■本报记者 谢飞君

惊蛰是早就过了，春雷倒也响了几声，而采访完一直平静叙述的专家张威时，记者心有惊雷立即做的第一件事，是自查了自己所有的银行卡，并把所有银行卡的服务电话，挨个儿统统打了一遍。

张威是太多次地说了——上百次不同场合一遍遍讲解、提醒、警告，尤其上了年纪的老阿姨老伯伯们，正是盗卡团队瞄准的庞大空间，却偏偏难以绷紧这一根弦。

然而就连身为80后的记者自己，几天前也差点掉进大坑——通过某旅行社办理出境证件，被告知如果提供一张白金信用卡的正反面复印件，就可免去开具收入证明、在职证明等手续。很多人都会选择，因为便捷。但专家叹息摇头：一张正反面拍了照传出去的信用卡，意味着信息全面泄露，很可能就是把卡把钱拱手送人！

近日新闻接二连三，多地惊爆“不翼而飞”，卡内钱款莫名被盗。记者找到张威，张威语气平静：“互联网上没有‘删除键’”、“信息会不断往下卖，会有一个周期，一般是在3个月到半年之后去盗刷卡，这个时候你去想自己究竟在哪里泄露了信息，基本是想不出来的”……

最常见的，餐厅埋单刷卡、输密码毫不遮掩，甚至不设密码直接请服务生把卡拿去服务台代刷，再等其拿回机器所“吐”消费单签字，交易完成。环环相扣，迅速搞定。但假如现场正好有一位“听风者”，就悬了。

于无声处听惊雷。听这位信息安全专家、上海市信息安全行业协会副主任娓娓道来，道高一尺魔高一丈的较量有时宛如一部谍战剧。

听风者

厉害的甚至可以根据客人的按键音“听”出密码

上述餐厅埋单那一组动作，在张威眼里，潜在的风险非常明显。

磁条卡一旦离开持卡人的视线，只要在小小的、特制的读卡机上划过，银行卡信息即可被完整记录。而一旦卡号和密码的信息泄露给不法分子，立即就可复制出一张银行卡，刷卡取现分分钟完成。

“你以为这是高科技？现在甚至连‘这是个技术活’都说不上了，完全普遍化工具化了。”张威说：复制银行卡，情况比预想得要糟糕。

这里的关键，是“磁条卡”。

记者采访完打开自己的钱包，果然已是磁条卡之天下：9张不同银行的卡片中，8张是磁条卡，只有1张是“复合卡”(即这张卡同时有磁条和芯片)。

你的，是否也如此？

过去三四十年，因“读写方便、成本低廉”，磁条卡广为使用。但而今，磁条的加密技术，已经被破解。

“磁条卡只是一个账户，它通过卡号密码识别出用户的身份，其工作的基本原理也是依靠卡号来识别不同磁卡。”磁条银行卡因为读卡时卡号相对公开，很容易复制。一旦用户不慎将密码一并泄露，不法分子用相同的加密技术将之烧至另外一张卡中，复制卡就产生了。“持卡人的钱，立即成了任人宰割的羔羊。”张威说。

收银员偷窥密码是被惯用的方式，个别POS机还被加装了信息窃取装置。“前阵子流行过一种小小的读卡器，大小和银行卡差不多，方便服务生随身携带。要知道，现在真有那么一小部分服务生，他们并不是看中工资，而是为了有机会盗取持卡者的用户信息。”他们拿着可以记录银行卡信息的POS机给顾客刷卡，然后在“不经意间”看到密码，厉害的甚至可以根据客人的按键音“听”出密码。

读卡器哪里来？张威透露，很长一段时间，在网上搜索“银行卡读卡器”关键词，就可以找到卖家。曾经有实验室的人佯装购买联系卖家，所需设备统统加在一起，售价在8000元左右，“包括银行卡信息采集器、复制器、卡口、摄像头、空白卡及配套的软件、数据线和光盘”。买家付款后拿到货，按照卖家的提示，安装盗刷装备和复制银行卡在技术上一点也不难，简直是傻瓜式菜单，只要稍懂电脑操作的人都可以操作。也因此，而今的盗刷银行卡参与者，并不需要是懂技术的高学历人群。

“你要找的人叫阿炳，他的耳朵是风长的，尖得很。”“有人说他耳朵是风长的，只要有风，最小的声音都会随风钻进他耳朵。”麦家在小说《暗算》中写道。

不需要懂技术、高学历的盗卡听风者们，也已经根本不需要像阿炳这样的高水准了。

谍影重重

失落的秘符：无处不在的密码泄露风险，一组“卡号+密码”，100元一条打包价

现在，复制盗刷银行卡已经形成一条完整的上下游产业链。

但问题发生的第一步——“银行卡信息泄露”，还是和人们使用卡的习惯有关。

很多人有这样的经历，在餐厅刷卡消费时，明明已经刷过一次，但服务生告诉你刚才没有成功，要再刷一次。“这个时候，要警惕，千万不要让银行卡离开视线范围，很可能是不法分子想再次确定你的密码。”

