我有個朋友，儲蓄卡被盜刷了47萬元

科技

2016-03-31 |

1731

虎嗅注：在去年的《昨晚深夜，一筆錢突然從我的招行活期賬戶被轉入理財賬戶，然後詐騙開場了……》一文中，一位朋友講述了其所經歷的被詐騙的過程，近期作者霍炬的一位朋友也遇到類似的問題。

3月20號那天，我有個朋友從三亞坐飛機回北京。落地北京之後在從機場回家的路上收到兩條POS機刷卡短訊，刷卡地是江西上饒，總共47萬元。但此時他的卡就在自己手裡。這是一張儲蓄卡而不是信用卡，平時這張卡的使用率並不高，密碼也沒泄漏過。他收到短訊之後立刻給銀行打電話，當時是周日晚上，被銀行告知要周一上班才能處理。到了周一，他才去銀行打出各種證明，之後去報了案。

當人們說起「我有一個朋友」如何如何的時候，按照互聯網文化潛規則，通常就是說他自己。但這次真不是這樣。

這個朋友名字叫馬月。如果你還記得那個因為美女多而出名的「美空網」，那麼你就知道了他。馬月是美空網的創始人，我們認識了很多年，從他剛剛做美空網的時候就認識了。我經常會下決心想在這個公眾號上寫一些比較傳奇的朋友故事，每次都把他的故事列在寫作計劃裡面。但因為拖延症始終沒有真正動手，想不到他是以一樁被盜刷案件的受害者的身份出現在了我的文章中…

我決定把這個事情寫下來，因為它的情節實在太詭異了。比如當馬月收到盜刷短訊的時候，立刻打電話給銀行，但銀行告訴他「我們已經下班了，你周一再打來…」這種情況在你沒經歷過的時候是難以置信的，這種難以置信的狀況，恰恰是盜竊方能夠得手的原因。盜竊者對整個社會和系統的了解應該遠遠超過我們普通人，我們怎麼辦？沒辦法，只能盡量多知道一些詭異的事情。

如前所述，這件事的經過並不複雜。但這件看起來不複雜的事情裡面，幾乎每個環節都值得討論。

首先是卡在他手裡，那麼應該是卡被複制了。但是在什麼時候卡被複制的呢？馬月說最近用這張卡是在三亞的某個酒店刷了押金。酒店名字我就不寫了，是一家非常豪華，口碑也非常好的酒店。確實有一些新聞報道過有犯罪團伙冒充酒店工作人員去獲取客人銀行卡信息，用來盜刷。但如果在豪華酒店前台正常刷卡都會導致連卡帶密碼都被複制走了，那對於普通人可以說是沒法防範的。唯一能選擇的就是再也不刷卡了。當然，我們沒有證據可以說一定就是這一次刷卡出的問題，也許是上一次，或者上上一次。做為普通用戶，我們基本是沒辦法去求證和調查到底什麼環節出了問題。一個普通用戶，正常消費，正常刷卡，這是合理的用法，怎麼也不能算是他的錯。

其次，就算是卡和密碼都被非法複製了。但持卡人拿着卡，給銀行打電話要求凍結款項，竟然會被告知下班了，沒法處理。要知道，通過POS機刷卡並不是實時結算的，刷卡發生的時候，錢並沒轉到盜竊方的帳號，更不可能立刻提款出去。如果當即可以凍結這筆交易，本來是可以避免損失的。很遺憾，銀行下班，但盜竊者不下班。等到周一，他終於完成了立案，在警察的幫助下查到了對方的銀行，那時候錢不僅早已到帳，而且已經被提現取走了。

如果這件事沒發生在自己身上，恐怕很難相信這麼大額的錢被盜，銀行可以以下班為理由什麼都不做。我不知道這算行業潛規則還是什麼規則，但很顯然，比起我們這些正常的銀行用戶，盜竊者更熟悉這些規則，並且很好的利用了它。如果你曾經試過從銀行提取過大額款項，應該會知道提走幾十萬現金並不是那麼容易，至少是需要提取預約。考慮到反洗錢法的衍生出來的各種制度和規則，就算預約了，很多銀行也未必會讓你一次提走47萬現金。但在這個案例裡面，在極短的時間內，對方輕而易舉提走了大額現金。不知道他們是如何做到的，我估計這裡面應該還是會有一些普通人不知道的規則存在吧。

