卡裏的錢如何莫名被盜 “聽風者”據按鍵音聽密碼
- 發佈時間:2016-05-10 07:45:09 來源:解放日報 責任編輯:張明江
驚蟄是早就過了,春雷倒也響了幾聲,而採訪完一直平靜敘述的專家張威時,記者心有驚雷立即做的第一件事,是自查了自己所有的銀行卡,並把所有銀行卡的服務電話,挨個兒統統打了一遍。
張威是太多次地説了——上百次不同場合一遍遍講解、提醒、警告,尤其上了年紀的老阿姨老伯伯們,正是盜卡團隊瞄準的龐大空間,卻偏偏難以繃緊這一根弦。
然而就連身為80後的記者自己,幾天前也差點掉進大坑——通過某旅行社辦理出境證件,被告知如果提供一張白金信用卡的正反面複印件,就可免去開具收入證明、在職證明等手續。很多人都會選擇,因為便捷。但專家嘆息搖頭:一張正反面拍了照傳出去的信用卡,意味著資訊全面洩露,很可能就是把卡把錢拱手送人!
近日新聞接二連三,多地驚爆“不翼而飛”,卡內錢款莫名被盜。記者找到張威,張威語氣平靜:“網際網路上沒有‘刪除鍵’”、“資訊會不斷往下賣,會有一個週期,一般是在3個月到半年之後去盜刷卡,這個時候你去想自己究竟在哪洩露了資訊,基本是想不出來的”……
最常見的,餐廳埋單刷卡、輸密碼毫不遮掩,甚至不設密碼直接請服務生把卡拿去服務台代刷,再等其拿回機器所“吐”消費單簽字,交易完成。環環相扣,迅速搞定。但假如現場正好有一位“聽風者”,就懸了。
于無聲處聽驚雷。聽這位資訊安全專家、上海市資訊安全行業協會副主任娓娓道來,道高一尺魔高一丈的較量有時宛如一部諜戰劇。
聽風者
厲害的甚至可以根據客人的按鍵音“聽”出密碼
上述餐廳埋單那一組動作,在張威眼裏,潛在的風險非常明顯。
磁條卡一旦離開持卡人的視線,只要在小小的、特製的讀卡機上劃過,銀行卡資訊即可被完整記錄。而一旦卡號和密碼的資訊洩露給不法分子,立即就可複製出一張銀行卡,刷卡取現分分鐘完成。
“你以為這是高科技?現在甚至連‘這是個技術活’都説不上了,完全普遍化工具化了。”張威説:複製銀行卡,情況比預想得要糟糕。
這裡的關鍵,是“磁條卡”。
記者採訪完打開自己的錢包,果然已是磁條卡之天下:9張不同銀行的卡片中,8張是磁條卡,只有1張是“複合卡”(即這張卡同時有磁條和晶片)。
你的,是否也如此?
