驚蟄是早就過了，春雷倒也響了幾聲，而采訪完一直平靜敘述的專家張威時，記者心有驚雷立即做的第一件事，是自查了自己所有的銀行卡，并把所有銀行卡的服務(wù)電話，挨個兒統(tǒng)統(tǒng)打了一遍。

　　張威是太多次地說了——上百次不同場合一遍遍講解、提醒、警告，尤其上了年紀(jì)的老阿姨老伯伯們，正是盜卡團(tuán)隊瞄準(zhǔn)的龐大空間，卻偏偏難以繃緊這一根弦。

　　然而就連身為80后的記者自己，幾天前也差點掉進(jìn)大坑——通過某旅行社辦理出境證件，被告知如果提供一張白金信用卡的正反面復(fù)印件，就可免去開具收入證明、在職證明等手續(xù)。很多人都會選擇，因為便捷。但專家嘆息搖頭：一張正反面拍了照傳出去的信用卡，意味著信息全面泄露，很可能就是把卡把錢拱手送人！

　　近日新聞接二連三，多地驚爆“不翼而飛”，卡內(nèi)錢款莫名被盜。記者找到張威，張威語氣平靜：“互聯(lián)網(wǎng)上沒有‘刪除鍵’”、“信息會不斷往下賣，會有一個周期，一般是在3個月到半年之后去盜刷卡，這個時候你去想自己究竟在哪里泄露了信息，基本是想不出來的”……

　　最常見的，餐廳埋單刷卡、輸密碼毫不遮掩，甚至不設(shè)密碼直接請服務(wù)生把卡拿去服務(wù)臺代刷，再等其拿回機(jī)器所“吐”消費單簽字，交易完成。環(huán)環(huán)相扣，迅速搞定。但假如現(xiàn)場正好有一位“聽風(fēng)者”，就懸了。

　　于無聲處聽驚雷。聽這位信息安全專家、上海市信息安全行業(yè)協(xié)會副主任娓娓道來，道高一尺魔高一丈的較量有時宛如一部諜戰(zhàn)劇。

　　聽風(fēng)者

　　厲害的甚至可以根據(jù)客人的按鍵音“聽”出密碼

　　上述餐廳埋單那一組動作，在張威眼里，潛在的風(fēng)險非常明顯。

　　磁條卡一旦離開持卡人的視線，只要在小小的、特制的讀卡機(jī)上劃過，銀行卡信息即可被完整記錄。而一旦卡號和密碼的信息泄露給不法分子，立即就可復(fù)制出一張銀行卡，刷卡取現(xiàn)分分鐘完成。

　　“你以為這是高科技？現(xiàn)在甚至連‘這是個技術(shù)活’都說不上了，完全普遍化工具化了。”張威說：復(fù)制銀行卡，情況比預(yù)想得要糟糕。

　　這里的關(guān)鍵，是“磁條卡”。

　　記者采訪完打開自己的錢包，果然已是磁條卡之天下：9張不同銀行的卡片中，8張是磁條卡，只有1張是“復(fù)合卡”(即這張卡同時有磁條和芯片)。

　　你的，是否也如此？

　　過去三四十年，因“讀寫方便、成本低廉”，磁條卡廣為使用。但而今，磁條的加密技術(shù)，已經(jīng)被破解。

　　“磁條卡只是一個賬戶，它通過卡號密碼識別出用戶的身份，其工作的基本原理也是依靠卡號來識別不同磁卡?！贝艞l銀行卡因為讀卡時卡號相對公開，很容易復(fù)制。一旦用戶不慎將密碼一并泄露，不法分子用相同的加密技術(shù)將之燒至另外一張卡中，復(fù)制卡就產(chǎn)生了?！俺挚ㄈ说腻X，立即成了任人宰割的羔羊?！睆埻f。

　　收銀員偷窺密碼是被慣用的方式，個別POS機(jī)還被加裝了信息竊取裝置?！扒瓣囎恿餍羞^一種小小的讀卡器，大小和銀行卡差不多，方便服務(wù)生隨身攜帶。要知道，現(xiàn)在真有那么一小部分服務(wù)生，他們并不是看中工資，而是為了有機(jī)會盜取持卡者的用戶信息?！彼麄兡弥梢杂涗涖y行卡信息的POS機(jī)給顧客刷卡，然后在“不經(jīng)意間”看到密碼，厲害的甚至可以根據(jù)客人的按鍵音“聽”出密碼。