再次，POS機能刷走這麼大筆錢，難道沒有限額嗎？很遺憾，默認是沒有的。我跟好幾個人講這件事的的時候，大家和我的反映是一樣的，都會問「難道沒有限額嗎？」之後大家分別打電話和自己的銀行查詢，大多數人得到的結果是，默認沒有限額，帳號上有多少錢，就可以刷多大筆。有一些銀行確實有默認限額，但也是幾十萬或者上百萬這樣比較大的限額。當然，銀行應該是給某些POS機設置了限額，也就是說，你可能遇到過在某些POS機上刷不了太多的錢，但這個限額並不是你自己銀行帳號的限制。換一個高權限的POS機，就能刷掉了。這跟我們平時的印象是截然不同的。這仍然是對規則的理解和使用，就算是我們這些熟悉互聯網的科技行業從業者，仍然有太多我們不了解的規則存在。比如很多銀行對於POS機刷卡沒有默認限額，這也是經過這件事我才學習到的知識。

整個事情中有一點點值得慶幸的是，做為科技行業從業者，馬月熟知某最大中文搜索引擎的糟糕。他沒通過搜索引擎去搜銀行客服電話，而是按照卡背面的客服電話打給的銀行。否則很大可能性他會搜出來一個騙子電話，繼續掉進另外一個電話詐騙陷阱裡面，最後其他卡上的錢也保不住…這個世界實在是太危險了。

我想了好幾天這件事，我們到底能做什麼？按道理說，這些責任本來不應該我們承擔，但是從這個案例可以看出來了，太多我們不知道的奇怪規則存在，如果不做一些準備，很難保證自己不會碰到這種事。一旦錢丟了，想找回來就難了。所以那怕平時麻煩一些，還是應該盡量去做點什麼規避一些風險。

我寫過不少和安全有關的文章。當然，我並不是安全專家，按照我朋友中真正的安全專家的看法乾脆是「無論怎麼樣你也不可能有什麼安全的」。我也同意這個看法，但是對於普通人，我們更多時候追求的並不是絕對的安全，而是讓這種倒霉的事情不容易落在自己頭上。在社會這個叢林中，有一個著名的笑話真實又殘酷：「跟比你胖跑得比你慢的朋友一起去打獵是安全的，當熊衝過來的時候你不用跑的比熊快，只要跑的比你的朋友快就可以了」。

我最後還是總結出了幾個辦法。也算不上是安全建議，就算是提個醒吧。

網銀、打電話或者親自去銀行，查清你帳號捆綁的所有付款權限。不需要的，如果能關閉就關閉，不能關閉也至少設置限額。

一兩張卡作為防火牆卡：平時ATM取款、刷卡消費、關聯各種支付服務都只使用防火牆卡。卡上就留幾千塊（或者一個你認為可以承受的損失額度）。使用時，往防火牆卡上轉錢。而你大部分的錢，放在一張或幾張專用卡上。這類存錢卡，永遠不要在任何地方使用它（包括取款、消費），也不要帶在身上，帳號也根本不要讓別人知道（用新開的帳號）。最好就是除了你和開卡行，根本沒有人知道這些卡的存在。

暫時不用的錢一定要變成定期存款/通知存款等等，它們收益怎麼樣無所謂，但至少能保證難以被直接轉賬或消費。當然，考慮到馬月這個案例，如果真是酒店導致的信息泄漏，那對方是很容易弄到你身份證複印件的，恐怕定期存款也擋不住…

多用信用卡，不到萬不得已不要用儲蓄卡刷卡，而且應該盡量常用額度低、透支額度小的信用卡。這樣就算最被盜，損失也能小一點。最好每次用完都在信用卡的App上即時鎖卡。消費前再解鎖（可能不是所有銀行app都有這個功能）。

如果你還在用磁條卡，去找銀行換芯片卡吧，磁條的複製太容易了。但就算是芯片卡，上面同樣有磁條，刷卡的時候你也未必能保證壞人不去動你的磁條，還是得自己多留意一點…不過終究會比純磁條卡好一點，芯片和NFC都比磁條安全的多。

我之前還寫過幾篇文章，討論關於科技帶來的社會行為模式改變。這也算是其中一種，在使用紙存摺的時代，只要存摺在你手裡，錢就不會丟。在這個時代已經不是了，卡在你手裡，人在北京，錢就從江西被人拿走了。我總覺得，科技發展的速度遠遠超過社會整體認知，所以很多制度和規則是跟不上科技發展的。但很糟糕的是，犯罪分子們的認知水平很高，不僅高過普通人，甚至很可能高過相關行業的從業者。

我在前同事群裡面講了這件事，大家也都挺震驚的。一群搞技術的人分析來分析去，還講了各種盜刷之後利用網游和點卡洗錢的案例，最後得出一個結論：「沒錢最安全」。

鑒於上次被某最大中文搜索引擎投訴刪掉一篇文章的經驗，我決定再也不寫品牌和公司名稱了，以免遭到所謂侵犯商譽的投訴。不過馬月把下面的報案回執和銀行單據都貼到了朋友圈裡面，說可以公開，所以想知道是什麼銀行？看圖。