過去三四十年,因“讀寫方便、成本低廉”,磁條卡廣為使用。但而今,磁條的加密技術,已經被破解。
“磁條卡只是一個賬戶,它通過卡號密碼識別出用戶的身份,其工作的基本原理也是依靠卡號來識別不同磁卡。”磁條銀行卡因為讀卡時卡號相對公開,很容易複製。一旦用戶不慎將密碼一併洩露,不法分子用相同的加密技術將之燒至另外一張卡中,複製卡就産生了。“持卡人的錢,立即成了任人宰割的羔羊。”張威説。
收銀員偷窺密碼是被慣用的方式,個別POS機還被加裝了資訊竊取裝置。“前陣子流行過一種小小的讀卡器,大小和銀行卡差不多,方便服務生隨身攜帶。要知道,現在真有那麼一小部分服務生,他們並不是看中工資,而是為了有機會盜取持卡者的用戶資訊。”他們拿著可以記錄銀行卡資訊的POS機給顧客刷卡,然後在“不經意間”看到密碼,厲害的甚至可以根據客人的按鍵音“聽”出密碼。
讀卡器哪來?張威透露,很長一段時間,在網上搜索“銀行卡讀卡器”關鍵詞,就可以找到賣家。曾經有實驗室的人佯裝購買聯繫賣家,所需設備統統加在一起,售價在8000元左右,“包括銀行卡資訊採集器、複製器、卡口、攝像頭、空白卡及配套的軟體、數據線和光碟”。買家付款後拿到貨,按照賣家的提示,安裝盜刷裝備和複製銀行卡在技術上一點也不難,簡直是傻瓜式功能表,只要稍懂電腦操作的人都可以操作。也因此,而今的盜刷銀行卡參與者,並不需要是懂技術的高學歷人群。
“你要找的人叫阿炳,他的耳朵是風長的,尖得很。”“有人説他耳朵是風長的,只要有風,最小的聲音都會隨風鑽進他耳朵。”麥家在小説《暗算》中寫道。
不需要懂技術、高學歷的盜卡聽風者們,也已經根本不需要像阿炳這樣的高水準了。
諜影重重
失落的秘符:無處不在的密碼洩露風險,一組“卡號+密碼”,100元一條打包價
現在,複製盜刷銀行卡已經形成一條完整的上下游産業鏈。
但問題發生的第一步——“銀行卡資訊洩露”,還是和人們使用卡的習慣有關。
很多人有這樣的經歷,在餐廳刷卡消費時,明明已經刷過一次,但服務生告訴你剛才沒有成功,要再刷一次。“這個時候,要警惕,千萬不要讓銀行卡離開視線範圍,很可能是不法分子想再次確定你的密碼。”
更無聲息的是做了手腳的ATM機。張威舉了一個例子,去年西安警方曾經破獲一起盜刷案,是不法分子在多家銀行的ATM機上安裝讀卡器、針孔錄影機,由於立即可以獲得卡號和密碼,這個團夥在很短的時間內就盜刷了100多名用戶共740萬元的賬戶金額。
隨著網上支付的普及,釣魚網站是不法分子獲取資訊的另一渠道。一個加了木馬程式的連結,一旦用卡人點擊進入,會被引導到交易網站上。“這個時候,你在頁面輸入登錄密碼,後臺就在記錄,輸入一次密碼提示錯誤,再輸入一次,後臺就確認你的密碼了。”釣魚網站發展迅猛,公安部門實時監測,每天會有5000個-8000個新的釣魚網站被監測到,這些網站的存活期也就一兩天,但危害非常大。
“以上3種是最為常見的資訊丟失方式。”由於磁條卡的關鍵技術是卡號加密碼,卡號用於燒制偽造的卡,密碼用於取現。所以得到一組“卡號+密碼”,即被視為一條有效資訊。
收集這樣的資訊,是處於盜刷卡最“上游”的人每天需要做的工作。每隔一段時間,他們就將這些資訊打包給下一個環節的人,有的是直接按照100元一條的打包價處理,有的則是等取款後分成。
更令人訝然的,是在這之後的漫長“潛伏”。
潛伏
漫長的“潛伏”:遍地撒網的異地取款,等待截取驗證碼
對於盜刷銀行卡的不法分子來説,通過他們的技術手段,每一條資訊都能複製出一張銀行卡。複製後的卡支援在銀行ATM機直接查詢餘額、提取現金,與原銀行卡無異。
萬事俱備,只剩取款環節。
為降低取款的“危險”,不法分子往往將取款的地點選擇與持卡人異地,採取的最常見方式是在ATM機取款。
在這個環節,有各式各樣的取錢客。取錢的馬仔,一次操作會取10張卡。因為ATM機上每天只能取2萬元,一些小額賬戶會被一次提取,大額賬戶則會被轉賬到幾十個不同的賬戶裏。
很多人會有疑問,大額轉賬,銀行需要認證持卡人的身份,會向持卡人的手機發驗證碼,犯罪分子是如何拿到驗證碼的呢?
