偷走你的银行卡，骗子就靠这10招！

记者 张新明 张恒学田 朱新明 秀苗/文

骗子是人类最古老的职业之一。 以前骗子更多的是骗人，现在越来越多的骗子开始骗机器，比如骗银行的系统。 听起来这并不容易。 毕竟现代银行成立以来，安全一直是最重要的问题之一，这也是人们愿意将自己的财富委托给银行保管的最基本原因。 但实际上，想要骗过银行似乎并没有那么难。

4月8日这个周五晚上，一个骗子想“变成”徐妙成。

徐妙成在北京地铁六号线的车厢里，浑然不觉。 周五又是高峰期，地铁里的人越来越多，很多人都拿着手机打发时间。

22岁的徐妙成身材瘦削，大眼睛，白皙的脸庞。 乍一看，她像个学生。 的确，他刚毕业。 2014年毕业后进入科技媒体圈，开始了自己的事业。 现在他在一家投资公司工作。

生意不成功，反而欠了很多钱。 他用了半年的时间才还清债务，而他刚刚还清债务，还有三万多的存款。 钱分别存在他的三张银行卡和支付宝里。 无论是支付宝还是银行卡，都有很多安全措施——密码验证、身份证号验证、邮箱验证等等。 即使这些验证都失败了，还有最后一个也是最关键的安全阀——手机。 现在几乎所有的支付和账户变更都需要手机动态密码验证。

手机在徐妙成手里。

与其他银行卡盗窃案一样，登录IP显示在海口市的骗子为徐妙成找到了突破口，逐渐破坏了他的安全措施。 现在，4月8日17:00左右，骗子们准备攻破最后一道坎，拿到徐妙成的手机，“变成”这个不知情的小伙子。

01

银行卡被盗

骗子是人类最古老的职业之一。 但是，不同的阶段有不同的特点。 以前骗子更多的是骗人，现在越来越多的骗子开始骗机器，比如骗银行的系统。

听起来这并不容易。 毕竟现代银行成立以来，安全一直是最重要的问题之一，这也是人们愿意将自己的财富委托给银行保管的最基本原因。 但实际上，想要骗过银行似乎并没有那么难。

3月20日晚上9点左右，颜值直播创始人马跃结束三亚之行回到北京。 在从机场回家的路上，他收到了两条短信。 是浦发银行系统发来的，提示他刚刚在银行账户里消费了两笔，一笔46万，一笔1万，消费地点是江西省上饶市宝泽楼市场。 他的第一反应是打电话挂失。 电话里，对方让他报账号，输入密码。

“这个时候，我脑海里还有一个信号，我在想这是不是假账号。” 马跃从事网络工作，知道很多诈骗手段，一向谨小慎微。 观点。 刚发生这件事情的时候，我怕是手机中毒了（用朋友的手机给蒲发挂失），我想得很仔细。”

最终确认短信是真实的，电话是真实的，两次购买也是真实的。 果然，有人骗了银行，短短两分钟就拿走了本属于他的47万。

马悦后来从银行了解到，2月份，有人查询过她在河北的卡余额。 此卡只是一张借记卡，并没有开通网银功能。 “肯定是有人抄了我的卡。”

不仅要复制他的卡，还需要掌握卡的密码。 骗子有很多方法可以做到这一点。 他们可以在ATM机上设下陷阱，在马跃刷卡时进行复制； 还可以冒充消费场所服务员，利用改装的POS机盗卡。 还发生过银行内部人员泄露客户信息的事件，还有在电脑或手机中植入木马的事件。

河南卫视《都市报》记者在刷银行卡的QQ群里卧底数月，终于见识了银行卡复印机的威力——只要在上面刷一张银行卡，十秒钟就可以读出银行卡信息包括密码和复印一张新卡。

有了马跃的卡和取款密码，浦发银行的系统自然会将任何人都当成马跃，允许他拿走存放在银行的财物。

卖机器、窃取资料、卖资料、刷卡套现，形成了隐秘而完整的产业链。 在这个QQ群里，河南电视台记者还发现了一个贩卖银行卡信息的骗子。 对方提供了几乎覆盖中国所有省份的银行卡信息目录：上海38000条储户信息，山西17500条储户信息，山东17500条储户信息。 15万条…… 在购买了1万条郑州储户信息后，记者核实了多条信息，每一条信息都是真实的。

这和马跃了解到的情况差不多。 “黑市上有很多（复制的）卡，我不敢刷，但我敢卖你，比如你价值100万的信息，我可以卖5万元。”

