盗刷银行卡 谁来保卫我们的银行卡？

22岁的许妙成身材偏瘦，大眼睛，人长得很白净，2014年毕业后进入科技媒体圈工作，创业欠下的债务还完后，他有了3万多元存款。这些钱，分别存在他的3张银行卡和支付宝里。无论是支付宝还是银行卡，都设有重重安全措施——各种验证。即便这些验证统统失效，还有最后也是最关键的一道安全阀门——手机。几乎所有的支付、更改账户现在都需要手机动态密码验证身份。

正如其他银行卡盗刷案一样，那个登录IP显示在海口市的骗子，找到许妙成一个突破口，逐步瓦解了他的安全措施。现在，4月8日17点多，骗子正打算攻破最后一关，拿到许妙成的手机，“变成”这个毫不知情的年轻人。

1

以前的骗子更多是骗人，现在，越来越多的骗子试图骗过机器，比如骗过银行的系统。

3月20日晚9点多，颜值直播创始人马月从三亚旅游回到北京，他收到两条短信。浦发银行的系统发来的，提醒他银行账户刚刚有两笔消费，一笔46万，一笔1万，消费地点是江西省上饶市宝泽楼市场。他的第一反应就是打电话挂失，电话里，对方要求他报上账户，并且输入密码。

马月后来才从银行处得知，2月份，曾有人在河北查询自己卡内余额。这张卡只是一张借记卡，并未开通网银功能，“肯定是有人复制了我的卡”。不但复制了他的卡，还需要掌握卡的密码。

河南电视台《都市报道》的记者曾在一个盗刷银行卡的QQ群卧底几个月，终于见识了银行卡复制器的威力——只要拿银行卡在上面刷一下，不出十秒钟就能读出包括密码在内的银行卡信息并复制一张新卡。

贩卖机器、盗取信息、贩卖信息、刷卡套现已经形成了一条隐秘又完整的产业链。买到复制卡后，取钱的骗子也有一套严密流程。“比如购买偏远山村村民身份证，办银行卡，跨省取钱”，一位熟悉情况的APP后端工程师介绍，“诈骗人在A省、身份证信息人在B省、线下取款机在C省……三省警方基本不可能抓到人，锁定也几乎不可能。”技术高超的骗子还可能通过难以被侦查到的“潜网”，通过购买比特币等行为将钱洗白。

据中国互联网协会发布的《中国网民权益保护调查报告》估算，2015年，网民因个人信息泄露、垃圾信息、诈骗信息等现象，导致总体损失约805亿元。

窃取手机

2

毫无疑问，许妙成的个人信息也泄露了。但并非是银行卡信息，而是网络账户。

“我们现在很多诈骗都是由于个人信息被泄露。”360手机卫士安全专家葛健接受采访时说，除了黑客通过技术获取外，“平时比如看个病，买个车，买个房，买个保险，填写的个人信息都有可能通过黑市被贩卖出去。”

个人信息泄露渠道如此之多，以至于许妙成根本就不清楚，骗子是通过何种渠道，拿到自己在中国移动官网的账户和密码的，“那个官网我其实已经很多年不登了”。

17点53分，骗子已经登录了他在中国移动官网的账户，点击了几个链接后，很快就为许妙成订购了“中广财经”手机报的服务。中国移动的系统发现了这笔订单，通过10658000这个号码发短信反馈给许妙成。

“我心想，10086怎么莫名其妙给我开了一个什么鬼业务”，许妙成说，他经常收到这类信息，几乎条件反射般回复了“TD”（常用的退订业务代码），但移动系统认为他的代码不正确，还给了他一个清单“请回复括号中的指令订阅以下手机报”。许妙成想到了打移动客服询问，但在人山人海的地铁里，他还是决定到家再说。

骗子是不会等的。TA已经有了一个详细的计划，计划的核心是中国移动官网上“自助激活”4G备用卡的业务。这是中国移动为了开拓4G市场，让用户便捷换卡提供的一项服务，只要有一个空白的4G卡，点击在线申请后，系统会下发一个USIM激活码到旧卡，在网站填写激活码后，便可成功将旧卡作废，启用新卡。如果骗子能够拿到这个激活码，成功更换新卡，也就意味着许妙成手里的手机卡将作废，所有的来电、短信都会转移到骗子的手机上去。

在所有窃取个人信息的方式里，伪基站是目前最常见的一种，也是技术最强大的一种。以前还要开车架设伪基站，现在“伪基站越来越轻便，背一个包就可以带走”。

2014年初，公安部、工信部等九部委启动了一场打击伪基站的专项行动，至今已经抓获犯罪嫌疑人接近7000名，破获伪基站设备5000余套。虽然情况有所缓解，却并没有消失。在百度搜索“短信设备”关键词，会跳出数条推广广告，标题里不乏“新款短信设备，每小时十万条”等字眼。

更可怕的漏洞

3

骗子并没有使用伪基站的方式，而是通过139电子邮箱的短信功能给许妙成发了一条短信。许妙成几乎不假思索就回复了“取消+验证码”几个字。“我甚至都没有注意到这条短信号码的可疑，谁会时时有迫害妄想症，如此细心？”