這是一次協同作戰。
有不少人接到過這樣的電話——電話那頭説給你送快遞,但是地址不清楚,需要你告訴現在的地址。“這是劫持驗證碼的另一個方式。如果找到持卡人,在離持卡人1公里的範圍內有技術手段攔截驗證碼,這樣一來,資金被轉移掉的同時,持卡人覺察不到任何異樣。”
當然,由於這個方式的代價比較大,更為普遍的方式還是通過木馬截取。
“用木馬截取你的驗證碼,讓你收不到資訊,直接轉發到他自己的手機上。”張威解釋,這樣的木馬程式通常是伴隨著不正規的APP下載到用戶的手機上(也可能是有網址的短信),之後便是漫長的“潛伏”,用戶使用支付寶、網銀時輸入的用戶名和密碼,會存在臨時文件cookie裏,這個資訊是加密的,但不法分子抓取後會進行解密。
專家介紹説:有老人點擊釣魚網站後,按照提示多次輸入密碼,不斷出現錯誤提示後問家人密碼是否已改,才被發現有問題。
如何讓用戶相信並點擊登陸釣魚網站,是一個技術活。不法分子會設立偽基站,向方圓1公里範圍內的手機發送資訊,一般是假冒10086、95533、95555等所謂的電信運營商或銀行發出“積分兌換現金”短信,並內置一個假冒運營商、銀行的釣魚網址。“比如工商銀行的官網是ICBC,釣魚網站有一個字母不一樣,但頁面的設置完全一樣,沒提防的客戶大多不會發現,尤其是老年客戶,對英文字母完全不敏感,更容易上當。”
時至今日,整個盜卡鏈條已經非常縝密,客戶稍不當心,錢就不翼而飛。“有些卡內沒有多少錢,但不法分子可以查到以前的詳單,如若發現會有再次轉入資金的可能,就會先養著這些卡,等到有大額的錢進來後再去取。就是按照你的存款數量來對待你的卡。”
還有,上海某銀行支行行長陳明(化名)介紹:在一些地方,村民批量辦卡後被人收走,收卡者僅支付每張20元甚至更低的價格。所以,在網上,搜索“銀行卡買賣”就會出現公然出售銀行卡的賣家。“這些都是村民用真實身份辦理銀行卡。”買別人的銀行卡幹什麼?那是為洗錢做準備。
當複製的銀行卡內有大額現金,不能在ATM機上取出,則需要轉賬“輸送”到不同的卡上。這時,村民的卡就有了用武之地。
一旦“東窗事發”,追溯到出售自己銀行卡的村民,往往又難以追責。“所以很多時候,這是一場沒有敵人的戰鬥。”
暗算
委屈的銀行?被盜刷後,建議立刻持卡就近存或取點錢
人算不如天算,天算不如暗算。
尤其一旦被盜刷,要和銀行對簿公堂,銀行究竟應不應該負責、官司到底能不能打贏?這時候真容易心生痛恨,恨“盜卡分子”的狡詐“暗算”。
4月2日,賀賀接到一條刷卡短信通知,內容為:您尾號5744的卡2日8時36分境外POS機支出(消費)1008元港幣。當時,賀賀本人在上海家中,發生消費的銀行卡也在錢包裏靜靜地躺著。因此,她看到短信的第一反應就是卡被盜刷,立即撥打該銀行的服務專線。但銀行人員的回復是,由於交易發生在境外,銀行無法停止此筆交易,唯一的辦法立即幫持卡人銷卡換新卡。賀賀到銀行卡開卡行所在地的派出所報案,警方也表示境外盜刷不能立案,只能記錄在案,並出具一張“公安局案(事)件接報回執單”用於證明報案事實。幾天后,賀賀拿到了新卡,但工作人員表示,到還款日必須還款,否則信用將有污點。
