驚蟄是早就過了，春雷倒也響了幾聲，而採訪完一直平靜敘述的專家張威時，記者心有驚雷立即做的第一件事，是自查了自己所有的銀行卡，並把所有銀行卡的服務電話，挨個兒統統打了一遍。

　　張威是太多次地説了——上百次不同場合一遍遍講解、提醒、警告，尤其上了年紀的老阿姨老伯伯們，正是盜卡團隊瞄準的龐大空間，卻偏偏難以繃緊這一根弦。

　　然而就連身為80後的記者自己，幾天前也差點掉進大坑——通過某旅行社辦理出境證件，被告知如果提供一張白金信用卡的正反面複印件，就可免去開具收入證明、在職證明等手續。很多人都會選擇，因為便捷。但專家嘆息搖頭：一張正反面拍了照傳出去的信用卡，意味著資訊全面洩露，很可能就是把卡把錢拱手送人！

　　近日新聞接二連三，多地驚爆“不翼而飛”，卡內錢款莫名被盜。記者找到張威，張威語氣平靜：“網際網路上沒有‘刪除鍵’”、“資訊會不斷往下賣，會有一個週期，一般是在3個月到半年之後去盜刷卡，這個時候你去想自己究竟在哪洩露了資訊，基本是想不出來的”……

　　最常見的，餐廳埋單刷卡、輸密碼毫不遮掩，甚至不設密碼直接請服務生把卡拿去服務台代刷，再等其拿回機器所“吐”消費單簽字，交易完成。環環相扣，迅速搞定。但假如現場正好有一位“聽風者”，就懸了。

　　于無聲處聽驚雷。聽這位資訊安全專家、上海市資訊安全行業協會副主任娓娓道來，道高一尺魔高一丈的較量有時宛如一部諜戰劇。

　　聽風者

　　厲害的甚至可以根據客人的按鍵音“聽”出密碼

　　上述餐廳埋單那一組動作，在張威眼裏，潛在的風險非常明顯。

　　磁條卡一旦離開持卡人的視線，只要在小小的、特製的讀卡機上劃過，銀行卡資訊即可被完整記錄。而一旦卡號和密碼的資訊洩露給不法分子，立即就可複製出一張銀行卡，刷卡取現分分鐘完成。

　　“你以為這是高科技？現在甚至連‘這是個技術活’都説不上了，完全普遍化工具化了。”張威説：複製銀行卡，情況比預想得要糟糕。

　　這裡的關鍵，是“磁條卡”。

　　記者採訪完打開自己的錢包，果然已是磁條卡之天下：9張不同銀行的卡片中，8張是磁條卡，只有1張是“複合卡”(即這張卡同時有磁條和晶片)。

　　你的，是否也如此？

　　過去三四十年，因“讀寫方便、成本低廉”，磁條卡廣為使用。但而今，磁條的加密技術，已經被破解。

　　“磁條卡只是一個賬戶，它通過卡號密碼識別出用戶的身份，其工作的基本原理也是依靠卡號來識別不同磁卡。”磁條銀行卡因為讀卡時卡號相對公開，很容易複製。一旦用戶不慎將密碼一併洩露，不法分子用相同的加密技術將之燒至另外一張卡中，複製卡就産生了。“持卡人的錢，立即成了任人宰割的羔羊。”張威説。

　　收銀員偷窺密碼是被慣用的方式，個別POS機還被加裝了資訊竊取裝置。“前陣子流行過一種小小的讀卡器，大小和銀行卡差不多，方便服務生隨身攜帶。要知道，現在真有那麼一小部分服務生，他們並不是看中工資，而是為了有機會盜取持卡者的用戶資訊。”他們拿著可以記錄銀行卡資訊的POS機給顧客刷卡，然後在“不經意間”看到密碼，厲害的甚至可以根據客人的按鍵音“聽”出密碼。