每个环节都有风险，每个环节都做好显然是比较安全的。 购买复卡后，骗子取款也有严格的流程。 “比如购买偏远山村村民的身份证，办理银行卡，跨省取款，”一位熟悉情况的APP后台工程师向本刊介绍，“骗子在A省，身份证信息的人在B省，身份证信息的人在B省，取款机在C省……三个省的警察基本不可能抓人，而且几乎不可能锁定它们。” 技术高超的骗子还可能利用难以察觉的“海底网络”（或“深网”deepweb），通过购买比特币等方式洗钱。

据中国互联网协会发布的《中国网民权益保护调查报告》显示，预计2015年，因个人信息泄露给网民造成的损失总计约805亿元。 、垃圾信息和欺诈信息。

02

偷手机

毫无疑问，徐妙成的个人信息也被泄露了。 但它不是银行卡信息，而是一个在线帐户。 这种信息在互联网上传播得更广。 与银行相比，一些商业网站的安全防护要弱得多。 携程和网易邮箱的用户都遇到过疑似个人信息泄露的情况。 360互联网安全中心出品的《2015年中国网站安全报告》显示，43.9%的受访网站存在安全漏洞，每年可能因这些网站漏洞泄露的信息量达55亿条。

“我们现在的很多诈骗都是因为个人信息泄露，”360手机卫士安全专家葛健在接受本刊采访时表示。 除了黑客通过技术获取外，“通常比如看病、买车、买房、买保险时，填写的个人信息可能会在黑市上出售。”

个人信息泄露的渠道太多了，徐妙成根本不清楚，骗子是通过什么渠道拿到了他在中国移动官网的账号和密码，“我已经很多年没有登录那个官网了。”

17时53分，骗子已经登录中国移动官网账号，点开几个链接，很快就为徐淼程订购了《中广财经》手机报服务。 中国移动的系统发现了这个订单，并通过号码10658000给徐妙成发了一条短信。

“我心想，为什么10086要无缘无故给我开一些生意呢？” 徐妙成说，他经常收到这样的短信，几乎是条件反射地回复了“TD”（常用的退订业务代码），但手机系统却认为他的代码不对，给了他一张核对表“请回复括号内的说明进行订阅到以下手机报”。 徐妙成想到打电话给手机客服询问，但在拥挤的地铁里，他还是决定等到家再说。

骗子不等待。 TA已经有了详细的计划，其核心是中国移动官网“自激活”的4G备用卡业务。 这是中国移动为了开拓4G市场，让用户轻松换卡而推出的一项服务。 只要有一张空白的4G卡，点击在线申请，系统就会给旧卡发放一个USIM激活码，在网站上填写激活码后，旧卡就可以成功作废银行冻结卡我买比特币的几千块钱卡，新卡卡可以激活。

如果骗子能够拿到激活码并成功更换新卡，就意味着徐妙成手中的手机卡将作废，所有来电、短信都会转移到骗子的手机上。

从技术上讲，人们的手机短信通道已经很危险了。 骗子获取这个验证码的方法有很多种——你可以通过假基站发送一个带有病毒链接的地址。 如果许妙成点击，就会下载木马病毒或者带有木马病毒的APP，他本可以收到的激活码短信就会被截获，并发送到骗子的手机上。 如果骗子和许妙成在同一地铁，还可以利用特殊设备干扰手机信号，截获激活码。 如果许妙成手机中的某些APP具有短信同步功能，骗子可以通过破解这些账号，在不知不觉中获取到这个激活码。

在所有窃取个人信息的方式中，假基站是目前最常见、最强大的。 以前需要坐车搭假基站，现在“假基站越来越轻，拿个包就能带走”，葛健说。 骗子背着包在人多的地方来回走动，或者骑电动车，坐车的时候会接管沿路辐射范围内的手机信号，发短信。 这些短信可以伪装成“10086”、“95558”等电信运营商或银行的官方客服号码，通常包含链接。

“而且短信中的网址也很混乱，”葛健说。 例如，中国移动的官方网站是10086.cn。 假基站发送的链接可能会将“1”替换成小写的“l”，变成l0086.cn。 他们之所以在高峰期背着假基站四处走动，就是为了“广撒网”。 只要有人点击，就可能掉入陷阱——或者是假网站，需要填写个人银行卡号、密码等选项，窃取个人信息； 或者安装木马入侵您的手机，恶意窃取话费，甚至劫持手机短信。

据前述APP后台工程师介绍，Android系统木马可以获取手机最高权限，读取手机收到的短信，将短信转发至特定号码（或上传黑客后台） ，并在几毫秒内删除本地短信。 看不到”。

2014年初，公安部、工信部等九部委开展了打击假基站专项行动。 截至目前，已抓获犯罪嫌疑人近7000人，破获假冒基站设备5000余套。 虽然情况有所缓和，但并没有消失。 当你在百度上搜索关键字“短信设备”时，会跳出几条宣传广告，标题是“新型短信设备，每小时10万条”等字样。

