，只要买方提供账号和安全码即可完成交易；国内也有商家与银行签约，在网络或电话交易时同样无需密码，仅凭安全码就可完成划账。

　　业内人士建议，持卡人可以剪一块小胶布把CVV2码贴住，以防泄露。同时也应全面保护好自己的信用卡——尽量保证卡不离身，消费时不要让信用卡离开自己的视线，不把卡片交给店员去结账，避免卡片信息被外人查看。

　　苹果日前新出的 iPhone X彻底抛弃了指纹识别技术，推出人脸识别功能，使得刷脸科技再次受到关注和热议。事实上，在国内，互金巨头以及大型商业银行都在布局刷脸支付。 不过，分析人士表示，目前，生物识别技术还未发展成熟，刷脸支付推向商用仍面临着用户体验、支付安全以及基础设施建设等方面的问题。互金巨头目前的布局更多是噱头，同时也是为了在初期抢占更多的场景。

　　仍需手机号辅助验证

　　今年9月1日，支付宝宣布在肯德基的KPRO餐厅上线“刷脸支付”，正式将“刷脸支付”推向了商用。8月底，京东线下的京东之家体验店已经开始内测“刷脸支付”功能。而百度早在4个月前就把刷脸支付搬进了自家食堂。

　　从操作流程来看，支付宝和京东金融大致相同。 京东“刷脸支付”整个支付步骤分三步：“绑脸”、“手机号验证”、“脸部识别”。具体操作上，消费者首先需要通过京东或京东金融App扫描店内二维码，之后上传正面个人照，开通“刷脸支付”；其次，通过手机验证结账时，先在屏幕上输入手机后4位，系统会自动检测，验证通过后自动跳转至脸部验证环节；最后，用户正对拍照界面，系统会自动比对，验证通过后，京东将会从用户绑定的京东支付账户中扣除对应的金额。用支付宝在自助点餐机上选好餐，进入支付页面，选择“支付宝刷脸付”，然后进行人脸识别，大约需要1-2秒，再输入与账号绑定的手机号，确认后即可支付。支付过程不到10秒。如果是首次使用，用户需要先在支付宝App上开通此功能。

　　对比两家的刷脸支付流程来看，都需要输入手机号辅助验证。有不少体验过刷脸支付的消费者表示，刷脸支付时输入手机号验证感觉“多此一举”，还不如扫描二维码支付方便。

　　蚂蚁金服相关负责人表示，输入手机号，一方面是确认使用者的支付意愿，另一方面也可以增强支付的安全性。后续，随着用户对刷脸支付认知度的逐步提高，支付宝会提供更方便的手段让消费者更快完成支付。

　　中科院自动化所生物识别与安全技术研究中心主任李子青表示，刷脸支付的商业应用意味着生物识别技术正在进入一个新的时代。

　　在苏宁互联网金融科技研究员郑清正看来，人脸识别技术已在图像处理领域非常成熟了，大规模应用到商业场景中也是必然。但是当前的刷脸支付并不完善。商家基本都要求有手机号的输入，这不仅是双重安全验证的问题，如果没有手机号，刷脸识别则会变成1：n的搜索问题，n还非常大，类似支付宝10亿级规模，肯定没法做到实时搜索。

　　“不过，抢占市场，培养用户习惯，商业宣传肯定是要的。当前可以看到的不需要手机输入的场景就是刷脸取包裹，这是因为包裹接收群体只限于小范围用户，即使查询也是毫秒级响应，这个体验场景就好很多。”郑清正进一步指出。

　　安全问题成最大阻碍

　　相比二维码、NFC等移动支付手段，“刷脸支付”省去了手机这个介质，或许将促进支付行业再一次变革。不过，吸引眼球的同时，刷脸支付也遇到了不少质疑。正如二维码支付刚出现时的质疑，安全性也是刷脸支付难迈的一道坎。