　　讀卡器哪里來？張威透露，很長一段時間，在網(wǎng)上搜索“銀行卡讀卡器”關(guān)鍵詞，就可以找到賣家。曾經(jīng)有實驗室的人佯裝購買聯(lián)系賣家，所需設(shè)備統(tǒng)統(tǒng)加在一起，售價在8000元左右，“包括銀行卡信息采集器、復(fù)制器、卡口、攝像頭、空白卡及配套的軟件、數(shù)據(jù)線和光盤”。買家付款后拿到貨，按照賣家的提示，安裝盜刷裝備和復(fù)制銀行卡在技術(shù)上一點也不難，簡直是傻瓜式菜單，只要稍懂電腦操作的人都可以操作。也因此，而今的盜刷銀行卡參與者，并不需要是懂技術(shù)的高學(xué)歷人群。

　　“你要找的人叫阿炳，他的耳朵是風(fēng)長的，尖得很。”“有人說他耳朵是風(fēng)長的，只要有風(fēng)，最小的聲音都會隨風(fēng)鉆進(jìn)他耳朵。”麥家在小說《暗算》中寫道。

　　不需要懂技術(shù)、高學(xué)歷的盜卡聽風(fēng)者們，也已經(jīng)根本不需要像阿炳這樣的高水準(zhǔn)了。

　　諜影重重

　　失落的秘符：無處不在的密碼泄露風(fēng)險，一組“卡號+密碼”，100元一條打包價

　　現(xiàn)在，復(fù)制盜刷銀行卡已經(jīng)形成一條完整的上下游產(chǎn)業(yè)鏈。

　　但問題發(fā)生的第一步——“銀行卡信息泄露”，還是和人們使用卡的習(xí)慣有關(guān)。

　　很多人有這樣的經(jīng)歷，在餐廳刷卡消費時，明明已經(jīng)刷過一次，但服務(wù)生告訴你剛才沒有成功，要再刷一次?！斑@個時候，要警惕，千萬不要讓銀行卡離開視線范圍，很可能是不法分子想再次確定你的密碼?！?/p>

　　更無聲息的是做了手腳的ATM機(jī)。張威舉了一個例子，去年西安警方曾經(jīng)破獲一起盜刷案，是不法分子在多家銀行的ATM機(jī)上安裝讀卡器、針孔攝像機(jī)，由于立即可以獲得卡號和密碼，這個團(tuán)伙在很短的時間內(nèi)就盜刷了100多名用戶共740萬元的賬戶金額。

　　隨著網(wǎng)上支付的普及，釣魚網(wǎng)站是不法分子獲取信息的另一渠道。一個加了木馬程序的鏈接，一旦用卡人點擊進(jìn)入，會被引導(dǎo)到交易網(wǎng)站上?！斑@個時候，你在頁面輸入登錄密碼，后臺就在記錄，輸入一次密碼提示錯誤，再輸入一次，后臺就確認(rèn)你的密碼了?！贬烎~網(wǎng)站發(fā)展迅猛，公安部門實時監(jiān)測，每天會有5000個-8000個新的釣魚網(wǎng)站被監(jiān)測到，這些網(wǎng)站的存活期也就一兩天，但危害非常大。

　　“以上3種是最為常見的信息丟失方式?！庇捎诖艞l卡的關(guān)鍵技術(shù)是卡號加密碼，卡號用于燒制偽造的卡，密碼用于取現(xiàn)。所以得到一組“卡號+密碼”，即被視為一條有效信息。

　　收集這樣的信息，是處于盜刷卡最“上游”的人每天需要做的工作。每隔一段時間，他們就將這些信息打包給下一個環(huán)節(jié)的人，有的是直接按照100元一條的打包價處理，有的則是等取款后分成。

　　更令人訝然的，是在這之后的漫長“潛伏”。

　　潛伏

　　漫長的“潛伏”：遍地撒網(wǎng)的異地取款，等待截取驗證碼

　　對于盜刷銀行卡的不法分子來說，通過他們的技術(shù)手段，每一條信息都能復(fù)制出一張銀行卡。復(fù)制后的卡支持在銀行ATM機(jī)直接查詢余額、提取現(xiàn)金，與原銀行卡無異。

　　萬事俱備，只剩取款環(huán)節(jié)。

　　為降低取款的“危險”，不法分子往往將取款的地點選擇與持卡人異地，采取的最常見方式是在ATM機(jī)取款。

　　在這個環(huán)節(jié)，有各式各樣的取錢客。取錢的馬仔，一次操作會取10張卡。因為ATM機(jī)上每天只能取2萬元，一些小額賬戶會被一次提取，大額賬戶則會被轉(zhuǎn)賬到幾十個不同的賬戶里。

　　很多人會有疑問，大額轉(zhuǎn)賬，銀行需要認(rèn)證持卡人的身份，會向持卡人的手機(jī)發(fā)驗證碼，犯罪分子是如何拿到驗證碼的呢？

　　這是一次協(xié)同作戰(zhàn)。

　　有不少人接到過這樣的電話——電話那頭說給你送快遞，但是地址不清楚，需要你告訴現(xiàn)在的地址。“這是劫持驗證碼的另一個方式。如果找到持卡人，在離持卡人1公里的范圍內(nèi)有技術(shù)手段攔截驗證碼，這樣一來，資金被轉(zhuǎn)移掉的同時，持卡人覺察不到任何異樣?！?/p>