这也是从事互联网行业的马跃在接到浦发银行客服的密码输入请求后心存疑虑的原因。 但徐妙成并没有那么强烈的安全焦虑，“人们的安全警惕性并没有那么强。”

03

更可怕的漏洞

骗子并没有使用假基站的方法，而是通过139邮箱的短信功能给徐妙成发了一条短信：

徐妙成几乎是想都没想就回复了“取消+验证码”。 “我都没有注意到这个短信号码的可疑之处，谁会一直有被害妄想症，这么小心呢？”

按照手机139邮箱的规则，手机回复的短信也会显示在邮箱里。 骗子看到徐妙成的第一条回复，应该能感觉到他退订的迫切性。 这时，TA提交了自助换卡申请。 手机系统收到申请后，给徐妙成的旧卡发送了一个验证码：

徐妙成看到这条消息，再次编辑“取消+******”，将验证码发回给了骗子。 骗子看到139邮箱中的短信后银行冻结卡我买比特币的几千块钱卡，迅速在网站上填写了验证码，并在手机中激活了新卡。 半小时后，许妙成的手机突然断网，没信号，连移动客服电话都打不通。 重启了无数次，甚至在家用wifi上网查了解决办法也无济于事，他打算第二天去营业厅处理一下。

这时，骗子开始利用他的手机号来攻破他支付宝的安全保护。 在支付宝自助密码重置功能中，您可以选择“银行卡验证”或“验证短信+验证身份证”。 密码已更改。 随后，骗子利用支付宝、百度钱包等支付平台从徐妙成的三张银行卡中转账。 虽然支付宝的通知很快让许妙成意识到自己的账号被盗，也采取了解绑银行卡等动作，但掌握了他手机号、身份证号等诸多信息的骗子却可以轻而易举地挫败许妙成的补救措施. 卡内3万余元先后被骗子从平台支付宝、百度钱包转入2.5万元。

在个人身份信息泄露无处不在的当下，最重要的安全阀就是手机号码——但通过短信验证码，骗子可以轻松拿到徐淼程的手机。 如前所述，人们的短信渠道其实已经不安全了。

“我们把所有的安全都放在一个东西上（手机验证码），”徐妙成说。 这是一个机制漏洞，非常可怕。 很高，只有极少数的人才能完成。 他必须破解各种东西。 如果不是技术上的东西，而是机制上的漏洞，就意味着随时会有骗子钻空子。”

“苍蝇不咬无缝的蛋”，每一次成功的欺骗和诈骗背后，都有类似的漏洞。 马跃银行卡47万元被盗后，立即致电客服挂失，希望银行暂停被盗资金的划转。 “其实这笔钱还在浦发银行，没有转账，晚上11点30分，有自动结算，钱转到江西农信社，然后农信社给了给商家。商家把钱拿走了。有一个过程。如果浦发银行这时候发现问题，只要把钱冻结了，以后就什么都没有了，被盗的钱就是就跟没被偷一样。” 马跃说，但客服告诉他，负责此事的工作人员“下班了，你的卡被盗了，报警就行了。” 随后，马跃找到了浦发银行的高层，“他们也承认了自己的问题，他说现在我们这片区域没有人管，这个时候也没有人去上班。”

04

我们还能感到安全吗？

2014年1月23日，西安市公安局刑侦大队民警模拟演示了车载伪基站发送诈骗短信的过程。 （@视觉中国）

与各家金融机构的交涉，让马越和徐妙成筋疲力尽。

“这件事很麻烦，我没有错，正常刷卡，吃饭，看电影，逛商场买东西……”马跃说，当时他挂失了并前往警方报案。 “没有人帮我立案，我去了三里屯派出所，派出所说你必须要银行出示证据，打印收据，证明你的钱丢了。如果你能去报警派出所调解，不予立案。” 最后，他请了一位认识的警察帮他立案。

浦发银行也是如此。 “浦发银行的意思是，你转哪里跟我没关系，你自己查，我查不了，感觉无所谓。” 随后，马跃向媒体、央视、微博大V求助。 他的投资者还在微信上联系了浦发银行的高层，“所以他来找我，他（浦发银行）的意思是，他们已经告诉（江西）农信社，让他们做所以两周之内，nei把钱还了，我说我拿不回来了？他说我拿不回来……（再找）”。

徐妙成也遇到过类似的经历。 一开始只有支付宝态度好跟进。 百度钱包根本不相信。 一些朋友转发了它，并迅速引起了巨大的公众关注。 央视也来采访后，百度钱包找到了徐淼程，先是通过客服，再通过在百度认识徐淼程的朋友与他沟通，“大概几个小时，百度钱包说他们会付钱。”