　　讀卡器哪來？張威透露，很長一段時間，在網上搜索“銀行卡讀卡器”關鍵詞，就可以找到賣家。曾經有實驗室的人佯裝購買聯繫賣家，所需設備統統加在一起，售價在8000元左右，“包括銀行卡資訊採集器、複製器、卡口、攝像頭、空白卡及配套的軟體、數據線和光碟”。買家付款後拿到貨，按照賣家的提示，安裝盜刷裝備和複製銀行卡在技術上一點也不難，簡直是傻瓜式功能表，只要稍懂電腦操作的人都可以操作。也因此，而今的盜刷銀行卡參與者，並不需要是懂技術的高學歷人群。

　　“你要找的人叫阿炳，他的耳朵是風長的，尖得很。”“有人説他耳朵是風長的，只要有風，最小的聲音都會隨風鑽進他耳朵。”麥家在小説《暗算》中寫道。

　　不需要懂技術、高學歷的盜卡聽風者們，也已經根本不需要像阿炳這樣的高水準了。

　　諜影重重

　　失落的秘符：無處不在的密碼洩露風險，一組“卡號+密碼”，100元一條打包價

　　現在，複製盜刷銀行卡已經形成一條完整的上下游産業鏈。

　　但問題發生的第一步——“銀行卡資訊洩露”，還是和人們使用卡的習慣有關。

　　很多人有這樣的經歷，在餐廳刷卡消費時，明明已經刷過一次，但服務生告訴你剛才沒有成功，要再刷一次。“這個時候，要警惕，千萬不要讓銀行卡離開視線範圍，很可能是不法分子想再次確定你的密碼。”

　　更無聲息的是做了手腳的ATM機。張威舉了一個例子，去年西安警方曾經破獲一起盜刷案，是不法分子在多家銀行的ATM機上安裝讀卡器、針孔錄影機，由於立即可以獲得卡號和密碼，這個團夥在很短的時間內就盜刷了100多名用戶共740萬元的賬戶金額。

　　隨著網上支付的普及，釣魚網站是不法分子獲取資訊的另一渠道。一個加了木馬程式的連結，一旦用卡人點擊進入，會被引導到交易網站上。“這個時候，你在頁面輸入登錄密碼，後臺就在記錄，輸入一次密碼提示錯誤，再輸入一次，後臺就確認你的密碼了。”釣魚網站發展迅猛，公安部門實時監測，每天會有5000個-8000個新的釣魚網站被監測到，這些網站的存活期也就一兩天，但危害非常大。

　　“以上3種是最為常見的資訊丟失方式。”由於磁條卡的關鍵技術是卡號加密碼，卡號用於燒制偽造的卡，密碼用於取現。所以得到一組“卡號+密碼”，即被視為一條有效資訊。

　　收集這樣的資訊，是處於盜刷卡最“上游”的人每天需要做的工作。每隔一段時間，他們就將這些資訊打包給下一個環節的人，有的是直接按照100元一條的打包價處理，有的則是等取款後分成。

　　更令人訝然的，是在這之後的漫長“潛伏”。

　　潛伏

　　漫長的“潛伏”：遍地撒網的異地取款，等待截取驗證碼

　　對於盜刷銀行卡的不法分子來説，通過他們的技術手段，每一條資訊都能複製出一張銀行卡。複製後的卡支援在銀行ATM機直接查詢餘額、提取現金，與原銀行卡無異。

　　萬事俱備，只剩取款環節。

　　為降低取款的“危險”，不法分子往往將取款的地點選擇與持卡人異地，採取的最常見方式是在ATM機取款。

　　在這個環節，有各式各樣的取錢客。取錢的馬仔，一次操作會取10張卡。因為ATM機上每天只能取2萬元，一些小額賬戶會被一次提取，大額賬戶則會被轉賬到幾十個不同的賬戶裏。