更无声息的是做了手脚的ATM机。张威举了一个例子，去年西安警方曾经破获一起盗刷案，是不法分子在多家银行的ATM机上安装读卡器、针孔摄像机，由于立即可以获得卡号和密码，这个团伙在很短的时间内就盗刷了100多名用户共740万元的账户金额。

随着网上支付的普及，钓鱼网站是不法分子获取信息的另一渠道。一个加了木马程序的链接，一旦用卡人点击进入，会被引导到交易网站上。“这个时候，你在页面输入登录密码，后台就在记录，输入一次密码提示错误，再输入一次，后台就确认你的密码了。”钓鱼网站发展迅猛，公安部门实时监测，每天会有5000个-8000个新的钓鱼网站被监测到，这些网站的存活期也就一两天，但危害非常大。

“以上3种是最为常见的信息丢失方式。”由于磁条卡的关键技术是卡号加密码，卡号用于烧制伪造的卡，密码用于取现。所以得到一组“卡号+密码”，即被视为一条有效信息。

收集这样的信息，是处于盗刷卡最“上游”的人每天需要做的工作。每隔一段时间，他们就将这些信息打包给下一个环节的人，有的是直接按照100元一条的打包价处理，有的则是等取款后分成。

更令人讶然的，是在这之后的漫长“潜伏”。

潜伏

漫长的“潜伏”：遍地撒网的异地取款，等待截取验证码

对于盗刷银行卡的不法分子来说，通过他们的技术手段，每一条信息都能复制出一张银行卡。复制后的卡支持在银行ATM机直接查询余额、提取现金，与原银行卡无异。

万事俱备，只剩取款环节。

为降低取款的“危险”，不法分子往往将取款的地点选择与持卡人异地，采取的最常见方式是在ATM机取款。

在这个环节，有各式各样的取钱客。取钱的马仔，一次操作会取10张卡。因为ATM机上每天只能取2万元，一些小额账户会被一次提取，大额账户则会被转账到几十个不同的账户里。

很多人会有疑问，大额转账，银行需要认证持卡人的身份，会向持卡人的手机发验证码，犯罪分子是如何拿到验证码的呢？

这是一次协同作战。

有不少人接到过这样的电话——电话那头说给你送快递，但是地址不清楚，需要你告诉现在的地址。“这是劫持验证码的另一个方式。如果找到持卡人，在离持卡人1公里的范围内有技术手段拦截验证码，这样一来，资金被转移掉的同时，持卡人觉察不到任何异样。”

当然，由于这个方式的代价比较大，更为普遍的方式还是通过木马截取。

“用木马截取你的验证码，让你收不到信息，直接转发到他自己的手机上。”张威解释，这样的木马程序通常是伴随着不正规的APP下载到用户的手机上(也可能是有网址的短信)，之后便是漫长的“潜伏”，用户使用支付宝、网银时输入的用户名和密码，会存在临时文件cookie里，这个信息是加密的，但不法分子抓取后会进行解密。

专家介绍说：有老人点击钓鱼网站后，按照提示多次输入密码，不断出现错误提示后问家人密码是否已改，才被发现有问题。

如何让用户相信并点击登陆钓鱼网站，是一个技术活。不法分子会设立伪基站，向方圆1公里范围内的手机发送信息，一般是假冒10086、95533、95555等所谓的电信运营商或银行发出“积分兑换现金”短信，并内置一个假冒运营商、银行的钓鱼网址。“比如工商银行的官网是ICBC，钓鱼网站有一个字母不一样，但页面的设置完全一样，没提防的客户大多不会发现，尤其是老年客户，对英文字母完全不敏感，更容易上当。”

时至今日，整个盗卡链条已经非常缜密，客户稍不当心，钱就不翼而飞。“有些卡内没有多少钱，但不法分子可以查到以前的详单，如若发现会有再次转入资金的可能，就会先养着这些卡，等到有大额的钱进来后再去取。就是按照你的存款数量来对待你的卡。”

还有，上海某银行支行行长陈明(化名)介绍：在一些地方，村民批量办卡后被人收走，收卡者仅支付每张20元甚至更低的价格。所以，在网上，搜索“银行卡买卖”就会出现公然出售银行卡的卖家。“这些都是村民用真实身份办理银行卡。”买别人的银行卡干什么？那是为洗钱做准备。

当复制的银行卡内有大额现金，不能在ATM机上取出，则需要转账“输送”到不同的卡上。这时，村民的卡就有了用武之地。

一旦“东窗事发”，追溯到出售自己银行卡的村民，往往又难以追责。“所以很多时候，这是一场没有敌人的战斗。”