　　除了在用户体验方面，刷脸支付要求用户付款时输入手机号以辅助验证外，安全方面刷脸支付目前也还做不到完全的保证，依旧存在着隐私泄露的可能。郑清正指出，刷脸支付的确存在风险：第一， 人脸基本不会改变，且公共场合也容易获取人脸信息，记得国外有媒体报道过通过预先获取的人脸视频绕过人脸识别的案例，因此让动动眼睛、摇摇头的方式进行活体检测并不是终极安全的方式；第二，人脸识别匹配实际上是把你当前人脸照片和预置照片的匹配过程，是否匹配是通过一个相似度阈值来定义的，如果两个人相似度为98%，而阈值为97%，则判断通过，这也是为什么说同卵双胞胎无法识别差异性的原因。

　　有消费者担心，可能存在用个人的照片或者视频冒充等方式盗刷账号的问题，对此，蚂蚁金服方面表示，支付宝的人脸识别算法除了做人脸的校验，还加入了验活算法。用照片、视频来冒充并不能通过验证。此外，出现任何盗刷问题，可以拨打95188，保险公司会进行全额理赔。

　　值得关注的是，日前蚂蚁金服也宣布推出“刷脸取件”。在郑清正看来，现在市场对刷脸技术盲目推崇，随着体验场景的持续优化，更适合刷脸识别的个别场景会得到更广泛的推广，例如刷脸取快递，体验会更好。

　　在分析人士看来，生物识别技术情景广阔，但目前该项技术还未发展成熟。互金巨头目前的布局更多的是噱头，同时也是为了在初期抢占更多的场景。

　　来自前瞻产业研究院的数据显示，2016年我国人脸识别行业市场规模已超过10亿元，预计到2021年将达到51亿元左右。而尚未被完全开发的金融行业内人脸识别的市场前景，更被业界预估为千亿级市场。

　　中国政法大学知识产权研究中心特约研究员李俊慧在接受媒体采访时表示，技术进步可能会带来支付链条的变化以及交易场景的改变，从而引发第三方支付革命，企业也不想落后；此外，一些新概念有助于刺激消费体验，同时可以提高企业品牌影响力；刷脸支付的基础是积累用户面部信息，这属于大数据积累及人工智能应用的场景，企业势必会抢占并从中发现商机。他指出，现阶段企业试点刷脸支付或有深意。

　　除了安全问题，用户习惯、基础设施等也是刷脸支付推广面临的问题。一位支付行业分析人士指出，目前线下体验店数量较少，对商家的硬件设备有一定要求，导致刷脸支付的拓展会受到一定阻碍。此外，与在手机上使用或实验室场景下的内测不同，商用的真实应用场景复杂多变，让人脸识别技术面临的挑战更大。刷脸支付进入商用，使用场景是在公开环境，用公共设备，用户不用掏手机也能完成支付。在非本人使用的设备上，如何精准确定本人，特别是精准识别长相相似的人防止误识别，以及如何防止各种人脸伪造冒用情况，难度都会比在自己手机上操作要更大。

　　李子青表示，刷脸支付对安全性和便捷性有着极高的要求，如何同时满足这两个要求，需要解决一系列技术和产品难题。

　　郑清正强调，综合以上信息，未来手机和人脸将成为刷脸的必备两个核心要素，当然对于小范围特定人群，如按区域划分提供的服务，以后可能真的“带个脸”就够了，相信刷脸的场景会越来越精细化，核心是解决搜索样本大小的问题。

　　中国社科院金融研究所副主任尹振涛认为，从金融科技的角度来讲，各种科技手段只要提供更加便利的服务，都是可以尝试和创新的。但是金融产品有风险属性，在创新的过程中对金融产品的安全要求会更高。很多年轻人都在考虑着如何更快捷地客户体验，而忽视了金融产品的安全问题。

　　“从这个角度讲，关于刷脸支付到底安全不安全，谈一个简单的例子，密码是可以修改的，但是脸、包括指纹是不能修改的。如果犯罪分子有了新手段，能够窃取到你的面部特征等，就没法修改，所以刷脸支付的应用要特别慎重。”尹振涛说。

　　上述支付行业分析人士表示，刷脸支付仍旧处于一个初期阶段。新事物的成长需要时间，未来刷脸支付能否像二维码支付一样普及，不仅仅取决于技术方面的改造，更是要看整个市场的接受程度。