专利名称:短信验证防止银行卡被伪造冒用的工作方法
技术领域:
本发明涉及防止银行卡伪造冒用的工作方法,尤其是能彻底防止银行卡被伪冒的工作方法。
背景技术:
近年,我国银行卡业务发展迅速。最新数据,我国已经有144家银行发行了银行卡,全国发卡量达到6亿余张。随之,银行卡伪冒案件数量、损失金额越来越大,给持卡人及发卡银行造成了巨大损失。
目前,银行卡受理流程为1持卡人在用款单位提出用款请求,2用款单位经网络联系银行业务主机索取授权,3银行业务主机处理后将授权结果经网络答复用款单位。这里,用款单位是指持卡人请求用款的单位,如银行网点、ATM取款机、商户POS、商户EDC、电话购物、邮购、网上购物等等。这种银行卡受理流程中,持卡人和用款单位两个环节存在使用伪造冒用卡的风险隐患。银行采用了多种防止伪冒卡的技术方法,犯罪分子也采用了多种伪冒卡的技术方法,综合介绍如下1、身份验证。
用款单位要求持卡人出示本人有效身份证件,核对是否为本人。我国现使用的身份证件极易被伪造。身份证件上的黑白照片技术效果较差,很多照片和真实的本人确实不像。
2、签字验证。
用款单位要求持卡人在用款单据上签字,并与银行卡背面签字相核对,两者是否相符。
以上两种验证方法弊端较多。现实中,一些收银员验看证件及签名不认真甚至不验看。工作人员既不是证件专家也不是汉字专家,客观上存在鉴别证件及鉴别汉字签名困难的现实。况且在没有工作人员的情况下,也不能使用身份验证和签字验证的方法。如在atm机取款及在网上交易是不可能使用身份验证和签字验证的方法。
这两种验证方法下,出现的伪冒卡损失由银行和商户承担。持卡人只要卡没有丢失,并且确实不是本人签字用款,无须承担损失。在国外,正是因为采用“签名确认身份”的制度,发卡行在信用卡发展的早期承受了巨大的欺诈损失,许多中小银行不堪重负退出了这一市场。但许多国家如英国、法国、瑞典等在付出了沉重的欺诈损失后,不惜改变持卡人的习惯,在IC卡迁移中决定启用密码。因此,密码信用卡在国际银行卡界的地位逐渐上升。
3、密码验证。
即用款单位要求持卡人输入密码,经银行业务主机核对与持卡人预留密码相符方认可该交易。
密码验证看似安全,其实风险更大。并且所有伪冒卡损失由持卡人自己全部承担,银行及商户无须承担责任。这其实是银行将风险责任推卸到持卡人的头上。
其实在一些公共场合,使用密码的过程往往也就是泄密的过程,密码使用的频率越高,泄密的概率就越大。对于犯罪分子窥伺密码的情况,持卡人还能小心防范。对于犯罪分子使用侧录及黑客程序网上截取密码的情况,就根本不是持卡人所能防范的。侧录是指犯罪分子在商户pos机中偷加智能芯片,经该pos机刷卡的所有银行卡的资料及密码均保存在智能芯片中。犯罪分子将电脑连线偷接在商户pos机所连接的电话线上,经该电话线连接的全部pos机所刷过的所有银行卡的资料及密码均出现在电脑上。
4、信用卡验证码cvv或cvc。
发卡银行制卡时在卡磁条中写入的密码,犯罪分子不可能破译。刷卡时银行业务主机核对该密码,用于防止伪造涂改卡交易。
但是犯罪分子使用侧录的方法或者买通收银员偷刷银行卡可轻易获得该密码,并用在制作伪卡中。
5、招商银行VISA验证服务招商银行VISA验证服务(Verified by Visa)是由招商银行与VISA国际组织合作提供的实时在线支付安全验证服务,此服务通过持卡人事先所设定的个人信息及密码来保护信用卡网上交易,当持卡人开通此服务后,至同样提供VISA验证服务的网络商店进行交易时,系统即会自动要求输入密码,密码错误将不能继续此项交易。这样改变了现有网上交易仅凭卡号等现有资料就可以进行网上支付的现状。降低了客户的信用卡在网上商户被人盗刷的风险。
现在,已经有人在网上出售专用黑客程序,用于截取持卡人在网上输入的任何密码。因此,VISA密码验证,并不能防止伪冒银行卡使用。
6、IC智能卡+密码。
