卡里的钱是如何莫名被盗?记者追问核心技术专家

时间:2016-05-25 09:00:54

■本报记者 谢飞君

惊蛰是早就过了,春雷倒也响了几声,而采访完一直平静叙述的专家张威时,记者心有惊雷立即做的第一件事,是自查了自己所有的银行卡,并把所有银行卡的服务电话,挨个儿统统打了一遍。

张威是太多次地说了——上百次不同场合一遍遍讲解、提醒、警告,尤其上了年纪的老阿姨老伯伯们,正是盗卡团队瞄准的庞大空间,却偏偏难以绷紧这一根弦。

然而就连身为80后的记者自己,几天前也差点掉进大坑——通过某旅行社办理出境证件,被告知如果提供一张白金信用卡的正反面复印件,就可免去开具收入证明、在职证明等手续。很多人都会选择,因为便捷。但专家叹息摇头:一张正反面拍了照传出去的信用卡,意味着信息全面泄露,很可能就是把卡把钱拱手送人!

近日新闻接二连三,多地惊爆“不翼而飞”,卡内钱款莫名被盗。记者找到张威,张威语气平静:“互联网上没有‘删除键’”、“信息会不断往下卖,会有一个周期,一般是在3个月到半年之后去盗刷卡,这个时候你去想自己究竟在哪里泄露了信息,基本是想不出来的”……

最常见的,餐厅埋单刷卡、输密码毫不遮掩,甚至不设密码直接请服务生把卡拿去服务台代刷,再等其拿回机器所“吐”消费单签字,交易完成。环环相扣,迅速搞定。但假如现场正好有一位“听风者”,就悬了。

于无声处听惊雷。听这位信息安全专家、上海市信息安全行业协会副主任娓娓道来,道高一尺魔高一丈的较量有时宛如一部谍战剧。

听风者

厉害的甚至可以根据客人的按键音“听”出密码

上述餐厅埋单那一组动作,在张威眼里,潜在的风险非常明显。

磁条卡一旦离开持卡人的视线,只要在小小的、特制的读卡机上划过,银行卡信息即可被完整记录。而一旦卡号和密码的信息泄露给不法分子,立即就可复制出一张银行卡,刷卡取现分分钟完成。

“你以为这是高科技?现在甚至连‘这是个技术活’都说不上了,完全普遍化工具化了。”张威说:复制银行卡,情况比预想得要糟糕。

这里的关键,是“磁条卡”。

记者采访完打开自己的钱包,果然已是磁条卡之天下:9张不同银行的卡片中,8张是磁条卡,只有1张是“复合卡”(即这张卡同时有磁条和芯片)。

你的,是否也如此?

过去三四十年,因“读写方便、成本低廉”,磁条卡广为使用。但而今,磁条的加密技术,已经被破解。

“磁条卡只是一个账户,它通过卡号密码识别出用户的身份,其工作的基本原理也是依靠卡号来识别不同磁卡。”磁条银行卡因为读卡时卡号相对公开,很容易复制。一旦用户不慎将密码一并泄露,不法分子用相同的加密技术将之烧至另外一张卡中,复制卡就产生了。“持卡人的钱,立即成了任人宰割的羔羊。”张威说。

收银员偷窥密码是被惯用的方式,个别pOS机还被加装了信息窃取装置。“前阵子流行过一种小小的读卡器,大小和银行卡差不多,方便服务生随身携带。要知道,现在真有那么一小部分服务生,他们并不是看中工资,而是为了有机会盗取持卡者的用户信息。”他们拿着可以记录银行卡信息的pOS机给顾客刷卡,然后在“不经意间”看到密码,厉害的甚至可以根据客人的按键音“听”出密码。

读卡器哪里来?张威透露,很长一段时间,在网上搜索“银行卡读卡器”关键词,就可以找到卖家。曾经有实验室的人佯装购买联系卖家,所需设备统统加在一起,售价在8000元左右,“包括银行卡信息采集器、复制器、卡口、摄像头、空白卡及配套的软件、数据线和光盘”。买家付款后拿到货,按照卖家的提示,安装盗刷装备和复制银行卡在技术上一点也不难,简直是傻瓜式菜单,只要稍懂电脑操作的人都可以操作。也因此,而今的盗刷银行卡参与者,并不需要是懂技术的高学历人群。

“你要找的人叫阿炳,他的耳朵是风长的,尖得很。”“有人说他耳朵是风长的,只要有风,最小的声音都会随风钻进他耳朵。”麦家在小说《暗算》中写道。

不需要懂技术、高学历的盗卡听风者们,也已经根本不需要像阿炳这样的高水准了。

谍影重重

失落的秘符:无处不在的密码泄露风险,一组“卡号+密码”,100元一条打包价

现在,复制盗刷银行卡已经形成一条完整的上下游产业链。

但问题发生的第一步——“银行卡信息泄露”,还是和人们使用卡的习惯有关。

很多人有这样的经历,在餐厅刷卡消费时,明明已经刷过一次,但服务生告诉你刚才没有成功,要再刷一次。“这个时候,要警惕,千万不要让银行卡离开视线范围,很可能是不法分子想再次确定你的密码。”

