23
按:本文来自“歪理邪说”,作者霍炬,雷锋网已获授权。
3月20号那天,我有个朋友从三亚坐飞机回北京。落地北京之后在从机场回家的路上收到两条POS机刷卡短信,刷卡地是江西上饶,总共47万元。但此时他的卡就在自己手里。这是一张储蓄卡而不是信用卡,平时这张卡的使用率并不高,密码也没泄漏过。他收到短信之后立刻给银行打电话,当时是周日晚上,被银行告知要周一上班才能处理。到了周一,他才去银行打出各种证明,之后去报了案。
当人们说起“我有一个朋友”如何如何的时候,按照互联网文化潜规则,通常就是说他自己。但这次真不是这样。
这个朋友名字叫马月。如果你还记得那个因为美女多而出名的“美空网”,那么你就知道了他。马月是美空网的创始人,我们认识了很多年,从他刚刚做美空网的时候就认识了。我经常会下决心想在这个公众号上写一些比较传奇的朋友故事,每次都把他的故事列在写作计划里面。但因为拖延症始终没有真正动手,想不到他是以一桩被盗刷案件的受害者的身份出现在了我的文章中…
我决定把这个事情写下来,因为它的情节实在太诡异了。比如当马月收到盗刷短信的时候,立刻打电话给银行,但银行告诉他“我们已经下班了,你周一再打来…” 这种情况在你没经历过的时候是难以置信的,这种难以置信的状况,恰恰是盗窃方能够得手的原因。盗窃者对整个社会和系统的了解应该远远超过我们普通人,我们怎么办?没办法,只能尽量多知道一些诡异的事情。
如前所述,这件事的经过并不复杂。但这件看起来不复杂的事情里面,几乎每个环节都值得讨论。
首先是卡在他手里,那么应该是卡被复制了。但是在什么时候卡被复制的呢?马月说最近用这张卡是在三亚的某个酒店刷了押金。酒店名字我就不写了,是一家非常豪华,口碑也非常好的酒店。确实有一些新闻报道过有犯罪团伙冒充酒店工作人员去获取客人银行卡信息,用来盗刷。但如果在豪华酒店前台正常刷卡都会导致连卡带密码都被复制走了,那对于普通人可以说是没法防范的。唯一能选择的就是再也不刷卡了。当然,我们没有证据可以说一定就是这一次刷卡出的问题,也许是上一次,或者上上一次。做为普通用户,我们基本是没办法去求证和调查到底什么环节出了问题。一个普通用户,正常消费,正常刷卡,这是合理的用法,怎么也不能算是他的错。
其次,就算是卡和密码都被非法复制了。但持卡人拿着卡,给银行打电话要求冻结款项,竟然会被告知下班了,没法处理。要知道,通过POS机刷卡并不是实时结算的,刷卡发生的时候,钱并没转到盗窃方的帐号,更不可能立刻提款出去。如果当即可以冻结这笔交易,本来是可以避免损失的。很遗憾,银行下班,但盗窃者不下班。等到周一,他终于完成了立案,在警察的帮助下查到了对方的银行,那时候钱不仅早已到帐,而且已经被提现取走了。
如果这件事没发生在自己身上,恐怕很难相信这么大额的钱被盗,银行可以以下班为理由什么都不做。我不知道这算行业潜规则还是什么规则,但很显然,比起我们这些正常的银行用户,盗窃者更熟悉这些规则,并且很好的利用了它。如果你曾经试过从银行提取过大额款项,应该会知道提走几十万现金并不是那么容易,至少是需要提取预约。考虑到反洗钱法的衍生出来的各种制度和规则,就算预约了,很多银行也未必会让你一次提走47万现金。但在这个案例里面,在极短的时间内,对方轻而易举提走了大额现金。不知道他们是如何做到的,我估计这里面应该还是会有一些普通人不知道的规则存在吧。
再次,POS机能刷走这么大笔钱,难道没有限额吗?很遗憾,默认是没有的。我跟好几个人讲这件事的的时候,大家和我的反映是一样的,都会问“难道没有限额吗?”,之后大家分别打电话和自己的银行查询,大多数人得到的结果是,默认没有限额,帐号上有多少钱,就可以刷多大笔。有一些银行确实有默认限额,但也是几十万或者上百万这样比较大的限额。当然,银行应该是给某些POS机设置了限额,也就是说,你可能遇到过在某些POS机上刷不了太多的钱,但这个限额并不是你自己银行帐号的限制。换一个高权限的POS机,就能刷掉了。这跟我们平时的印象是截然不同的。这仍然是对规则的理解和使用,就算是我们这些熟悉互联网的科技行业从业者,仍然有太多我们不了解的规则存在。比如很多银行对于POS机刷卡没有默认限额,这也是经过这件事我才学习到的知识。
整个事情中有一点点值得庆幸的是,做为科技行业从业者,马月熟知某最大中文搜索引擎的糟糕。他没通过搜索引擎去搜银行客服电话,而是按照卡背面的客服电话打给的银行。否则很大可能性他会搜出来一个骗子电话,继续掉进另外一个电话诈骗陷阱里面,最后其他卡上的钱也保不住…这个世界实在是太危险了。
