背面三位数 CVV 本来就不是扣款的必要条件。一般来说网购需要背面三位数,但是通过电话或者邮购下单(尤其是互联网普及之前),是只需要卡号+有效期的,并不需要背面三位数。这是信用卡的常见误区。
这个也不是大商户特权。你如果通过电话从小商户下单的话,小商户直接在自己 POS 机上手动把你的卡号和有效期给按进去,就能直接扣钱了。对,就是这么简单。POS 机上就直接有一个菜单能让你进去输卡号的。
在信用卡有磁条之前,刷信用卡的方式,是用复写纸和压卡机,把卡垫在压卡机下面,复写纸放在卡号和有效期的凸字的上面,然后让压卡机施加压力,把卡号和有效期印在复写纸上,你签字,交易就算行了。如果我没记错的话商户还得打电话(对,打电话)管银行要一个授权码,填在单子上。
银行卡磁条上能存储的信息本来就是非常有限的(所以才容易造假)。最开始银行卡设计磁条的目的,就是为了对机器提供卡号和有效期,并取代压卡机。磁条和“卡号+有效期”的验证方式,都不能避免造假。这也是为什么后来有了芯片卡的原因。所以,“卡号+有效期”其实并没有比单磁条危险很多。
那你可能想问,既然如此,为什么商户都不干脆直接用卡号+有效期认证,还非得插芯片呢?银行会对采用卡号+有效期的交易收取更高的手续费来鼓励商户使用芯片。比如正常收信用卡的手续费可能是 3%,但是如果是卡号+有效期的话,就收 5%这样。
从公开能查得到的大收单机构来看,Square 正常插芯片卡的手续费是 2.6%+10 美分/笔,手输卡号+有效期是 3.5%+15 美分/笔。这里 Square 的手输卡号手续费没有我上面说的 5%那么夸张的原因是,他们假设这张卡是美国的卡(有美国邮编),并且也是要输背面三位数的。虽说如此,这也证明了你其实不用想办法搞什么 API 什么的,任何商户直接问别人卡号然后手输进去也是可以扣钱的。
https://squareup.com/help/us/en/article/5176-manually-key-in-card-payments-without-the-square-readerhttps://squareup.com/help/us/en/article/5068-what-are-square-s-fees非业内人士,部分描述可能略有出入。
@
monzuguan #3 IHG 这种酒店集团,其酒店基本都是加盟,由 IHG 提供装修、宣传、客房订购系统、洗漱备品等。所以 IHG 网站上都有一句话,叫“大多数 IHG 酒店都是独立运营的”,这也是为什么你国内住 IHG ,开发票,发票抬头上有的会写酒店名字,而有的就会写“某某某酒店管理集团”之类上面完全看不出 IHG 品牌名的抬头。只要你不是住的国内的 IHG 用支付宝,在这种模式下,IHG 基本上做的,就是把你的卡号和有效期发给那个酒店,然后那酒店走自己的 POS 机做预授权,原理跟上面说的类似。国内 IHG 如果 POS 机能刷外卡的话(几乎所有国内 IHG 都能),也是支持手输卡号+有效期来扣款的,但是国内普遍不这么做,主要原因基本也就是懒+前台不熟练。所以你如果在 IHG 官网订国内宾馆的话,可以选择用外卡来做押金预授权(而不用支付宝信用分什么的),哪怕 no show 的话宾馆也不会扣掉你第一天的房费。希尔顿的做法可能跟 IHG 有点出入,好长时间没住过了,忘了。