誰來保衛(wèi)我們的銀行卡？

張鑫明++張恒++薛田++朱信明+++修淼

4月8日，周五的這個傍晚，有一個騙子想“變成”許妙成。

許妙成正在北京地鐵六號線的車廂里，毫無警覺。周五又是下班高峰期，地鐵里的人越來越多，很多人端著手機(jī)打發(fā)時間。

22歲的許妙成身材偏瘦，大眼睛，人長得很白凈，乍一看，還是一副學(xué)生模樣。他確實(shí)剛畢業(yè)不久，2014年畢業(yè)后進(jìn)入科技媒體圈工作，還自己創(chuàng)過業(yè)，現(xiàn)在就職于一家投資公司。

創(chuàng)業(yè)沒成功，反而欠下很多錢。他花了半年時間來還債，剛把債務(wù)還完，也有了三萬多存款。這些錢，分別存在他的三張銀行卡和支付寶里。無論是支付寶還是銀行卡，都設(shè)有重重安全措施——密碼驗(yàn)證、身份證號驗(yàn)證、郵箱驗(yàn)證等等。即便這些驗(yàn)證統(tǒng)統(tǒng)失效，還有最后也是最關(guān)鍵的一道安全閥門——手機(jī)。幾乎所有的支付、更改賬戶現(xiàn)在都需要手機(jī)動態(tài)密碼驗(yàn)證身份。

而手機(jī)，正在許妙成的手里。

正如其他銀行卡盜刷案一樣，那個登錄IP顯示在?？谑械尿_子，找到許妙成一個突破口，逐步瓦解了他的安全措施?，F(xiàn)在，4月8日17點(diǎn)多，騙子正打算攻破最后一關(guān)，拿到許妙成的手機(jī)，“變成”這個毫不知情的年輕人。

盜刷銀行卡

騙子是人類最古老的行業(yè)之一。只不過，不同階段有不同的特性。以前的騙子更多是騙人，現(xiàn)在，越來越多的騙子試圖騙過機(jī)器，比如騙過銀行的系統(tǒng)。

聽起來，這并不容易。畢竟自現(xiàn)代銀行建立之日起，安全就是最重要的問題之一，這也是人們愿意把自己的財(cái)富交給銀行保管的最基本原因。但現(xiàn)實(shí)中，騙過銀行，似乎并不是那么困難。

3月20日晚上9點(diǎn)多，顏值直播創(chuàng)始人馬月從三亞旅游回到北京，從機(jī)場回家的路上，他收到兩條短信。浦發(fā)銀行的系統(tǒng)發(fā)來的，提醒他銀行賬戶剛剛有兩筆消費(fèi)，一筆46萬，一筆1萬，消費(fèi)地點(diǎn)是江西省上饒市寶澤樓市場。他的第一反應(yīng)就是打電話掛失，電話里，對方要求他報(bào)上賬戶，并且輸入密碼。

“這個時候我腦子里還留了一個信號，我想萬一這是個偽裝的號?！瘪R月本身做互聯(lián)網(wǎng)工作，知道很多詐騙方式，向來謹(jǐn)慎，“各種奇怪的鏈接詐騙，我絕對不會點(diǎn)。剛出現(xiàn)這個事的時候，我還怕電話已經(jīng)中毒（用朋友電話打給浦發(fā)進(jìn)行掛失），我考慮得很周全?！?/p>

最終證實(shí)，短信是真的，電話是真的，那兩筆消費(fèi)也是真的。確實(shí)有人騙過了銀行，只用了兩分鐘，就劃走了本屬于他的47萬。

馬月后來才從銀行處得知，2月份，曾有人在河北查詢自己卡內(nèi)余額。這張卡只是一張借記卡，并未開通網(wǎng)銀功能，“肯定是有人復(fù)制了我的卡”。

不但復(fù)制了他的卡，還需要掌握卡的密碼。騙子想做到這些，有好多種途徑。他們可以在ATM機(jī)上設(shè)置陷阱，等馬月刷卡時復(fù)制；也可以在消費(fèi)場所偽裝服務(wù)員使用改裝過的POS機(jī)盜刷。銀行內(nèi)部人員泄露客戶信息的事情也曾發(fā)生過，還有一種是在電腦或手機(jī)里植入木馬。