在银行卡上嵌加IC智能芯片,犯罪分子技术力量不够无法伪造。
国际上,为了防止伪冒风险,银行卡界不仅采用成本昂贵的在线欺诈侦测技术而且在推行成本浩大的磁条卡向IC卡的EMV迁移。据测算,如果我国进行全面的EMV迁移,总投资将在100亿元以上,短期内我国银行卡界还不具备全面EMV迁移的动力。
IC智能卡无法用于电话购物、邮购、网上购物等无法接触到银行卡实体,而只需提供银行卡账户信息即可消费的用卡方式。
7、持卡人本人真实持卡欺诈。
持卡人本人消费或指使他人消费,或者持卡人配偶、亲属未经持卡人同意用卡后,持卡人声称被冒用拒绝付款,并要求银行或商户承担损失。可见现有手段,并不能防范持卡人本人真实欺诈交易的发生。短信验证可以防止持卡人真实欺诈交易的发生。
发明内容
为了克服现有银行卡容易被伪造冒用的缺点,本发明提供一种使用短信验证保证用卡安全的工作方法。
本发明的工作原理是所有用卡请求均要求得到持卡人本人的确认意见后银行才能给出同意使用卡的授权,所有经持卡人确认的用卡交易由持卡人本人承担结果。所有的伪造冒用卡交易盗取了持卡人的资金,根本不可能得到持卡人本人的同意。在用卡的当时,持卡人当然清楚地知道是自己本人正在使用卡还是别人在盗用。如果银行在给出同意用款的授权号码之前,即时联系到持卡人本人。银行告知持卡人,你的卡现在正在请求用款,金额是多少、用款类型是消费还是取现,银行要求持卡人确认此笔用款请求并即时答复。这样是持卡人本人在用卡还是别人在盗用,很清楚地就大白于天下了。因此,银行要求持卡人本人确认即时的用卡请求,是最彻底、最根本的防止伪造冒用的方法。本发明之所以选择手机短信的技术方法,是因为现在手机普及率很高,手机短信息安全、即时、保密。通过手机短信的技术方法,银行完全可以和持卡人取得动态、即时的联系。
本发明解决其技术问题所采用的技术方案是持卡人在银行申领银行卡时,银行要求申请人在办卡申请表上留下用于短信联系的手机号码,该号码经申请人当面签字认可;持卡人在用款单位提出用款请求;用款单位经网络联系银行业务主机索取授权;银行业务主机核对检查各种卡资料;银行同意授权则进入短信验证环节,由银行业务主机经银行短信系统向持卡人预留手机号码发短信,要求持卡人确认该笔交易;持卡人收到短信后阅读内容并回复是否确认该笔交易的意见;银行业务主机收到经银行短信系统所收到的持卡人短信回复结果;银行业务主机将最终授权结果答复用款单位。整个流程所用时间一般不会超过1分钟。为了减少等待授权的时间,持卡人在用款单位提出用款请求以前,事先用本人手机根据特服号码向银行业务主机发送短信,给予银行业务主机一定时间内一定权限额度内可以直接答复用款单位授权请求的权力。
可见本发明提供的是一种不同构思的工作方法。即在现有传统的持卡人---用款单位---银行业务主机流程外增加了新的用于证实持卡人本人真实意见的流程。该流程犯罪分子无隙可钻。该流程采用手机短信的方法,耗用时间短,一般不会超过30秒。
本发明克服了人们的偏见。通常情况下人们想方设法采用提高技术的手段防止伪冒卡,而本发明采用即时联系持卡人本人征求本人意见的方法防止伪冒卡。再高明的技术手段也可能会被伪造,轻易就会被冒用,而持卡人本人的意见是真实的不可能被伪冒的。采用手机短信的方法将持卡人本人的真实意见表达给银行,从而达到防治伪冒卡的目的。
本发明的有益效果是1、彻底的从根本上防止伪造冒用银行卡,技术效果显著。
所有经持卡人确认的用卡交易当然由持卡人本人承担一切后果。在此前题下,所有的伪造冒用卡交易盗取了持卡人的资金,根本不可能得到持卡人本人的同意。因此,所有伪造冒用卡交易得不到银行授权,无法使用。犯罪分子不能得到持卡人手机的情况下,即使犯罪分子得到持卡人银行卡的所有资料、密码,甚至得到持卡人真实的银行卡,也照样不能使用。