　　當(dāng)然，由于這個方式的代價比較大，更為普遍的方式還是通過木馬截取。

　　“用木馬截取你的驗證碼，讓你收不到信息，直接轉(zhuǎn)發(fā)到他自己的手機(jī)上?！睆埻忉專@樣的木馬程序通常是伴隨著不正規(guī)的APP下載到用戶的手機(jī)上(也可能是有網(wǎng)址的短信)，之后便是漫長的“潛伏”，用戶使用支付寶、網(wǎng)銀時輸入的用戶名和密碼，會存在臨時文件cookie里，這個信息是加密的，但不法分子抓取后會進(jìn)行解密。

　　專家介紹說：有老人點擊釣魚網(wǎng)站后，按照提示多次輸入密碼，不斷出現(xiàn)錯誤提示后問家人密碼是否已改，才被發(fā)現(xiàn)有問題。

　　如何讓用戶相信并點擊登陸釣魚網(wǎng)站，是一個技術(shù)活。不法分子會設(shè)立偽基站，向方圓1公里范圍內(nèi)的手機(jī)發(fā)送信息，一般是假冒10086、95533、95555等所謂的電信運營商或銀行發(fā)出“積分兌換現(xiàn)金”短信，并內(nèi)置一個假冒運營商、銀行的釣魚網(wǎng)址?！氨热?a href="http://www.zhonghuixigou.com/stock/quote/sh601398/" target="_blank" title="工商銀行 601398">工商銀行的官網(wǎng)是ICBC，釣魚網(wǎng)站有一個字母不一樣，但頁面的設(shè)置完全一樣，沒提防的客戶大多不會發(fā)現(xiàn)，尤其是老年客戶，對英文字母完全不敏感，更容易上當(dāng)?！?/p>

　　時至今日，整個盜卡鏈條已經(jīng)非?？b密，客戶稍不當(dāng)心，錢就不翼而飛?！坝行┛▋?nèi)沒有多少錢，但不法分子可以查到以前的詳單，如若發(fā)現(xiàn)會有再次轉(zhuǎn)入資金的可能，就會先養(yǎng)著這些卡，等到有大額的錢進(jìn)來后再去取。就是按照你的存款數(shù)量來對待你的卡?！?/p>

　　還有，上海某銀行支行行長陳明(化名)介紹：在一些地方，村民批量辦卡后被人收走，收卡者僅支付每張20元甚至更低的價格。所以，在網(wǎng)上，搜索“銀行卡買賣”就會出現(xiàn)公然出售銀行卡的賣家。“這些都是村民用真實身份辦理銀行卡。”買別人的銀行卡干什么？那是為洗錢做準(zhǔn)備。

　　當(dāng)復(fù)制的銀行卡內(nèi)有大額現(xiàn)金，不能在ATM機(jī)上取出，則需要轉(zhuǎn)賬“輸送”到不同的卡上。這時，村民的卡就有了用武之地。

　　一旦“東窗事發(fā)”，追溯到出售自己銀行卡的村民，往往又難以追責(zé)?！八院芏鄷r候，這是一場沒有敵人的戰(zhàn)斗?！?/p>

　　暗算

　　委屈的銀行？被盜刷后，建議立刻持卡就近存或取點錢

　　人算不如天算，天算不如暗算。

　　尤其一旦被盜刷，要和銀行對簿公堂，銀行究竟應(yīng)不應(yīng)該負(fù)責(zé)、官司到底能不能打贏？這時候真容易心生痛恨，恨“盜卡分子”的狡詐“暗算”。

　　4月2日，賀賀接到一條刷卡短信通知，內(nèi)容為：您尾號5744的卡2日8時36分境外POS機(jī)支出(消費)1008元港幣。當(dāng)時，賀賀本人在上海家中，發(fā)生消費的銀行卡也在錢包里靜靜地躺著。因此，她看到短信的第一反應(yīng)就是卡被盜刷，立即撥打該銀行的服務(wù)專線。但銀行人員的回復(fù)是，由于交易發(fā)生在境外，銀行無法停止此筆交易，唯一的辦法立即幫持卡人銷卡換新卡。賀賀到銀行卡開卡行所在地的派出所報案，警方也表示境外盜刷不能立案，只能記錄在案，并出具一張“公安局案(事)件接報回執(zhí)單”用于證明報案事實。幾天后，賀賀拿到了新卡，但工作人員表示，到還款日必須還款，否則信用將有污點。