這時,持卡人和銀行之間,要麼經協商達成調解協議,要麼就是對簿公堂。期間的各種取證、索賠、打官司的程式都非常麻煩。
在賀賀看來,銀行卡被盜刷(不管是異地消費,還是異地ATM機取現)主責在於銀行不能識別偽卡,所以應該承擔賠償責任,這也是很多被盜卡者的觀點。但銀行往往會認為,持卡人需承擔銀行卡密碼保管不善的責任。
5月4日,上海某銀行支行大廳內,十多名用戶在拿號等待辦理業務。記者隨機詢問他們的銀行卡情況,都是清一色的磁條卡。
而這家支行的行長陳明告訴記者,早在1年前,銀行就通知用戶更換辦理晶片卡,但選擇權在用戶。
目前證明被盜卡最常見的辦法,是到櫃檯存取款。邏輯很簡單:對於持卡人而言,如果是銀行卡遺失導致自己的錢被盜,那是保管責任;如果銀行卡在自己身上,盜刷是因為銀行識別技術不到位,需要承擔責任。
專家建議的做法,是持卡人馬上到附近銀行櫃檯去存100元或者取100元現金。
而在陳明看來,最近幾年盜刷事情發生後,一味讓銀行賠,也並不夠公平,“磁條卡的技術已經非常普遍,複製這樣一張卡並沒有難度。法院從保護消費者利益的角度出發,只要持卡人可以證明銀行卡在自己身上即可索賠。但問題是,在社會信用不健全的情況下,並不能排斥持卡人將密碼洩露複製銀行卡異地取款的情況”。
解決之道,目前的建議還是集中在更多使用和大量推廣晶片卡上。
那麼,晶片卡能否讓公眾的擔心不再?又究竟為何難以推廣?
記者繼續叩問。
捕風者説
刀尖上的戰鬥:難道只能為了安全放棄方便?
“迄今為止,全球未發生過晶片卡被複製導致欺詐的案例。”
因此,對於盜刷,銀行和專家給出的意見都是:儘早換成晶片卡。畢竟,個性大大咧咧如記者自己,那天也是檢查才發現,手中有好幾張沉睡的卡,而在盜刷新聞頻出的今天,銀行卡裏的錢不定期查詢、信用卡到期還款時不仔細對照消費明細,都可能致使銀行卡已被盜刷而不自知。畢竟,專家表示,有時候,持卡人覺得自己是點對點將一張銀行卡發送給了微信上的某位朋友,但在這個過程中,很可能也有不法分子盯上這張卡,進入到複製卡的産業鏈中。畢竟,一旦銀行卡資訊洩露,是被動洩露還是主動洩露,這都涉及複雜的取證。
而且,純就技術而言,“晶片卡完全可以更換”。
但現實問題是,絕大多數的人,認為這是一件“自找麻煩”的事情,不僅需要去營業廳排隊等候,交換卡費,還將面臨很多不能刷卡消費的狀況。由於各地晶片卡受理環境尚未搭建完成,ATM、POS機等受理終端尚未全部改造,晶片卡在很多國內商戶處無法使用。晶片卡目前的商戶覆蓋面,遠沒有已經普及了三四十年的磁條卡廣泛。
而由於商家普及不高所以公眾不換卡,但公眾都用磁條卡,商家也不會有改造終端的積極性。這是一個迴圈圈。
所以目前專家的建議是:大家對自己的卡分類,只將其中一張用於網上支付、商家支付,或者大部分換成晶片卡,保留一張磁條卡且金額不要放太多。
那麼,能不能創新推廣機制,增強商家動力,呼籲社會共識,來共同營造更加安全的消費環境?
進而,如何在國家正日益重視、不斷加強的網際網路技術監管能力建設上,不斷地在博弈中進步,不斷地實現“道高一丈”?
這是本文的尾聲,也希望是公眾不再如此不安的開始。