最近,住過凱悅酒店的人有些糟心,因為該集團剛剛發生了住客信用卡信息洩露事件。
凱悅近日發布公告承認,由於支付系統遭到黑客攻擊,全球一共有 41 家凱悅酒店受到影響,其中就包括中國的 18 家酒店,洩露的信息包括持卡人姓名、卡號、卡片有效期和安全碼等。然而,這則公告還是來晚了,已經有不少人反映住店後遇到盜刷。
此次事件中涉及到的 18 家中國酒店名單如下,完整的酒店列表詳見:https://www.hyatt.com/notice/protectingourcustomers/hotellist/
如果你在 2017 年 3 月 18 日至 7 月 2 日之間入住過以上酒店,並且使用過信用卡支付房費或押金,最好趕緊查一下近期的信用卡帳單,最徹底的辦法則是直接掛失更換新卡。
雖然這已經算「舊聞」了,但我們想借著這次凱悅酒店的信息洩露事件,來談談信用卡的用卡安全問題。
容易「中槍」的酒店
酒店數據洩露的事,也已經不是第一次發生了。去年 1 月份,凱悅集團對外公布過一起更為嚴重的數據事件,波及集團旗下約 250 家酒店。
(圖片來自:IHG)
被黑客盯上的不只是凱悅一家集團。今年 4 月,洲際集團宣布旗下 1200 家酒店被發現信用卡數據外洩。喜達屋、希爾頓等酒店集團也曾被曝出過類似的事件。
除了酒店集團,OTA 平臺上用戶支付卡數據洩露的事也時有發生。2014 年 3 月,漏洞報告平臺烏雲網連續披露了兩個攜程網安全漏洞,指出攜程安全支付日誌可遍歷下載,可能導致大量用戶銀行卡信息洩露。攜程對此的解釋是開發人員在排查系統疑問時留下了臨時日誌且未及時刪除所致。此次事件一共有 93 名用戶受影響。
(圖片來自:攜程)
著名酒店預訂平臺 Booking 也因易於洩露信用卡信息而為人詬病。雖然官方並未承認過出現信息洩露,但關於在 Booking 上訂了酒店後支付卡被盜刷的投訴屢見不鮮。
信用卡信息洩露的事情屢屢發生在酒店行業,顯然也不是巧合。
一方面,酒店集團和平臺擁有的大量極具價值的訂單和用戶信息,令其極易成為黑客的目標;另一方面,很多酒店集團的安全技術實在令人不敢恭維(比如洲際集團萬年不變的 4 位數純數字登錄密碼……),加上涉及到龐大的管理系統及各種接口等,進一步增加了出錯的可能性。除此之外,也不排除存在內部人員監守自盜的可能性。
好吧,光指望酒店和平臺保護好自己的信用卡信息是不行了,那麼還是自己掌握一些安全用卡常識靠譜些。
如何保護好自己的卡片信息
與其在遇到盜刷時手足無措,不如先防患於未然。我們劃了一些重點,希望對你有所幫助。
刷卡時:不要讓卡片離開自己的視線,輸入密碼時注意遮擋,注意核對帳單金額是否正確,相信這些都已經是基本常識了。
交易結束後,也請妥善保管好單據,不要隨意丟棄,避免卡片信息遺漏,畢竟有些收據會顯示完整的卡號甚至有效期,保留收據也方便日後核查。
(圖片來自:Jactiv – Ouest-France)
卡片背後籤名條附近的安全碼(CVV 碼)也需要小心保護。建議大家可用膠布將其貼住,當然,前提是自己要記住,但最好不要用刀片之類的將安全碼刮掉,以免影響卡片的完全性,否則商家是可以拒絕刷卡的。
(注意,美國運通的 4 位安全碼位於卡片正面,圖片來自:PayJunction Blog)
另外,使用晶片卡也能提高卡片的安全係數,減少卡片信息被複製的可能。
刷卡後:如果是在高風險地區(如泰國、印尼、菲律賓等國)有過線下刷卡消費,回國後最好更換新卡,有一些銀行也會主動提醒用戶換卡。
對於線上交易的商戶,如果不是經常海淘的話,最好是在交易完成後及時刪除網站上保留的信用卡信息。