　　這時，持卡人和銀行之間，要么經(jīng)協(xié)商達(dá)成調(diào)解協(xié)議，要么就是對簿公堂。期間的各種取證、索賠、打官司的程序都非常麻煩。

　　在賀賀看來，銀行卡被盜刷(不管是異地消費，還是異地ATM機(jī)取現(xiàn))主責(zé)在于銀行不能識別偽卡，所以應(yīng)該承擔(dān)賠償責(zé)任，這也是很多被盜卡者的觀點。但銀行往往會認(rèn)為，持卡人需承擔(dān)銀行卡密碼保管不善的責(zé)任。

　　5月4日，上海某銀行支行大廳內(nèi)，十多名用戶在拿號等待辦理業(yè)務(wù)。記者隨機(jī)詢問他們的銀行卡情況，都是清一色的磁條卡。

　　而這家支行的行長陳明告訴記者，早在1年前，銀行就通知用戶更換辦理芯片卡，但選擇權(quán)在用戶。

　　目前證明被盜卡最常見的辦法，是到柜臺存取款。邏輯很簡單：對于持卡人而言，如果是銀行卡遺失導(dǎo)致自己的錢被盜，那是保管責(zé)任；如果銀行卡在自己身上，盜刷是因為銀行識別技術(shù)不到位，需要承擔(dān)責(zé)任。

　　專家建議的做法，是持卡人馬上到附近銀行柜臺去存100元或者取100元現(xiàn)金。

　　而在陳明看來，最近幾年盜刷事情發(fā)生后，一味讓銀行賠，也并不夠公平，“磁條卡的技術(shù)已經(jīng)非常普遍，復(fù)制這樣一張卡并沒有難度。法院從保護(hù)消費者利益的角度出發(fā)，只要持卡人可以證明銀行卡在自己身上即可索賠。但問題是，在社會信用不健全的情況下，并不能排斥持卡人將密碼泄露復(fù)制銀行卡異地取款的情況”。

　　解決之道，目前的建議還是集中在更多使用和大量推廣芯片卡上。

　　那么，芯片卡能否讓公眾的擔(dān)心不再？又究竟為何難以推廣？

　　記者繼續(xù)叩問。

　　捕風(fēng)者說

　　刀尖上的戰(zhàn)斗：難道只能為了安全放棄方便？

　　“迄今為止，全球未發(fā)生過芯片卡被復(fù)制導(dǎo)致欺詐的案例?！?/p>

　　因此，對于盜刷，銀行和專家給出的意見都是：盡早換成芯片卡。畢竟，個性大大咧咧如記者自己，那天也是檢查才發(fā)現(xiàn)，手中有好幾張沉睡的卡，而在盜刷新聞頻出的今天，銀行卡里的錢不定期查詢、信用卡到期還款時不仔細(xì)對照消費明細(xì)，都可能致使銀行卡已被盜刷而不自知。畢竟，專家表示，有時候，持卡人覺得自己是點對點將一張銀行卡發(fā)送給了微信上的某位朋友，但在這個過程中，很可能也有不法分子盯上這張卡，進(jìn)入到復(fù)制卡的產(chǎn)業(yè)鏈中。畢竟，一旦銀行卡信息泄露，是被動泄露還是主動泄露，這都涉及復(fù)雜的取證。

　　而且，純就技術(shù)而言，“芯片卡完全可以更換”。

　　但現(xiàn)實問題是，絕大多數(shù)的人，認(rèn)為這是一件“自找麻煩”的事情，不僅需要去營業(yè)廳排隊等候，交換卡費，還將面臨很多不能刷卡消費的狀況。由于各地芯片卡受理環(huán)境尚未搭建完成，ATM、POS機(jī)等受理終端尚未全部改造，芯片卡在很多國內(nèi)商戶處無法使用。芯片卡目前的商戶覆蓋面，遠(yuǎn)沒有已經(jīng)普及了三四十年的磁條卡廣泛。

　　而由于商家普及不高所以公眾不換卡，但公眾都用磁條卡，商家也不會有改造終端的積極性。這是一個循環(huán)圈。

　　所以目前專家的建議是：大家對自己的卡分類，只將其中一張用于網(wǎng)上支付、商家支付，或者大部分換成芯片卡，保留一張磁條卡且金額不要放太多。

　　那么，能不能創(chuàng)新推廣機(jī)制，增強(qiáng)商家動力，呼吁社會共識，來共同營造更加安全的消費環(huán)境？

　　進(jìn)而，如何在國家正日益重視、不斷加強(qiáng)的互聯(lián)網(wǎng)技術(shù)監(jiān)管能力建設(shè)上，不斷地在博弈中進(jìn)步，不斷地實現(xiàn)“道高一丈”？

　　這是本文的尾聲，也希望是公眾不再如此不安的開始。