更无声息的是做了手脚的ATM机。张威举了一个例子,去年西安警方曾经破获一起盗刷案,是不法分子在多家银行的ATM机上安装读卡器、针孔摄像机,由于立即可以获得卡号和密码,这个团伙在很短的时间内就盗刷了100多名用户共740万元的账户金额。

随着网上支付的普及,钓鱼网站是不法分子获取信息的另一渠道。一个加了木马程序的链接,一旦用卡人点击进入,会被引导到交易网站上。“这个时候,你在页面输入登录密码,后台就在记录,输入一次密码提示错误,再输入一次,后台就确认你的密码了。”钓鱼网站发展迅猛,公安部门实时监测,每天会有5000个-8000个新的钓鱼网站被监测到,这些网站的存活期也就一两天,但危害非常大。

“以上3种是最为常见的信息丢失方式。”由于磁条卡的关键技术是卡号加密码,卡号用于烧制伪造的卡,密码用于取现。所以得到一组“卡号+密码”,即被视为一条有效信息。

收集这样的信息,是处于盗刷卡最“上游”的人每天需要做的工作。每隔一段时间,他们就将这些信息打包给下一个环节的人,有的是直接按照100元一条的打包价处理,有的则是等取款后分成。

更令人讶然的,是在这之后的漫长“潜伏”。

潜伏

漫长的“潜伏”:遍地撒网的异地取款,等待截取验证码

对于盗刷银行卡的不法分子来说,通过他们的技术手段,每一条信息都能复制出一张银行卡。复制后的卡支持在银行ATM机直接查询余额、提取现金,与原银行卡无异。

万事俱备,只剩取款环节。

为降低取款的“危险”,不法分子往往将取款的地点选择与持卡人异地,采取的最常见方式是在ATM机取款。

在这个环节,有各式各样的取钱客。取钱的马仔,一次操作会取10张卡。因为ATM机上每天只能取2万元,一些小额账户会被一次提取,大额账户则会被转账到几十个不同的账户里。

很多人会有疑问,大额转账,银行需要认证持卡人的身份,会向持卡人的手机发验证码,犯罪分子是如何拿到验证码的呢?

这是一次协同作战。

有不少人接到过这样的电话——电话那头说给你送快递,但是地址不清楚,需要你告诉现在的地址。“这是劫持验证码的另一个方式。如果找到持卡人,在离持卡人1公里的范围内有技术手段拦截验证码,这样一来,资金被转移掉的同时,持卡人觉察不到任何异样。”

当然,由于这个方式的代价比较大,更为普遍的方式还是通过木马截取。

“用木马截取你的验证码,让你收不到信息,直接转发到他自己的手机上。”张威解释,这样的木马程序通常是伴随着不正规的App下载到用户的手机上(也可能是有网址的短信),之后便是漫长的“潜伏”,用户使用支付宝、网银时输入的用户名和密码,会存在临时文件cookie里,这个信息是加密的,但不法分子抓取后会进行解密。

专家介绍说:有老人点击钓鱼网站后,按照提示多次输入密码,不断出现错误提示后问家人密码是否已改,才被发现有问题。

如何让用户相信并点击登陆钓鱼网站,是一个技术活。不法分子会设立伪基站,向方圆1公里范围内的手机发送信息,一般是假冒10086、95533、95555等所谓的电信运营商或银行发出“积分兑换现金”短信,并内置一个假冒运营商、银行的钓鱼网址。“比如工商银行的官网是ICBC,钓鱼网站有一个字母不一样,但页面的设置完全一样,没提防的客户大多不会发现,尤其是老年客户,对英文字母完全不敏感,更容易上当。”

时至今日,整个盗卡链条已经非常缜密,客户稍不当心,钱就不翼而飞。“有些卡内没有多少钱,但不法分子可以查到以前的详单,如若发现会有再次转入资金的可能,就会先养着这些卡,等到有大额的钱进来后再去取。就是按照你的存款数量来对待你的卡。”

还有,上海某银行支行行长陈明(化名)介绍:在一些地方,村民批量办卡后被人收走,收卡者仅支付每张20元甚至更低的价格。所以,在网上,搜索“银行卡买卖”就会出现公然出售银行卡的卖家。“这些都是村民用真实身份办理银行卡。”买别人的银行卡干什么?那是为洗钱做准备。

当复制的银行卡内有大额现金,不能在ATM机上取出,则需要转账“输送”到不同的卡上。这时,村民的卡就有了用武之地。

一旦“东窗事发”,追溯到出售自己银行卡的村民,往往又难以追责。“所以很多时候,这是一场没有敌人的战斗。”