在银行业务主机---银行短信系统---持卡人手机,这一工作环节中,银行业务主机及短信服务商的业务主机均采用了安全的防范措施,犯罪分子不可能找到作案漏洞。犯罪分子只有同时窃取持卡人手机及银行卡才有伪冒使用银行卡的机会。由于大量手机具有锁定键盘的功能,有的手机将短信服务加密,犯罪分子不知道密码无法使用窃取的手机进行短信验证的回复。由于手机为现代人的生活日常用品,任何人的手机丢失后在当时或很短时间内肯定会发觉,可以采取挂失的办法及时中止手机的使用,从而消除使用伪造冒用银行卡的可能。
2、彻底的从根本上防止持卡人本人真实欺诈交易。
持卡人本人消费或指使他人消费,或者持卡人配偶、亲属未经持卡人同意用卡后,持卡人声称被冒用拒绝付款,并要求银行或商户承担损失。可见现有任何手段,都不能防范持卡人本人真实欺诈交易的发生。因为只有通过持卡人短信验证的卡的交易请求才被允许,而经持卡人本人同意的卡的交易当然由持卡人本人承担,所以短信验证可以彻底防止持卡人本人真实欺诈交易。
3、银行得到新的巨额的收益。
银行在短信验证工作方法中需要向持卡人手机发射一次短信,应该向网络服务商中国移动或中国联通支付短信费用。银行可以向持卡人收取相应服务费用。假设银行每次向持卡人收取0.4元费用,扣除支付给网络服务商的0.1元短信费用后可以获得0.3元的收益。0.3元收益虽然很少,但是全国持卡消费、取款的交易笔数是一个天文数字。银行可以获得巨额的总收益。持卡人资金安全,银行及网络服务商都获得巨额收益,可见短信验证是三方受益的方法。
4、银行卡的使用变得安全、简便、易行,促进银行卡的使用。
采用短信验证工作方法后,可以取消身份验证、签字验证、密码验证、银行cvv或cvc密码加密、IC智能卡+密码、VISA验证服务这些现在使用的、不完善的、容易使银行、商户、持卡人之间产生纠纷及损失的技术手段。银行卡的使用变得安全、简便、易行。对于银行卡,许多持卡人心存疑虑,担心被伪冒使用,甚至锁在家里不敢使用,又制造出一批新的“睡眠卡”。通过电话付款、邮购、网上付款等无法接触到银行卡实体,而只需提供银行卡账户信息即可消费的用卡方式,其风险更大。采用短信验证工作方法后,由于安全性得到保障,可以促进银行卡业务在我国的发展,特别是能够极大促进电话付款、邮购、网上付款使用银行卡地业务。
5、极大降低了银行技术成本。
银行采用提高技术的方法防止伪冒卡,使银行成本巨大。例如,智能卡极大增加了卡本身的成本,密码的使用必须添置数以万计的密码键盘,在线欺诈侦测软件开发维护费用高昂。银行采用短信验证的工作方法后,可以取消其它全部防止伪冒卡的方法,可以节约较大的成本。
6、银行卡无需挂失,安全经济。
通常持卡人银行卡丢失或被盗后,需要立即到银行交费办理挂失业务。采用短信验证工作方法后,持卡人无需将银行卡挂失,节省了银行卡挂失费,并且丢失或被盗后的银行卡也不会产生任何伪造冒用风险。
下面结合附图对本发明作进一步详述。
图1为本发明的工作流程中1.持卡人在用款单位提出用款请求、2.用款单位经网络联系银行业务主机索取授权、3.银行业务主机处理后将授权结果经网络答复用款单位、4.需要发送短信、5.将短信发送至服务商、6.服务商将短信发至持卡人手机、7.持卡人阅读操作手机短信、8.持卡人手机将短信回复至服务商、9.服务商将短信发至银行短信平台、10.银行短信平台将短信反馈银行业务主机、11.银行业务主机将短信验证结果答复用款单位。
具体实施例方式
在图1中,用款单位是指持卡人请求用款的单位,如银行网点、ATM取款机、商户POS、商户EDC、电话购物、邮购、网上购物等等。
银行短信平台是银行用于发射接收短信的系统,该系统连接银行业务主机,银行业务主机将短信验证请求发送到银行短信平台后,由银行短信平台将该短信发送到短信服务商。
短信服务商包括中国移动、中国联通、中国铁通、中国电信等能够提供手机或小灵通短信服务的单位。
流程1.持卡人在用款单位提出用款请求。
流程2.用款单位经网络联系银行业务主机索取授权。