根据移动139电子邮箱的规则，移动手机回复的短信也会在邮箱里显示。骗子应该能够看到许妙成的第一次回复，并能体会到他取消订阅的急迫心理。这时，TA提交了自助换卡的申请，移动系统收到申请后，向许妙成的旧卡发送了验证码。看到这条信息，许妙成再次编辑“取消+******”，把验证码发回给骗子。骗子在139的邮箱里看到短信后，迅速在网站填好验证码，激活了手机里的新卡。半小时后，许妙成的手机忽然断网，失去信号，甚至无法打通移动的客服电话。在重启无数次，甚至到家利用WiFi上网查询解决办法无果后，他打算第二天再到营业厅处理。

这时候，骗子则开始利用手机号攻破他支付宝的安全防护。支付宝的自助重置密码功能里，可以选择“通过银行卡验证”或者通过“验证短信+验证身份证件”两种方式，也就是说，一旦骗子掌握了用户的个人信息以及手机号码，就可以随意更改密码了。随后，骗子利用支付宝、百度钱包等支付平台，开始转走许妙成的3张银行卡里的钱。虽然支付宝的通知很快让许妙成意识到账户被盗，他也采取了解除绑定银行卡等行动，但掌握着他手机号、身份证号等诸多信息的骗子，很容易击破许妙成的补救措施，卡里的3万多元陆续被骗子从支付宝、百度钱包平台转走两万五。

在个人身份信息泄露无处不在的当下，最重要的安全阀门就是手机号码了——但通过一条短信验证码，骗子很容易就拿到了许妙成的手机。正如前面所说，人们的短信通道，其实已经不再安全了。

“我们把所有的安全都寄托在一个东西（手机验证码）身上，”许妙成说，这是一个机制上的漏洞，非常可怕，“因为没有科技含量它才可怕，有科技含量证明他的犯罪成本非常高，而且只有极少数人才能完成，他要破解各种东西。如果它不是一个有科技含量的东西，是一个机制漏洞，那就相当于骗子会随时钻空子。”

“苍蝇不叮无缝的蛋”，每一场得手的行骗、盗刷背后，都有类似的漏洞存在。马月的银行卡被盗刷47万后，他当即打电话给客服挂失，同时希望银行能够暂停划拨盗刷的资金，“实际上这个钱还在浦发银行，没有被划走，它是在每天晚上11点半的时候有一次自动结算，这个钱被划到江西农信社，农信社再给到那个商户，商户把钱提走，有一个过程。如果这个时候浦发银行发现有问题了，只要把这个钱冻结，就不会有后面的任何事情，被盗走的钱跟没被盗走一样”，马月说，可是客服告诉他，负责此事的工作人员“下班了，你卡被盗就报警”。事后马月找到浦发银行的高层，“他们也承认自己的问题，他说我们现在这块儿没人管，这个时间没人上班。”

我们还能感到安全吗？

4

跟各家金融机构沟通，让马月和许妙成疲惫不堪。马月说，当时他挂失后去派出报案，“人家都不给我立案。我去了三里屯派出所，派出所说你必须让银行出示证据，打印凭条证明你的钱丢了。”最后，他请认识的一名警官帮忙才立案。

许妙成也遭遇了类似经历。最终，依靠支付宝和百度钱包，许妙成追回了一万五千元，还有骗子购买的七千多元基金积存可以赎回外，其他损失希望渺茫。

中国移动也意识到了网上自主激活空白卡存在的漏洞——其实，早在几个月前，他们就意识到了这个问题。《广州日报》1月5日的报道中，中国移动工作人员就曾介绍了一种以退订业务为由，诱导手机用户换卡的新骗术，而用户的手机号一旦被盗走，任何绑定该手机号码的网络账号和银行卡均将面临极大风险。但这个自助服务通道一直没有关闭，直到许妙成的案件发生后。

4月18日后，北京移动的网上营业厅USIM卡换卡业务已进行了安全机制上的更新，用户在网上办理换卡时，必须先申请备用卡并选择邮寄到家，同时输入短信验证码。如果没有申请备卡就不能办理该业务。4月21日，记者登录移动官网查询，发现通过网站自助激活空白卡的业务已经停办，而通过139邮箱发送的短信，也在末尾注明了发信人的手机号码。

电信运营商和银行其实也在试图解决各自业务中存在的漏洞。同时，公安部门对伪基站的打击，也一再升级。

坏消息是，骗子的技术，也在更新换代。河南电视台记者在盗刷团伙卧底时就发现，银行在更新技术，推行芯片卡，但是盗刷团伙也在破解这种技术，据称盗刷芯片卡的复制器也已经生产了出来。

4G也存在同样问题，据葛健介绍，伪基站已经可以通过技术手段，“专门把你的4G降频，有时候你信号不好的时候，就降了，4G降3G，3G就变成2G了。这个时候你也会容易收到伪基站的短信”。

这一场骗子与各大机构的安全攻防战，结果为何，实难预料。更令人忧虑的是，曾经泄露的那些个人信息，依然在黑市流传，谁也不清楚自己的信息是否包含其中。

（据《看天下》）

新闻推荐

“游摊”归位 引“摊”入“市” 取缔主城区重要街路露天烧烤 让居民告别“烟熏火燎”之苦

让居民告别“烟熏火燎”之苦