曬卡時:不少人喜歡在社交網絡上曬卡,殊不知,自己的卡片信息有時候就在不知不覺中被別有用人的人盜用了。有人認為卡片只要不洩露安全碼信息就可以高枕無憂,但要知道,在諸如美國亞馬遜等境外電商網站,用戶憑藉卡號、有效期即可完成交易,甚至連持卡人姓名都不必核對。
給卡號打上馬賽克是比較常見的做法,但也並非萬無一失。雖然馬賽克是一種不可逆的算法,但是如果馬虎處理,也有可能出現打了等於沒打的情況,比如這位叫「jelly仔」網友就在講述曬出了自己不認真打馬賽克而遭到盜刷的經歷,他的 CCV 碼是這樣打的:
(圖片來自:SMZDM)
仔細觀察,完全可以憑藉數字輪廓推斷出是 408 或 498。更要命的是,由於卡號是凸版壓制,在背面也完全暴露了。
況且,隨著技術的發展,馬賽克或許也並非牢不可破,目前就已經有了一些初步還原馬賽克的技術,比如 Google 的 AI 就可以將模糊照片處理成清晰圖像了。
因此,隱藏卡號最簡單又可靠的方法還是使用實物(如原子筆)遮擋,當然,用修圖軟體 P 一個假的卡號也不失為一種選擇。
不用時:由於盜刷很多時候是發生在海外,因此我們平時可以關閉卡片的境外支付功能,部分銀行可以在 app 的信用卡支付或安全選項中找到該功能,或者直接致電銀行客服要求關閉。
實在不放心的小夥伴,還可以將不常用的卡片進行限額設置,目前建行、招行、工行、浦發、廣發等銀行都在 app 裡提供了此類選項(一般是在「交易設置」或「額度調整」的選項下)。
此外,還有不少銀行的 app 提供了支持「一鍵鎖卡」功能,我們可以將不常用的卡片直接鎖掉,需要的時候再解鎖,算是最一勞永逸的方法了。
至於不隨便點擊簡訊或微信消息中的不明連結、進入銀行官網時註明辨別網址真假等,就都是老生常談的話題了。
順便說一句,支付寶以及一些保險公司都有針對盜刷推出的諸如「帳戶安全險」等險種,買一份保平安也未嘗不可。
被盜刷了怎麼辦?
假如,盜刷這種倒黴事真的落到自己頭上,也切記不要慌。
首先,你要確定這真的不是自己的消費——這不是開玩笑,因為有可能是你消費過後忘記了,比如亞馬遜會員試用期結束後自動扣費、QQ 會員自動續費、Apple Music 包月服務、支付寶愛心月捐、廣州地鐵延時扣費,甚至是被家裡的熊孩子拿去「氪金」了(雖然嚴格來講這也算是盜刷)……
冷靜地查看帳單明細、向銀行客服詢問清楚交易詳情、向家人進行確認,都有助於搞清楚真相,很多時候只是虛驚一場罷了。
確認出現異常交易後,對於實體卡的盜刷,除了在第一時間向銀行掛失,最好也及時向持卡人所在地派出所報案,拿到警方的報案回執。
(圖片來自:szhome)
由於很多盜刷行為發生在境外或是異地,因此不少攻略會建議在向銀行掛失後,立即在附近的商家刷卡或在 ATM 機上進行操作,作為卡片的「不在場證明」,證明盜刷發生時卡片與自己並不在交易現場。
不過,這招僅適用於實體卡片的盜刷,如果是線上消費,這麼做並沒有什麼用,但在耐心等待銀行調查結果之餘,我們也可以嘗試自己挽回損失。
首先,從銀行處獲取進行盜刷交易的網站,隨後與網站客服取得聯繫,通過郵件或在線對話,說明情況並附上卡片信息。網站會對訂單進行攔截,一般情況下,沒有發貨的訂單可以順利取消並退款,這種方法會比等銀行調查要快得多。如果是訂單已經發貨,就只能耐心等待銀行處理了。
厚道的銀行會將盜刷交易列為存疑消費,在調查清楚前不需要持卡人償還,但也有的銀行會要求持卡人先行還款,待調查確認非本人所為後再作退款處理。
當然,說了這麼多,還是希望這部分的攻略大家永遠用不上才好。
寫在最後
雖然我們前面介紹了信用卡可能出現的各種盜刷情形,但大家也不必因噎廢食,畢竟如今銀行的風控系統、各家網站的安全技術也在日益提高,你的信用卡大部分時候還是很安全的。馬上就是「雙 11」了,卡,該刷還得刷啊。