河南電視臺《都市報(bào)道》的記者曾在一個盜刷銀行卡的QQ群臥底幾個月，終于見識了銀行卡復(fù)制器的威力——只要拿銀行卡在上面刷一下，不出十秒鐘就能讀出包括密碼在內(nèi)的銀行卡信息并復(fù)制一張新卡。

掌握了馬月的卡又有了取款密碼，浦發(fā)銀行系統(tǒng)自然會將任何人當(dāng)成馬月，允許其取走存在銀行里的財(cái)產(chǎn)。

販賣機(jī)器、盜取信息、販賣信息、刷卡套現(xiàn)已經(jīng)形成了一條隱秘又完整的產(chǎn)業(yè)鏈。在這個QQ群里，河南電視臺的記者也找到了販賣銀行卡信息的騙子，對方提供了一份銀行卡信息目錄，幾乎涵蓋中國所有省份：上海市儲戶信息38000條，山西儲戶信息17500條，山東150000條……在購買了一萬條鄭州儲戶信息后，記者核實(shí)了其中多條信息，每一個信息都是真的。

這和馬月了解到的信息差不多?！坝泻芏啵◤?fù)制）卡都在黑市上，我不敢刷，但是我敢賣你，比如五萬塊錢我能賣你價(jià)值一百萬的信息?！?/p>

每個環(huán)節(jié)都有風(fēng)險(xiǎn)，各做一環(huán)顯然相對安全。買到復(fù)制卡后，取錢的騙子也有一套嚴(yán)密流程?！氨热缳徺I偏遠(yuǎn)山村村民身份證，辦銀行卡，跨省取錢”，一位熟悉情況的APP后端工程師向本刊介紹道，“詐騙人在A省、身份證信息人在B省、線下取款機(jī)在C省……三省警方基本不可能抓到人，鎖定也幾乎不可能?！奔夹g(shù)高超的騙子還可能通過難以被偵查到的“潛網(wǎng)”（或稱“深網(wǎng)”deep web），通過購買比特幣等行為將錢洗白。

據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》估算，2015年，網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象，導(dǎo)致總體損失約805億元。

竊取手機(jī)

毫無疑問，許妙成的個人信息也泄露了。但并非是銀行卡信息，而是網(wǎng)絡(luò)賬戶。這種信息在網(wǎng)絡(luò)上流傳更廣，與銀行相比，一些商業(yè)網(wǎng)站的安全防護(hù)要薄弱很多。攜程網(wǎng)、網(wǎng)易郵箱的用戶都曾遭遇過個人信息疑似泄露的情況。由360互聯(lián)網(wǎng)安全中心出品的《2015年度中國網(wǎng)站安全報(bào)告》顯示，在被調(diào)查的網(wǎng)站中43.9%存在安全漏洞，一年或有55億條信息因這些網(wǎng)站漏洞而泄露。

“我們現(xiàn)在很多詐騙都是由于個人信息被泄露，”360手機(jī)衛(wèi)士安全專家葛健接受本刊采訪時說，除了黑客通過技術(shù)獲取外，“平時比如看個病，買個車，買個房，買個保險(xiǎn)，填寫的個人信息都有可能通過黑市被販賣出去。”

個人信息泄露渠道如此之多，以至于許妙成根本就不清楚，騙子是通過何種渠道，拿到自己在中國移動官網(wǎng)的賬戶和密碼的，“那個官網(wǎng)我其實(shí)已經(jīng)很多年不登了”。

17點(diǎn)53分，騙子已經(jīng)登錄了他在中國移動官網(wǎng)的賬戶，點(diǎn)擊了幾個鏈接后，很快就為許妙成訂購了“中廣財(cái)經(jīng)”手機(jī)報(bào)的服務(wù)。中國移動的系統(tǒng)發(fā)現(xiàn)了這筆訂單，通過10658000這個號碼發(fā)短信反饋給許妙成。

