最近,住过凯悦酒店的人有些糟心,因为该集团刚刚发生了住客信用卡信息泄露事件。
凯悦近日发布公告承认,由于支付系统遭到黑客攻击,全球一共有 41 家凯悦酒店受到影响,其中就包括中国的 18 家酒店,泄露的信息包括持卡人姓名、卡号、卡片有效期和安全码等。然而,这则公告还是来晚了,已经有不少人反映住店后遇到盗刷。
此次事件中涉及到的 18 家中国酒店名单如下,完整的酒店列表详见:https://www.hyatt.com/notice/protectingourcustomers/hotellist/
如果你在 2017 年 3 月 18 日至 7 月 2 日之间入住过以上酒店,并且使用过信用卡支付房费或押金,最好赶紧查一下近期的信用卡账单,最彻底的办法则是直接挂失更换新卡。
虽然这已经算“旧闻”了,但我们想借着这次凯悦酒店的信息泄露事件,来谈谈信用卡的用卡安全问题。
容易“中枪”的酒店
酒店数据泄露的事,也已经不是第一次发生了。去年 1 月份,凯悦集团对外公布过一起更为严重的数据事件,波及集团旗下约 250 家酒店。
(图片来自:IHG)
被黑客盯上的不只是凯悦一家集团。今年 4 月,洲际集团宣布旗下 1200 家酒店被发现信用卡数据外泄。喜达屋、希尔顿等酒店集团也曾被曝出过类似的事件。
除了酒店集团,OTA 平台上用户支付卡数据泄露的事也时有发生。2014 年 3 月,漏洞报告平台乌云网连续披露了两个携程网安全漏洞,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露。携程对此的解释是开发人员在排查系统疑问时留下了临时日志且未及时删除所致。此次事件一共有 93 名用户受影响。
(图片来自:携程)
著名酒店预订平台 Booking 也因易于泄露信用卡信息而为人诟病。虽然官方并未承认过出现信息泄露,但关于在 Booking 上订了酒店后支付卡被盗刷的投诉屡见不鲜。
信用卡信息泄露的事情屡屡发生在酒店行业,显然也不是巧合。
一方面,酒店集团和平台拥有的大量极具价值的订单和用户信息,令其极易成为黑客的目标;另一方面,很多酒店集团的安全技术实在令人不敢恭维(比如洲际集团万年不变的 4 位数纯数字登录密码……),加上涉及到庞大的管理系统及各种接口等,进一步增加了出错的可能性。除此之外,也不排除存在内部人员监守自盗的可能性。
好吧,光指望酒店和平台保护好自己的信用卡信息是不行了,那么还是自己掌握一些安全用卡常识靠谱些。
如何保护好自己的卡片信息
与其在遇到盗刷时手足无措,不如先防患于未然。我们划了一些重点,希望对你有所帮助。
刷卡时:不要让卡片离开自己的视线,输入密码时注意遮挡,注意核对账单金额是否正确,相信这些都已经是基本常识了。
交易结束后,也请妥善保管好单据,不要随意丢弃,避免卡片信息遗漏,毕竟有些收据会显示完整的卡号甚至有效期,保留收据也方便日后核查。
(图片来自:Jactiv – Ouest-France)
卡片背后签名条附近的安全码(CVV 码)也需要小心保护。建议大家可用胶布将其贴住,当然,前提是自己要记住,但最好不要用刀片之类的将安全码刮掉,以免影响卡片的完全性,否则商家是可以拒绝刷卡的。
(注意,美国运通的 4 位安全码位于卡片正面,图片来自:PayJunction Blog)
另外,使用芯片卡也能提高卡片的安全系数,减少卡片信息被复制的可能。
刷卡后:如果是在高风险地区(如泰国、印尼、菲律宾等国)有过线下刷卡消费,回国后最好更换新卡,有一些银行也会主动提醒用户换卡。
对于线上交易的商户,如果不是经常海淘的话,最好是在交易完成后及时删除网站上保留的信用卡信息。
晒卡时:不少人喜欢在社交网络上晒卡,殊不知,自己的卡片信息有时候就在不知不觉中被别有用人的人盗用了。有人认为卡片只要不泄露安全码信息就可以高枕无忧,但要知道,在诸如美国亚马逊等境外电商网站,用户凭借卡号、有效期即可完成交易,甚至连持卡人姓名都不必核对。