流程3.银行业务主机处理后将授权结果经网络答复用款单位。银行业务主机收到用款单位的授权请求后,将用款单位报来的有关卡资料与主机内持卡人资料核对,对于资料不符、余额不足、已挂失、账户冻结等拒绝使用卡的情况,经网络将拒绝使用的授权结果发送用款单位,从而拒绝持卡人用卡。
流程4.需要发送短信。银行业务主机处理授权请求后,将资料不符、余额不足等直接拒绝授权的结果,由流程3答复用款单位;将卡资料相符、余额充足按照传统用卡流程应该同意使用的授权请求传送至银行短信平台,进入短信验证流程。银行业务主机将持卡人办卡时在银行预留的手机或小灵通号码及银行卡号传送至银行短信平台。
此时,用款单位与银行业务主机之间的网络继续保持连接状态中,用来等待银行短信平台传回短信验证结果后,由银行业务主机经此向用款单位反馈最终授权结果。
此流程中有多种选择由持卡人在申请办理银行卡时,提前进行选择。银行业务主机根据持卡人办卡时预留的的相应要求进行相应操作。
银行提供短信验证的使用内容表,由持卡人根据自己特点和要求进行选择。例如,设定单笔金额标准,凡是小于该单笔金额的用款请求无需短信验证;大于该单笔金额的用款请求必须经短信验证。也可以设定一天累计金额标准,凡是一天之内累计用款金额小于该当天设定金额的用款请求无需短信验证;超过当天设定金额的用款请求必须短信验证。也可以根据用款类型设定,网上交易、电话购物、邮购风险极大,可以设定为无论金额大小每一笔必须经短信验证;而在银行网点取款,由于被冒用的风险很小,可以设定一定金额内无需短信验证。以上短信验证具体标准的设定,既保证了持卡人的资金安全,又在一定情况下无需短信验证,减少用卡环节,使持卡人用卡方便。短信验证标准由持卡人书面选择签字认定后,由银行工作人员输入银行业务主机。短信验证标准的修改,必须由持卡人本人书面修改方可。
流程5.将短信发送至服务商。银行短信平台根据银行业务主机提供的手机或小灵通号码将短信验证请求发送至相应短信服务商。短信验证请求为短信的形式,其内容一般包括,用款单位名称、用款金额、用卡时间、回复意见的短信代码等。例如“您卡号后4位为6258的中国银行长城信用卡,于04年6月25日15时38分请求消费869.56元,同意回复1,拒绝回复2,请求扣卡报警回复3,请在10秒内回复本信息,否则视为拒绝用款”。
银行短信平台最好是通过专线连接短信服务商,尽量缩短短信到达持卡人手机的时间。一般情况下需1-5秒钟时间。也可以不设银行短信平台,由银行业务主机直接连接短信服务商。
流程6.服务商将短信发至持卡人手机。
短信服务商将短信内容发到持卡人手机或“小灵通”上。
流程7.持卡人阅读操作手机短信。持卡人阅读手机短信后,根据回复代码迅速回复。
流程8.持卡人手机将短信回复至服务商。持卡人手机将回复代码回复至短信服务商。
流程9.服务商将短信发至银行短信平台。短信服务商将持卡人回复的短信发送至银行短信平台。
流程10.银行短信平台将短信反馈银行业务主机。
流程11.银行业务主机将短信验证结果答复用款单位。用款单位是银行网点、ATM取款机、商户POS、商户EDC时,用款单位此时与银行业务主机之间的网络仍然保持连接状态中,银行业务主机将经短信验证的最终授权结果经此连线反馈用款单位。如果银行业务主机超过一定时间后没有收到短信验证的相关信息,就将拒绝使用的授权结果答复用款单位。
实施例用款单位是银行网点、ATM取款机、商户POS、商户EDC时,终端机器经电脑数据专线或电话线连接银行业务主机索取授权。银行网点、ATM取款机连线银行业务主机一般不会超过3秒钟时间。商户POS机经电话线拨号连线银行业务主机稍慢,但是一般也不会超过15秒钟时间。银行短信平台将短信经短信服务商发送到持卡人手机一般在5秒钟内。此时,持卡人已经取出自己的手机,接到短信后,阅读并迅速回复数字代码,一般在10秒钟内。