最终，依靠支付宝和百度钱包，徐妙成追回了15000元，骗子积累的7000元资金可以赎回，其他损失希望渺茫。 银行和中国移动的态度更为坚定。 徐妙成给银行打电话，“他们的态度是，这确实是一起网络诈骗，太普遍了，他们管不了，如果警方要查，他们会积极配合警方。”

中国移动也回复本刊称，“事实上，该案系先是客户网上大厅登录账户密码被盗（如果客户支付宝账户密码被盗，同样会造成经济损失），然后他本人换卡验证码发给了骗子，从业务流程上看是正常的，中国移动将积极配合相关部门，提供相关证据，并进行后续核实。

但中国移动显然也意识到了在线空白卡自激活的漏洞——事实上，他们早在几个月前就意识到了这个问题。 《广州日报》1月5日报道，中国移动工作人员推出新招，以退订为由诱导手机用户更换SIM卡。 一旦用户手机号被盗用，任何绑定该手机号的网上账户和银行卡都将面临极大的风险。 但是直到徐妙成的案子发生，这个自助通道才被关闭。

4月18日后，北京移动网上营业厅USIM换卡业务更新了安全机制。 用户在线申请换卡时，首先要申请备用卡并选择邮寄上门，同时输入短信验证码。 如果不办理备用卡，则无法办理业务。 4月21日，本刊记者登录中国移动官网发现，通过该网站激活空白卡的业务已暂停，通过139邮箱发送的短信中也注明了手机号码。发件人在最后。

电信运营商和银行实际上正在努力解决各自业务中的漏洞。 比如推广4G卡，据360安全专家葛健介绍，4G卡的安全性更高，“4G基本收不到假基站的短信”。 银行也一直在推广芯片卡。 据 VISA 称，带有芯片的信用卡和借记卡可以将欺诈风险降低近 20%。

与此同时，公安部门也多次升级对假基站的打击力度。 据知情人士向《21世纪经济报道》透露，“北京市有关部门已启动监测工程，拟投资数亿元在北京市主干道和重点区域部署验码仪.该设备的一些功能是检测和识别假基站。 目前，该项目即将进入招标阶段，招标完成后，将在北京主干道的路灯上部署10万至20万只读码器。

中国移动信息安全管理运营中心相关负责人叶烨向本刊透露，中国移动内部已经成立了专门的工作组，全国31个省公司全部安装了后台监控系统。对假基站和现场定位设备进行持续监测和打击假基站使用。 基站行为。

坏消息是骗子的技术也在更新。 河南电视台记者在团伙卧底时发现，银行正在更新技术，推行芯片卡，但团伙也在破解这项技术。 据说还生产了芯片卡复印机。

4G也有同样的问题。 据葛健介绍，伪基站已经可以通过技术手段，“降级你的4G频率，有时候你信号不好的时候，就降频，4G降为3G，3G变2G”。 这个时候，你也会很容易收到假基站的短信。”

这场骗子与各大机构的安全攻防战，结果难以预料。 更令人担忧的是，被泄露的个人信息还在黑市上流传，谁也不知道自己的信息是否在其中。

马跃只好建议，“平时刷卡的话，去银行换张新卡”，开通网银，把钱全部转到新卡上。 日常消费用小额卡，随用随转。

徐淼城也吸取了自己的教训：“先保护好自己的手机安全，不要所有银行都开通网银，尽量不要把最常用的手机号和银行绑定，我明天换号。” “

这种修身养性、提高安全意识的做法，让徐妙成心里很不是滋味，“安全机制不应该是这样设置的吗，大家都这么聪明，为什么要你？每个人都能保护自己，你却也需要你。” 为什么？ 所以我当时就把这件事告诉了他们。 你不能一直说用户太笨。 用户自己泄露了这个东西，导致了钱的损失。 事实上，这个世界上大多数人都没有那么聪明。 你不能指望每个人都这么有安全意识，这就是为什么你的机制存在，我为什么要把钱存到你的银行？ 这不代表你有安全感吗？”

尖端

骗子的手段

第一步：窃取个人隐私信息

1.黑客攻击网站漏洞进行窃取

2.企业、中介机构等机构泄密

3.利用假基站发送钓鱼短信

Step 2. 窃取银行卡信息

4、银行内部人士泄密

5.改装ATM机、POS机、复制卡资料

6、在电脑或手机中植入木马

第三步、使用银行卡复印机复印银行卡

或者

获取手机验证码，打通网络金融平台

7.利用伪基站发送木马信息

8.使用特殊设备近距离拦截短信

9.窃取一个可以自动同步短信软件的帐号

10.其他诈骗手段

看看天下346的封面故事

《Vista看世界》团队出品

制作最好的新闻故事

微信公众号搜索“看天下”添加关注