暗算

委屈的银行？被盗刷后，建议立刻持卡就近存或取点钱

人算不如天算，天算不如暗算。

尤其一旦被盗刷，要和银行对簿公堂，银行究竟应不应该负责、官司到底能不能打赢？这时候真容易心生痛恨，恨“盗卡分子”的狡诈“暗算”。

4月2日，贺贺接到一条刷卡短信通知，内容为：您尾号5744的卡2日8时36分境外POS机支出(消费)1008元港币。当时，贺贺本人在上海家中，发生消费的银行卡也在钱包里静静地躺着。因此，她看到短信的第一反应就是卡被盗刷，立即拨打该银行的服务专线。但银行人员的回复是，由于交易发生在境外，银行无法停止此笔交易，唯一的办法立即帮持卡人销卡换新卡。贺贺到银行卡开卡行所在地的派出所报案，警方也表示境外盗刷不能立案，只能记录在案，并出具一张“公安局案(事)件接报回执单”用于证明报案事实。几天后，贺贺拿到了新卡，但工作人员表示，到还款日必须还款，否则信用将有污点。

这时，持卡人和银行之间，要么经协商达成调解协议，要么就是对簿公堂。期间的各种取证、索赔、打官司的程序都非常麻烦。

在贺贺看来，银行卡被盗刷(不管是异地消费，还是异地ATM机取现)主责在于银行不能识别伪卡，所以应该承担赔偿责任，这也是很多被盗卡者的观点。但银行往往会认为，持卡人需承担银行卡密码保管不善的责任。

5月4日，上海某银行支行大厅内，十多名用户在拿号等待办理业务。记者随机询问他们的银行卡情况，都是清一色的磁条卡。

而这家支行的行长陈明告诉记者，早在1年前，银行就通知用户更换办理芯片卡，但选择权在用户。

目前证明被盗卡最常见的办法，是到柜台存取款。逻辑很简单：对于持卡人而言，如果是银行卡遗失导致自己的钱被盗，那是保管责任；如果银行卡在自己身上，盗刷是因为银行识别技术不到位，需要承担责任。

专家建议的做法，是持卡人马上到附近银行柜台去存100元或者取100元现金。

而在陈明看来，最近几年盗刷事情发生后，一味让银行赔，也并不够公平，“磁条卡的技术已经非常普遍，复制这样一张卡并没有难度。法院从保护消费者利益的角度出发，只要持卡人可以证明银行卡在自己身上即可索赔。但问题是，在社会信用不健全的情况下，并不能排斥持卡人将密码泄露复制银行卡异地取款的情况”。

解决之道，目前的建议还是集中在更多使用和大量推广芯片卡上。

那么，芯片卡能否让公众的担心不再？又究竟为何难以推广？

记者继续叩问。

捕风者说

刀尖上的战斗：难道只能为了安全放弃方便？

“迄今为止，全球未发生过芯片卡被复制导致欺诈的案例。”

因此，对于盗刷，银行和专家给出的意见都是：尽早换成芯片卡。毕竟，个性大大咧咧如记者自己，那天也是检查才发现，手中有好几张沉睡的卡，而在盗刷新闻频出的今天，银行卡里的钱不定期查询、信用卡到期还款时不仔细对照消费明细，都可能致使银行卡已被盗刷而不自知。毕竟，专家表示，有时候，持卡人觉得自己是点对点将一张银行卡发送给了微信上的某位朋友，但在这个过程中，很可能也有不法分子盯上这张卡，进入到复制卡的产业链中。毕竟，一旦银行卡信息泄露，是被动泄露还是主动泄露，这都涉及复杂的取证。

而且，纯就技术而言，“芯片卡完全可以更换”。

但现实问题是，绝大多数的人，认为这是一件“自找麻烦”的事情，不仅需要去营业厅排队等候，交换卡费，还将面临很多不能刷卡消费的状况。由于各地芯片卡受理环境尚未搭建完成，ATM、POS机等受理终端尚未全部改造，芯片卡在很多国内商户处无法使用。芯片卡目前的商户覆盖面，远没有已经普及了三四十年的磁条卡广泛。

而由于商家普及不高所以公众不换卡，但公众都用磁条卡，商家也不会有改造终端的积极性。这是一个循环圈。

所以目前专家的建议是：大家对自己的卡分类，只将其中一张用于网上支付、商家支付，或者大部分换成芯片卡，保留一张磁条卡且金额不要放太多。

那么，能不能创新推广机制，增强商家动力，呼吁社会共识，来共同营造更加安全的消费环境？

进而，如何在国家正日益重视、不断加强的互联网技术监管能力建设上，不断地在博弈中进步，不断地实现“道高一丈”？

这是本文的尾声，也希望是公众不再如此不安的开始。