“我心想，10086怎么莫名其妙給我開了一個什么鬼業(yè)務(wù)”，許妙成說，他經(jīng)常收到這類信息，幾乎條件反射般回復(fù)了“TD”（常用的退訂業(yè)務(wù)代碼），但移動系統(tǒng)認(rèn)為他的代碼不正確，還給了他一個清單“請回復(fù)括號中的指令訂閱以下手機(jī)報(bào)”。許妙成想到了打移動客服詢問，但在人山人海的地鐵里，他還是決定到家再說。

騙子是不會等的。TA已經(jīng)有了一個詳細(xì)的計(jì)劃，計(jì)劃的核心是中國移動官網(wǎng)上“自助激活”4G備用卡的業(yè)務(wù)。這是中國移動為了開拓4G市場，讓用戶便捷換卡提供的一項(xiàng)服務(wù)，只要有一個空白的4G卡，點(diǎn)擊在線申請后，系統(tǒng)會下發(fā)一個USIM激活碼到舊卡，在網(wǎng)站填寫激活碼后，便可成功將舊卡作廢，啟用新卡。

如果騙子能夠拿到這個激活碼，成功更換新卡，也就意味著許妙成手里的手機(jī)卡將作廢，所有的來電、短信都會轉(zhuǎn)移到騙子的手機(jī)上去。

從技術(shù)上，人們的手機(jī)短信渠道早已經(jīng)危險(xiǎn)重重，騙子有多種方式可以拿到這個驗(yàn)證碼——可以通過偽基站發(fā)送帶有病毒鏈接的地址，如果許妙成點(diǎn)擊了，就會下載木馬病毒或者含有木馬病毒的APP，之后他原本能收到的激活碼短信都會被攔截發(fā)到騙子手機(jī)上。如果騙子和許妙成在同一輛地鐵上，還可以通過特殊設(shè)備，對手機(jī)信號進(jìn)行干擾，攔截激活碼。如果許妙成手機(jī)里的一些APP具有短信同步功能，而騙子能夠破解這些賬戶，也可以神不知鬼不覺地獲得這個激活碼。

在所有竊取個人信息的方式里，偽基站是目前最常見的一種，也是技術(shù)最強(qiáng)大的一種。以前還要開車架設(shè)偽基站，現(xiàn)在“偽基站越來越輕便，背一個包就可以帶走”，葛健說，騙子背一個包，專門在人多的地方來回走，或者騎著電動車、坐車，沿路就會接管輻射范圍內(nèi)的手機(jī)信號，并發(fā)送短信。這些短信都可以偽裝成“10086”、“95558”等電信運(yùn)營商或銀行的官方客服號碼，一般都會帶有鏈接。

“而且短信中的網(wǎng)址也特別有迷惑性”，葛健說，比如中國移動官網(wǎng)是10086.cn，偽基站發(fā)過來的鏈接可能用小寫的“l(fā)”替換掉“1”，變成l0086.cn。他們之所以在高峰期背著偽基站到處逛，就是為了“廣撒網(wǎng)”，只要有人點(diǎn)開，就可能會落入圈套之中——或者是一個偽裝的網(wǎng)站，需要你填寫個人銀行卡號、密碼等選項(xiàng)，盜取個人信息；或者是安裝木馬，入侵你的手機(jī)，惡意吸費(fèi)，甚至劫持手機(jī)短信。

據(jù)前述APP后端工程師介紹，安卓系統(tǒng)木馬可以獲得手機(jī)最高權(quán)限，讀取手機(jī)接收短信、轉(zhuǎn)發(fā)短信至特定號碼（或者上傳黑客后臺）、刪除本機(jī)短信，在幾毫秒的瞬間完成，“肉眼都看不到”。

2014年初，公安部、工信部等九部委啟動了一場打擊偽基站的專項(xiàng)行動，至今已經(jīng)抓獲犯罪嫌疑人接近7000名，破獲偽基站設(shè)備5000余套。雖然情況有所緩解，卻并沒有消失。在百度搜索“短信設(shè)備”關(guān)鍵詞，會跳出數(shù)條推廣廣告，標(biāo)題里不乏“新款短信設(shè)備，每小時十萬條”等字眼。