我想了好几天这件事,我们到底能做什么?按道理说,这些责任本来不应该我们承担,但是从这个案例可以看出来了,太多我们不知道的奇怪规则存在,如果不做一些准备,很难保证自己不会碰到这种事。一旦钱丢了,想找回来就难了。所以那怕平时麻烦一些,还是应该尽量去做点什么规避一些风险。
我写过不少和安全有关的文章。当然,我并不是安全专家,按照我朋友中真正的安全专家的看法干脆是”无论怎么样你也不可能有什么安全的”。我也同意这个看法,但是对于普通人,我们更多时候追求的并不是绝对的安全,而是让这种倒霉的事情不容易落在自己头上。在社会这个丛林中,有一个著名的笑话真实又残酷:“跟比你胖跑得比你慢的朋友一起去打猎是安全的,当熊冲过来的时候你不用跑的比熊快,只要跑的比你的朋友快就可以了”。
我最后还是总结出了几个办法。也算不上是安全建议,就算是提个醒吧。
网银、打电话或者亲自去银行,查清你帐号捆绑的所有付款权限。不需要的,如果能关闭就关闭,不能关闭也至少设置限额。
一两张卡作为防火墙卡:平时ATM取款、刷卡消费、关联各种支付服务 都只使用防火墙卡。卡上就留几千块(或者一个你认为可以承受的损失额度)。使用时,往防火墙卡上转钱。而你大部分的钱,放在一张或几张专用卡上。这类存钱卡,永远不要在任何地方使用它(包括取款、消费),也不要带在身上,帐号也根本不要让别人知道(用新开的帐号)。最好就是除了你和开卡行,根本没有人知道这些卡的存在。
暂时不用的钱一定要变成定期存款/通知存款等等,它们收益怎么样无所谓,但至少能保证难以被直接转账或消费。当然,考虑到马月这个案例,如果真是酒店导致的信息泄漏,那对方是很容易弄到你身份证复印件的,恐怕定期存款也挡不住…
多用信用卡,不到万不得已不要用储蓄卡刷卡,而且应该尽量常用额度低、透支额度小的信用卡。这样就算最被盗,损失也能小一点。最好每次用完都在信用卡的App上即时锁卡。消费前再解锁(可能不是所有银行app都有这个功能)。
如果你还在用磁条卡,去找银行换芯片卡吧,磁条的复制太容易了。但就算是芯片卡,上面同样有磁条,刷卡的时候你也未必能保证坏人不去动你的磁条,还是得自己多留意一点…不过终究会比纯磁条卡好一点,芯片和NFC都比磁条安全的多。
我之前还写过几篇文章,讨论关于科技带来的社会行为模式改变。这也算是其中一种,在使用纸存折的时代,只要存折在你手里,钱就不会丢。在这个时代已经不是了,卡在你手里,人在北京,钱就从江西被人拿走了。我总觉得,科技发展的速度远远超过社会整体认知,所以很多制度和规则是跟不上科技发展的。但很糟糕的是,犯罪分子们的认知水平很高,不仅高过普通人,甚至很可能高过相关行业的从业者。
我在前同事群里面讲了这件事,大家也都挺震惊的。一群搞技术的人分析来分析去,还讲了各种盗刷之后利用网游和点卡洗钱的案例,最后得出一个结论:“没钱最安全”。
鉴于上次被某最大中文搜索引擎投诉删掉一篇文章的经验,我决定再也不写品牌和公司名称了,以免遭到所谓侵犯商誉的投诉。不过马月把下面的报案回执和银行单据都贴到了朋友圈里面,说可以公开,所以想知道是什么银行?看图。
以上图片均来自马月朋友圈。
我比较拖延,所以拖了10天,到今天才写了这篇文章,昨天我又问过马月下这件事目前处理状态。说是银行成立了一个小组处理他这个案子,但最终怎么处理,到目前还没有确定的结论。
顺便问一声,遇到这种事的话,在非工作时间,有没有银行仍然能提供及时的处理和协助吗,比如立刻冻结交易之类的?我也很想知道这个答案。
参考备注:
标题图:Image used under Standard license from Shutterstock.com (这张图是我们付费购买的,转载也可直接使用,不用换掉它)
其余照片均来自马月朋友圈。
我还写过一篇和这个话题有点关系的文章《你正在为互联网上的“免费”付出什么?》
以及为什么说马月没有使用最大的中文搜索引擎搜客服电话是非常正确的?
注:以上文章都可以进入“歪理邪说”进行查看(点击链接可看)
编者注:关于这起盗刷事件,雷锋网邀请了资深安全人士来分析,更多内容可持续关注。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。