　　很多人會有疑問，大額轉賬，銀行需要認證持卡人的身份，會向持卡人的手機發驗證碼，犯罪分子是如何拿到驗證碼的呢？

　　這是一次協同作戰。

　　有不少人接到過這樣的電話——電話那頭説給你送快遞，但是地址不清楚，需要你告訴現在的地址。“這是劫持驗證碼的另一個方式。如果找到持卡人，在離持卡人1公里的範圍內有技術手段攔截驗證碼，這樣一來，資金被轉移掉的同時，持卡人覺察不到任何異樣。”

　　當然，由於這個方式的代價比較大，更為普遍的方式還是通過木馬截取。

　　“用木馬截取你的驗證碼，讓你收不到資訊，直接轉發到他自己的手機上。”張威解釋，這樣的木馬程式通常是伴隨著不正規的APP下載到用戶的手機上(也可能是有網址的短信)，之後便是漫長的“潛伏”，用戶使用支付寶、網銀時輸入的用戶名和密碼，會存在臨時文件cookie裏，這個資訊是加密的，但不法分子抓取後會進行解密。

　　專家介紹説：有老人點擊釣魚網站後，按照提示多次輸入密碼，不斷出現錯誤提示後問家人密碼是否已改，才被發現有問題。

　　如何讓用戶相信並點擊登陸釣魚網站，是一個技術活。不法分子會設立偽基站，向方圓1公里範圍內的手機發送資訊，一般是假冒10086、95533、95555等所謂的電信運營商或銀行發出“積分兌換現金”短信，並內置一個假冒運營商、銀行的釣魚網址。“比如工商銀行的官網是ICBC，釣魚網站有一個字母不一樣，但頁面的設置完全一樣，沒提防的客戶大多不會發現，尤其是老年客戶，對英文字母完全不敏感，更容易上當。”

　　時至今日，整個盜卡鏈條已經非常縝密，客戶稍不當心，錢就不翼而飛。“有些卡內沒有多少錢，但不法分子可以查到以前的詳單，如若發現會有再次轉入資金的可能，就會先養著這些卡，等到有大額的錢進來後再去取。就是按照你的存款數量來對待你的卡。”

　　還有，上海某銀行支行行長陳明(化名)介紹：在一些地方，村民批量辦卡後被人收走，收卡者僅支付每張20元甚至更低的價格。所以，在網上，搜索“銀行卡買賣”就會出現公然出售銀行卡的賣家。“這些都是村民用真實身份辦理銀行卡。”買別人的銀行卡幹什麼？那是為洗錢做準備。

　　當複製的銀行卡內有大額現金，不能在ATM機上取出，則需要轉賬“輸送”到不同的卡上。這時，村民的卡就有了用武之地。

　　一旦“東窗事發”，追溯到出售自己銀行卡的村民，往往又難以追責。“所以很多時候，這是一場沒有敵人的戰鬥。”

　　暗算

　　委屈的銀行？被盜刷後，建議立刻持卡就近存或取點錢

　　人算不如天算，天算不如暗算。

　　尤其一旦被盜刷，要和銀行對簿公堂，銀行究竟應不應該負責、官司到底能不能打贏？這時候真容易心生痛恨，恨“盜卡分子”的狡詐“暗算”。

　　4月2日，賀賀接到一條刷卡短信通知，內容為：您尾號5744的卡2日8時36分境外POS機支出(消費)1008元港幣。當時，賀賀本人在上海家中，發生消費的銀行卡也在錢包裏靜靜地躺著。因此，她看到短信的第一反應就是卡被盜刷，立即撥打該銀行的服務專線。但銀行人員的回復是，由於交易發生在境外，銀行無法停止此筆交易，唯一的辦法立即幫持卡人銷卡換新卡。賀賀到銀行卡開卡行所在地的派出所報案，警方也表示境外盜刷不能立案，只能記錄在案，並出具一張“公安局案(事)件接報回執單”用於證明報案事實。幾天后，賀賀拿到了新卡，但工作人員表示，到還款日必須還款，否則信用將有污點。