這也是從事互聯(lián)網(wǎng)行業(yè)的馬月，接到浦發(fā)銀行客服輸入密碼要求后，心存疑慮的原因。但許妙成則沒有這么強(qiáng)的安全焦慮，“人的安全警覺還沒那么強(qiáng)”。

更可怕的漏洞

騙子并沒有使用偽基站的方式，而是通過139電子郵箱的短信功能給許妙成發(fā)了一條短信：

許妙成幾乎不假思索就回復(fù)了“取消+驗(yàn)證碼”幾個字?！拔疑踔炼紱]有注意到這條短信號碼的可疑，誰會時時有迫害妄想癥，如此細(xì)心？”

根據(jù)移動139電子郵箱的規(guī)則，移動手機(jī)回復(fù)的短信也會在郵箱里顯示。騙子應(yīng)該能夠看到許妙成的第一次回復(fù)，并能體會到他取消訂閱的急迫心理。這時，TA提交了自助換卡的申請，移動系統(tǒng)收到申請后，向許妙成的舊卡發(fā)送了驗(yàn)證碼：

看到這條信息，許妙成再次編輯“取消+******”，把驗(yàn)證碼發(fā)回給騙子。騙子在139的郵箱里看到短信后，迅速在網(wǎng)站填好驗(yàn)證碼，激活了手機(jī)里的新卡。半小時后，許妙成的手機(jī)忽然斷網(wǎng)，失去信號，甚至無法打通移動的客服電話。在重啟無數(shù)次，甚至到家利用WiFi上網(wǎng)查詢解決辦法無果后，他打算第二天再到營業(yè)廳處理。

這時候，騙子則開始利用手機(jī)號攻破他支付寶的安全防護(hù)。支付寶的自助重置密碼功能里，可以選擇“通過銀行卡驗(yàn)證”或者通過“驗(yàn)證短信+驗(yàn)證身份證件”兩種方式，也就是說，一旦騙子掌握了用戶的個人信息以及手機(jī)號碼，就可以隨意更改密碼了。隨后，騙子利用支付寶、百度錢包等支付平臺，開始轉(zhuǎn)走許妙成的三張銀行卡里的錢。雖然支付寶的通知很快讓許妙成意識到賬戶被盜，他也采取了解除綁定銀行卡等行動，但掌握著他手機(jī)號、身份證號等諸多信息的騙子，很容易擊破許妙成的補(bǔ)救措施，卡里的三萬多元，陸續(xù)被騙子從支付寶、百度錢包于平臺轉(zhuǎn)走兩萬五。

在個人身份信息泄露無處不在的當(dāng)下，最重要的安全閥門就是手機(jī)號碼了——但通過一條短信驗(yàn)證碼，騙子很容易就拿到了許妙成的手機(jī)。正如前面所說，人們的短信通道，其實(shí)已經(jīng)不再安全了。

“我們把所有的安全都寄托在一個東西（手機(jī)驗(yàn)證碼）身上，”許妙成說，這是一個機(jī)制上的漏洞，非?？膳?，“因?yàn)闆]有科技含量它才可怕，有科技含量證明他的犯罪成本非常高，而且只有極少數(shù)人才能完成，他要破解各種東西。如果它不是一個有科技含量的東西，是一個機(jī)制漏洞，那就相當(dāng)于騙子會隨時鉆空子?！?/p>

“蒼蠅不叮無縫的蛋”，每一場得手的行騙、盜刷背后，都有類似的漏洞存在。馬月的銀行卡被盜刷47萬后，他當(dāng)即打電話給客服掛失，同時希望銀行能夠暫停劃撥盜刷的資金，“實(shí)際上這個錢還在浦發(fā)銀行，沒有被劃走，它是在每天晚上11半的時候有一次自動結(jié)算，這個錢被劃到江西農(nóng)信社，農(nóng)信社再給到那個商戶，商戶把錢提走，有一個過程。如果這個時候浦發(fā)銀行發(fā)現(xiàn)有問題了，只要把這個錢凍結(jié)，就不會有后面的任何事情，被盜走的錢跟沒被盜走一樣”，馬月說，可是客服告訴他，負(fù)責(zé)此事的工作人員“下班了，你卡被盜就報(bào)警”。事后馬月找到浦發(fā)銀行的高層，“他們也承認(rèn)自己的問題，他說我們現(xiàn)在這塊兒沒人管，這個時間沒人上 班。”