给卡号打上马赛克是比较常见的做法,但也并非万无一失。虽然马赛克是一种不可逆的算法,但是如果马虎处理,也有可能出现打了等于没打的情况,比如这位叫“jelly 仔”网友就在讲述晒出了自己不认真打马赛克而遭到盗刷的经历,他的 CCV 码是这样打的:
(图片来自:SMZDM)
仔细观察,完全可以凭借数字轮廓推断出是 408 或 498。更要命的是,由于卡号是凸版压制,在背面也完全暴露了。
况且,随着技术的发展,马赛克或许也并非牢不可破,目前就已经有了一些初步还原马赛克的技术,比如 Google 的 AI 就可以将模糊照片处理成清晰图像了。
因此,隐藏卡号最简单又可靠的方法还是使用实物(如圆珠笔)遮挡,当然,用修图软件 P 一个假的卡号也不失为一种选择。
不用时:由于盗刷很多时候是发生在海外,因此我们平时可以关闭卡片的境外支付功能,部分银行可以在 app 的信用卡支付或安全选项中找到该功能,或者直接致电银行客服要求关闭。
实在不放心的小伙伴,还可以将不常用的卡片进行限额设置,目前建行、招行、工行、浦发、广发等银行都在 app 里提供了此类选项(一般是在“交易设置”或“额度调整”的选项下)。
此外,还有不少银行的 app 提供了支持“一键锁卡”功能,我们可以将不常用的卡片直接锁掉,需要的时候再解锁,算是最一劳永逸的方法了。
至于不随便点击短信或微信消息中的不明链接、进入银行官网时注明辨别网址真假等,就都是老生常谈的话题了。
顺便说一句,支付宝以及一些保险公司都有针对盗刷推出的诸如“账户安全险”等险种,买一份保平安也未尝不可。
iPhone 和 Android 手机怎么使用才会更安全?搜索微信公众号爱范儿(微信号:ifanr), 后台回复「安全」,获取手机安全使用指南集合。
被盗刷了怎么办?
假如,盗刷这种倒霉事真的落到自己头上,也切记不要慌。
首先,你要确定这真的不是自己的消费——这不是开玩笑,因为有可能是你消费过后忘记了,比如亚马逊会员试用期结束后自动扣费、QQ 会员自动续费、Apple Music 包月服务、支付宝爱心月捐、广州地铁延时扣费,甚至是被家里的熊孩子拿去“氪金”了(虽然严格来讲这也算是盗刷)……
冷静地查看账单明细、向银行客服询问清楚交易详情、向家人进行确认,都有助于搞清楚真相,很多时候只是虚惊一场罢了。
确认出现异常交易后,对于实体卡的盗刷,除了在第一时间向银行挂失,最好也及时向持卡人所在地派出所报案,拿到警方的报案回执。
(图片来自:szhome)
由于很多盗刷行为发生在境外或是异地,因此不少攻略会建议在向银行挂失后,立即在附近的商家刷卡或在 ATM 机上进行操作,作为卡片的“不在场证明”,证明盗刷发生时卡片与自己并不在交易现场。
不过,这招仅适用于实体卡片的盗刷,如果是线上消费,这么做并没有什么用,但在耐心等待银行调查结果之余,我们也可以尝试自己挽回损失。
首先,从银行处获取进行盗刷交易的网站,随后与网站客服取得联系,通过邮件或在线对话,说明情况并附上卡片信息。网站会对订单进行拦截,一般情况下,没有发货的订单可以顺利取消并退款,这种方法会比等银行调查要快得多。如果是订单已经发货,就只能耐心等待银行处理了。
厚道的银行会将盗刷交易列为存疑消费,在调查清楚前不需要持卡人偿还,但也有的银行会要求持卡人先行还款,待调查确认非本人所为后再作退款处理。
当然,说了这么多,还是希望这部分的攻略大家永远用不上才好。
写在最后
虽然我们前面介绍了信用卡可能出现的各种盗刷情形,但大家也不必因噎废食,毕竟如今银行的风控系统、各家网站的安全技术也在日益提高,你的信用卡大部分时候还是很安全的。马上就是“双 11”了,卡,该刷还得刷啊。
题图来自:24Horas.cl