　　這時，持卡人和銀行之間，要麼經協商達成調解協議，要麼就是對簿公堂。期間的各種取證、索賠、打官司的程式都非常麻煩。

　　在賀賀看來，銀行卡被盜刷(不管是異地消費，還是異地ATM機取現)主責在於銀行不能識別偽卡，所以應該承擔賠償責任，這也是很多被盜卡者的觀點。但銀行往往會認為，持卡人需承擔銀行卡密碼保管不善的責任。

　　5月4日，上海某銀行支行大廳內，十多名用戶在拿號等待辦理業務。記者隨機詢問他們的銀行卡情況，都是清一色的磁條卡。

　　而這家支行的行長陳明告訴記者，早在1年前，銀行就通知用戶更換辦理晶片卡，但選擇權在用戶。

　　目前證明被盜卡最常見的辦法，是到櫃檯存取款。邏輯很簡單：對於持卡人而言，如果是銀行卡遺失導致自己的錢被盜，那是保管責任；如果銀行卡在自己身上，盜刷是因為銀行識別技術不到位，需要承擔責任。

　　專家建議的做法，是持卡人馬上到附近銀行櫃檯去存100元或者取100元現金。

　　而在陳明看來，最近幾年盜刷事情發生後，一味讓銀行賠，也並不夠公平，“磁條卡的技術已經非常普遍，複製這樣一張卡並沒有難度。法院從保護消費者利益的角度出發，只要持卡人可以證明銀行卡在自己身上即可索賠。但問題是，在社會信用不健全的情況下，並不能排斥持卡人將密碼洩露複製銀行卡異地取款的情況”。

　　解決之道，目前的建議還是集中在更多使用和大量推廣晶片卡上。

　　那麼，晶片卡能否讓公眾的擔心不再？又究竟為何難以推廣？

　　記者繼續叩問。

　　捕風者説

　　刀尖上的戰鬥：難道只能為了安全放棄方便？

　　“迄今為止，全球未發生過晶片卡被複製導致欺詐的案例。”

　　因此，對於盜刷，銀行和專家給出的意見都是：儘早換成晶片卡。畢竟，個性大大咧咧如記者自己，那天也是檢查才發現，手中有好幾張沉睡的卡，而在盜刷新聞頻出的今天，銀行卡裏的錢不定期查詢、信用卡到期還款時不仔細對照消費明細，都可能致使銀行卡已被盜刷而不自知。畢竟，專家表示，有時候，持卡人覺得自己是點對點將一張銀行卡發送給了微信上的某位朋友，但在這個過程中，很可能也有不法分子盯上這張卡，進入到複製卡的産業鏈中。畢竟，一旦銀行卡資訊洩露，是被動洩露還是主動洩露，這都涉及複雜的取證。

　　而且，純就技術而言，“晶片卡完全可以更換”。

　　但現實問題是，絕大多數的人，認為這是一件“自找麻煩”的事情，不僅需要去營業廳排隊等候，交換卡費，還將面臨很多不能刷卡消費的狀況。由於各地晶片卡受理環境尚未搭建完成，ATM、POS機等受理終端尚未全部改造，晶片卡在很多國內商戶處無法使用。晶片卡目前的商戶覆蓋面，遠沒有已經普及了三四十年的磁條卡廣泛。

　　而由於商家普及不高所以公眾不換卡，但公眾都用磁條卡，商家也不會有改造終端的積極性。這是一個迴圈圈。

　　所以目前專家的建議是：大家對自己的卡分類，只將其中一張用於網上支付、商家支付，或者大部分換成晶片卡，保留一張磁條卡且金額不要放太多。

　　那麼，能不能創新推廣機制，增強商家動力，呼籲社會共識，來共同營造更加安全的消費環境？

　　進而，如何在國家正日益重視、不斷加強的網際網路技術監管能力建設上，不斷地在博弈中進步，不斷地實現“道高一丈”？

　　這是本文的尾聲，也希望是公眾不再如此不安的開始。