我們還能感到安全嗎？

跟各家金融機(jī)構(gòu)溝通，讓馬月和許妙成疲憊不堪。

“這個事特別鬧心，我自己沒有任何過失，我正常刷卡，吃個飯，看個電影，商場買東西……”馬月說，當(dāng)時他掛失后去派出報(bào)案，“人家都不給我立案。我去了三里屯派出所，派出所說你必須讓銀行出示證據(jù)，打印憑條證明你的錢丟了，你不能口說。對于派出所來說，立案是一個比較重要的事情。比如打架，打架這種事如果能到派出所調(diào)解就不立案了。”最后，他請認(rèn)識的一名警官幫忙才立案。

浦發(fā)銀行也是如此，“浦發(fā)銀行的意思就是轉(zhuǎn)哪兒跟我沒關(guān)系，你自己去查，我也查不了。感覺就是冷漠?！焙髞?，馬月又找了媒體，找央視、找微博大V幫忙，他的投資人也在微信上聯(lián)系認(rèn)識的浦發(fā)銀行高層，“所以他才找我。他（浦發(fā)銀行）的意思就是他們已經(jīng)跟（江西）農(nóng)信社那邊說了，要求他們在兩周之內(nèi)把這個錢退回去。我說退不回來呢？他說退不回來…（我們再找）”。

許妙成也遭遇了類似經(jīng)歷。一開始只有支付寶態(tài)度較好在跟進(jìn)，百度錢包甚至都不相信這件事情，“態(tài)度不好，我讓他去查，就沒理我”，許妙成說，后來把事情發(fā)了微博，找一些朋友轉(zhuǎn)發(fā)并迅速引起巨大輿論關(guān)注，央視也來采訪后，百度錢包這才找到許妙成，先是通過客服，后來通過百度內(nèi)部一位認(rèn)識許妙成的朋友和他溝通，“過了大概有幾個小時，百度錢包說他們賠”。

最終，依靠支付寶和百度錢包，許妙成追回了一萬五千元，還有騙子購買的七千多元基金積存可以贖回外，其他損失希望渺茫。銀行和移動則態(tài)度比較堅(jiān)決，許妙成打電話給銀行，“他們的態(tài)度就是您這個確實(shí)是網(wǎng)上詐騙，太普遍了，他們也管不了，如果警察要調(diào)查他們會積極配合警方”。

中國移動也回復(fù)本刊稱，“該案實(shí)際上是因客戶被人竊取了網(wǎng)廳登錄賬戶密碼在先（若客戶被人竊取了支付寶賬戶密碼也會產(chǎn)生同樣經(jīng)濟(jì)損失），然后他自己又將換卡驗(yàn)證碼發(fā)給騙子。從業(yè)務(wù)辦理流程來看是正常的。中國移動將積極配合有關(guān)部門，提供相關(guān)證據(jù)，進(jìn)行后續(xù)查證?！?/p>

但中國移動顯然也意識到了網(wǎng)上自主激活空白卡存在的漏洞——其實(shí)，早在幾個月前，他們就意識到了這個問題。《廣州日報(bào)》1月5日的報(bào)道中，中國移動工作人員就曾介紹了一種以退訂業(yè)務(wù)為由，誘導(dǎo)手機(jī)用戶換卡的新騙術(shù)，而用戶的手機(jī)號一旦被盜走，任何綁定該手機(jī)號碼的網(wǎng)絡(luò)賬號和銀行卡均將面臨極大風(fēng)險(xiǎn)。但這個自助服務(wù)通道一直沒有關(guān)閉，直到許妙成的案件發(fā)生 后。