短信由持卡人手机发出,经短信服务商到达银行短信平台一般在5秒钟内。整个授权过程所用时间一般在40秒内。不会让持卡人长时间等待授权结果。
实施例用款单位是电话购物、邮购、网上购物时,售货单位根据收到的持卡人卡号及有效期向银行索取授权。售货单位可以使用银行在售货单位安装的pos机索取授权,也可以用电话拨打银行授权服务电话人工索取授权。银行业务主机接到授权请求后,经银行短信平台将短信经短信服务商发送到持卡人手机。银行业务主机收到短信回复后,根据短信回复的具体数字代码,将相应授权结果答复用款单位,或者将相应授权结果保留在银行业务主机中,由用款单位根据其商户代码查询该授权结果。
为了减少等待授权的时间,持卡人也可以采用用卡前事先发送短信,给予银行一定时间内一定权限额度的办法。持卡人向银行在短信服务商分配的特别服务号码发送短信,短信内容为数字,例如“1600”,表示同意金额在1600元人民币以内的用款请求。银行业务主机收到1600的短信内容后,根据手机号码找出持卡人卡号,将1600的数据记入相应数据库中,作为该卡号项下授权的依据。这样银行业务主机在收到用款单位的授权请求时,对于金额在1600元以内的用款请求将同意的授权结果直接答复用款单位;对于金额超过1600元的用款请求,向持卡人发送短信要求验证。
实施例持卡人于某日上午8时45分25秒用本人手机向特服号发出“5000”的数字。银行业务主机于当日上午8时45分28秒收到该5000的信息,并将该5000信息记入持卡人卡账户的相关授权数据库中。自当日8时45分28秒开始,直到当日凌晨24时00分00秒,持卡人的累计用款请求在5000元以内时,银行业务主机收到授权请求时直接将同意的授权结果答复用款单位,无须进行短信验证,从而节约持卡人等待授权的时间。时间超过当日凌晨24时00分00秒后,或者累计用款合计金额超过5000元,该5000元授权失效,需要进行短信验证流程。这样既保证了持卡人用卡方便,又防范了伪冒冒用风险。
权利要求
1.一种防止银行卡被伪造冒用的工作方法,持卡人在银行申领银行卡时,银行要求申请人在办卡申请表上留下用于短信联系的手机号码,该号码经申请人当面签字认可,持卡人在用款单位提出用款请求,用款单位经网络连线银行业务主机索取授权,银行业务主机核对检查各种卡资料,资料不符、余额不足直接答复用款单位拒绝持卡人交易,其特征是银行业务主机核对卡资料及余额后初步同意授权则进入短信验证工作流程,由银行业务主机经银行短信系统经短信服务商向持卡人预留手机号码发短信,要求持卡人确认该笔交易;持卡人手机或“小灵通”收到短信后,持卡人阅读内容并回复是否确认该笔交易意见的短信;银行短信系统收到持卡人短信回复结果后,将结果反馈银行业务主机;银行业务主机将最终授权结果答复用款单位。
2.根据权利要求1所述的一种防止银行卡被伪造冒用的工作方法,其特征是持卡人在用款单位提出用款请求以前,可以事先用本人手机根据特服号码向银行业务主机发送短信,给予银行业务主机一定时间内一定权限额度内可以直接答复用款单位授权请求的权力。
全文摘要
本发明涉及一种防止银行卡被伪造冒用的工作方法,持卡人在银行申领银行卡时,银行要求申请人在办卡申请表上留下用于短信联系的手机号码;持卡人在用款单位提出用款请求;用款单位经网络连线银行业务主机索取授权;银行业务主机核对检查各种卡资料;银行初步同意授权则进入短信验证环节,由银行业务主机经银行短信系统向持卡人预留手机号码发短信,要求持卡人确认该笔交易;持卡人收到短信后阅读内容并回复是否确认该笔交易的意见;银行业务主机收到经银行短信系统所收到的持卡人短信回复结果;银行业务主机将最终授权结果答复用款单位。
文档编号G07F19/00GK1744136SQ20041007533
公开日2006年3月8日 申请日期2004年9月3日 优先权日2004年9月3日
发明者王小恒 申请人:王小恒