暗算

委屈的银行?被盗刷后,建议立刻持卡就近存或取点钱

人算不如天算,天算不如暗算。

尤其一旦被盗刷,要和银行对簿公堂,银行究竟应不应该负责、官司到底能不能打赢?这时候真容易心生痛恨,恨“盗卡分子”的狡诈“暗算”。

4月2日,贺贺接到一条刷卡短信通知,内容为:您尾号5744的卡2日8时36分境外pOS机支出(消费)1008元港币。当时,贺贺本人在上海家中,发生消费的银行卡也在钱包里静静地躺着。因此,她看到短信的第一反应就是卡被盗刷,立即拨打该银行的服务专线。但银行人员的回复是,由于交易发生在境外,银行无法停止此笔交易,唯一的办法立即帮持卡人销卡换新卡。贺贺到银行卡开卡行所在地的派出所报案,警方也表示境外盗刷不能立案,只能记录在案,并出具一张“公安局案(事)件接报回执单”用于证明报案事实。几天后,贺贺拿到了新卡,但工作人员表示,到还款日必须还款,否则信用将有污点。

这时,持卡人和银行之间,要么经协商达成调解协议,要么就是对簿公堂。期间的各种取证、索赔、打官司的程序都非常麻烦。

在贺贺看来,银行卡被盗刷(不管是异地消费,还是异地ATM机取现)主责在于银行不能识别伪卡,所以应该承担赔偿责任,这也是很多被盗卡者的观点。但银行往往会认为,持卡人需承担银行卡密码保管不善的责任。

5月4日,上海某银行支行大厅内,十多名用户在拿号等待办理业务。记者随机询问他们的银行卡情况,都是清一色的磁条卡。

而这家支行的行长陈明告诉记者,早在1年前,银行就通知用户更换办理芯片卡,但选择权在用户。

目前证明被盗卡最常见的办法,是到柜台存取款。逻辑很简单:对于持卡人而言,如果是银行卡遗失导致自己的钱被盗,那是保管责任;如果银行卡在自己身上,盗刷是因为银行识别技术不到位,需要承担责任。

专家建议的做法,是持卡人马上到附近银行柜台去存100元或者取100元现金。

而在陈明看来,最近几年盗刷事情发生后,一味让银行赔,也并不够公平,“磁条卡的技术已经非常普遍,复制这样一张卡并没有难度。法院从保护消费者利益的角度出发,只要持卡人可以证明银行卡在自己身上即可索赔。但问题是,在社会信用不健全的情况下,并不能排斥持卡人将密码泄露复制银行卡异地取款的情况”。

解决之道,目前的建议还是集中在更多使用和大量推广芯片卡上。

那么,芯片卡能否让公众的担心不再?又究竟为何难以推广?

记者继续叩问。

捕风者说

刀尖上的战斗:难道只能为了安全放弃方便?

“迄今为止,全球未发生过芯片卡被复制导致欺诈的案例。”

因此,对于盗刷,银行和专家给出的意见都是:尽早换成芯片卡。毕竟,个性大大咧咧如记者自己,那天也是检查才发现,手中有好几张沉睡的卡,而在盗刷新闻频出的今天,银行卡里的钱不定期查询、信用卡到期还款时不仔细对照消费明细,都可能致使银行卡已被盗刷而不自知。毕竟,专家表示,有时候,持卡人觉得自己是点对点将一张银行卡发送给了微信上的某位朋友,但在这个过程中,很可能也有不法分子盯上这张卡,进入到复制卡的产业链中。毕竟,一旦银行卡信息泄露,是被动泄露还是主动泄露,这都涉及复杂的取证。

而且,纯就技术而言,“芯片卡完全可以更换”。

但现实问题是,绝大多数的人,认为这是一件“自找麻烦”的事情,不仅需要去营业厅排队等候,交换卡费,还将面临很多不能刷卡消费的状况。由于各地芯片卡受理环境尚未搭建完成,ATM、pOS机等受理终端尚未全部改造,芯片卡在很多国内商户处无法使用。芯片卡目前的商户覆盖面,远没有已经普及了三四十年的磁条卡广泛。

而由于商家普及不高所以公众不换卡,但公众都用磁条卡,商家也不会有改造终端的积极性。这是一个循环圈。

所以目前专家的建议是:大家对自己的卡分类,只将其中一张用于网上支付、商家支付,或者大部分换成芯片卡,保留一张磁条卡且金额不要放太多。

那么,能不能创新推广机制,增强商家动力,呼吁社会共识,来共同营造更加安全的消费环境?

进而,如何在国家正日益重视、不断加强的互联网技术监管能力建设上,不断地在博弈中进步,不断地实现“道高一丈”?

这是本文的尾声,也希望是公众不再如此不安的开始。

许昌金融