4月18日后，北京移動的網(wǎng)上營業(yè)廳USIM卡換卡業(yè)務(wù)已進(jìn)行了安全機(jī)制上的更新，用戶在網(wǎng)上辦理換卡時，必須先申請備用卡并選擇郵寄到家，同時輸入短信驗(yàn)證碼。如果沒有申請備卡就不能辦理該業(yè)務(wù)。4月21日，本刊記者登錄移動官網(wǎng)查詢，發(fā)現(xiàn)通過網(wǎng)站自助激活空白卡的業(yè)務(wù)已經(jīng)停辦，而通過139郵箱發(fā)送的短信，也在末尾注明了發(fā)信人的手機(jī)號碼。

電信運(yùn)營商和銀行其實(shí)也在試圖解決各自業(yè)務(wù)中存在的漏洞。比如推廣4G卡，據(jù)360安全專家葛健透露，4G卡的安全性要更高一些，“4G基本上收不著偽基站的短信”。而銀行也一直在力推芯片卡，據(jù)VISA介紹，帶有芯片的信用卡和借記卡可以將盜刷風(fēng)險(xiǎn)降低近20%。

同時，公安部門對偽基站的打擊，也一再升級。據(jù)知情人士向《21世紀(jì)經(jīng)濟(jì)報(bào)道》披露，“北京市有關(guān)部門已經(jīng)啟動一項(xiàng)監(jiān)測工程，計(jì)劃投入數(shù)億元，在全北京市主干道以及重點(diǎn)區(qū)域部署偵碼器，這種設(shè)備的一部分功能就是偵查、識別偽基站。”目前，該項(xiàng)目即將進(jìn)入招標(biāo)階段，招標(biāo)完成后，將會有10萬-20萬個偵碼器部署在北京主干道的路燈上。

中國移動信息安全管理與運(yùn)行中心相關(guān)負(fù)責(zé)人葉向本刊透露，移動內(nèi)部早已成立了專項(xiàng)工作組，全國31個省公司均建設(shè)配備了偽基站后臺監(jiān)測系統(tǒng)和現(xiàn)場定位設(shè)備，不斷監(jiān)控打擊使用偽基站等行為。

壞消息是，騙子的技術(shù)，也在更新?lián)Q代。河南電視臺記者在盜刷團(tuán)伙臥底時就發(fā)現(xiàn)，銀行在更新技術(shù)，推行芯片卡，但是盜刷團(tuán)伙也在破解這種技術(shù)，據(jù)稱盜刷芯片卡的復(fù)制器也已經(jīng)生產(chǎn)了出來。

4G也存在同樣問題，據(jù)葛健介紹，偽基站已經(jīng)可以通過技術(shù)手段，“專門把你的4G降頻，有時候你信號不好的時候，就降了，4G降3G，3G就變成2G了。這個時候你也會容易收到偽基站的短信”。

這一場騙子與各大機(jī)構(gòu)的安全攻防戰(zhàn)，結(jié)果為何，實(shí)難預(yù)料。更令人憂慮的是，曾經(jīng)泄露的那些個人信息，依然在黑市流傳，誰也不清楚自己的信息是否包含其中。

馬月只得頗為無奈的建議，“如果你要是平常刷卡，趕緊再到銀行辦一張新卡“，開通網(wǎng)銀，把錢轉(zhuǎn)都到新卡里。日常消費(fèi)用金額較少的卡，隨用隨轉(zhuǎn)。

許妙成也吸取了自己的教訓(xùn)：“先保護(hù)好手機(jī)安全。不要把所有銀行都開網(wǎng)銀，最常用的手機(jī)號盡量不要跟銀行綁定，我明天換個號。”

這種必須自我修煉，提升安全意識的做法，讓許妙成感到非常不舒服，“安全機(jī)制不就應(yīng)該是這么設(shè)定的，每個人都這么聰明要你干嗎？每個人自己能保護(hù)自己，還要你干嗎？所以我當(dāng)時就在跟他們說這個事情，你不能老說用戶太笨了，用戶自己把這東西泄露了，才導(dǎo)致錢丟失。其實(shí)這個世界上大部分人是沒那么聰明的，你不能指望每個人都那么有安全意識，這才是你這個機(jī)制存在的原因，為什么我把錢存你銀行？那不就是覺得你安全嘛?！?