張鑫明++張恒++薛田++朱信明+++修淼

4月8日，周五的這個傍晚，有一個騙子想“變成”許妙成。

許妙成正在北京地鐵六號線的車廂里，毫無警覺。周五又是下班高峰期，地鐵里的人越來越多，很多人端著手機打發(fā)時間。

22歲的許妙成身材偏瘦，大眼睛，人長得很白凈，乍一看，還是一副學生模樣。他確實剛畢業(yè)不久，2014年畢業(yè)后進入科技媒體圈工作，還自己創(chuàng)過業(yè)，現在就職于一家投資公司。

創(chuàng)業(yè)沒成功，反而欠下很多錢。他花了半年時間來還債，剛把債務還完，也有了三萬多存款。這些錢，分別存在他的三張銀行卡和支付寶里。無論是支付寶還是銀行卡，都設有重重安全措施——密碼驗證、身份證號驗證、郵箱驗證等等。即便這些驗證統(tǒng)統(tǒng)失效，還有最后也是最關鍵的一道安全閥門——手機。幾乎所有的支付、更改賬戶現在都需要手機動態(tài)密碼驗證身份。

而手機，正在許妙成的手里。

正如其他銀行卡盜刷案一樣，那個登錄IP顯示在海口市的騙子，找到許妙成一個突破口，逐步瓦解了他的安全措施?，F在，4月8日17點多，騙子正打算攻破最后一關，拿到許妙成的手機，“變成”這個毫不知情的年輕人。

盜刷銀行卡

騙子是人類最古老的行業(yè)之一。只不過，不同階段有不同的特性。以前的騙子更多是騙人，現在，越來越多的騙子試圖騙過機器，比如騙過銀行的系統(tǒng)。

聽起來，這并不容易。畢竟自現代銀行建立之日起，安全就是最重要的問題之一，這也是人們愿意把自己的財富交給銀行保管的最基本原因。但現實中，騙過銀行，似乎并不是那么困難。

3月20日晚上9點多，顏值直播創(chuàng)始人馬月從三亞旅游回到北京，從機場回家的路上，他收到兩條短信。浦發(fā)銀行的系統(tǒng)發(fā)來的，提醒他銀行賬戶剛剛有兩筆消費，一筆46萬，一筆1萬，消費地點是江西省上饒市寶澤樓市場。他的第一反應就是打電話掛失，電話里，對方要求他報上賬戶，并且輸入密碼。

“這個時候我腦子里還留了一個信號，我想萬一這是個偽裝的號。”馬月本身做互聯網工作，知道很多詐騙方式，向來謹慎，“各種奇怪的鏈接詐騙，我絕對不會點。剛出現這個事的時候，我還怕電話已經中毒（用朋友電話打給浦發(fā)進行掛失），我考慮得很周全。”

最終證實，短信是真的，電話是真的，那兩筆消費也是真的。確實有人騙過了銀行，只用了兩分鐘，就劃走了本屬于他的47萬。

馬月后來才從銀行處得知，2月份，曾有人在河北查詢自己卡內余額。這張卡只是一張借記卡，并未開通網銀功能，“肯定是有人復制了我的卡”。

不但復制了他的卡，還需要掌握卡的密碼。騙子想做到這些，有好多種途徑。他們可以在ATM機上設置陷阱，等馬月刷卡時復制；也可以在消費場所偽裝服務員使用改裝過的POS機盜刷。銀行內部人員泄露客戶信息的事情也曾發(fā)生過，還有一種是在電腦或手機里植入木馬。

河南電視臺《都市報道》的記者曾在一個盜刷銀行卡的QQ群臥底幾個月，終于見識了銀行卡復制器的威力——只要拿銀行卡在上面刷一下，不出十秒鐘就能讀出包括密碼在內的銀行卡信息并復制一張新卡。

掌握了馬月的卡又有了取款密碼，浦發(fā)銀行系統(tǒng)自然會將任何人當成馬月，允許其取走存在銀行里的財產。

販賣機器、盜取信息、販賣信息、刷卡套現已經形成了一條隱秘又完整的產業(yè)鏈。在這個QQ群里，河南電視臺的記者也找到了販賣銀行卡信息的騙子，對方提供了一份銀行卡信息目錄，幾乎涵蓋中國所有省份：上海市儲戶信息38000條，山西儲戶信息17500條，山東150000條……在購買了一萬條鄭州儲戶信息后，記者核實了其中多條信息，每一個信息都是真的。

這和馬月了解到的信息差不多?！坝泻芏啵◤椭疲┛ǘ荚诤谑猩?，我不敢刷，但是我敢賣你，比如五萬塊錢我能賣你價值一百萬的信息?！?/p>

每個環(huán)節(jié)都有風險，各做一環(huán)顯然相對安全。買到復制卡后，取錢的騙子也有一套嚴密流程?！氨热缳徺I偏遠山村村民身份證，辦銀行卡，跨省取錢”，一位熟悉情況的APP后端工程師向本刊介紹道，“詐騙人在A省、身份證信息人在B省、線下取款機在C省……三省警方基本不可能抓到人，鎖定也幾乎不可能?！奔夹g高超的騙子還可能通過難以被偵查到的“潛網”（或稱“深網”deep web），通過購買比特幣等行為將錢洗白。

據中國互聯網協(xié)會發(fā)布的《中國網民權益保護調查報告》估算，2015年，網民因個人信息泄露、垃圾信息、詐騙信息等現象，導致總體損失約805億元。

竊取手機

毫無疑問，許妙成的個人信息也泄露了。但并非是銀行卡信息，而是網絡賬戶。這種信息在網絡上流傳更廣，與銀行相比，一些商業(yè)網站的安全防護要薄弱很多。攜程網、網易郵箱的用戶都曾遭遇過個人信息疑似泄露的情況。由360互聯網安全中心出品的《2015年度中國網站安全報告》顯示，在被調查的網站中43.9%存在安全漏洞，一年或有55億條信息因這些網站漏洞而泄露。

“我們現在很多詐騙都是由于個人信息被泄露，”360手機衛(wèi)士安全專家葛健接受本刊采訪時說，除了黑客通過技術獲取外，“平時比如看個病，買個車，買個房，買個保險，填寫的個人信息都有可能通過黑市被販賣出去。”

個人信息泄露渠道如此之多，以至于許妙成根本就不清楚，騙子是通過何種渠道，拿到自己在中國移動官網的賬戶和密碼的，“那個官網我其實已經很多年不登了”。

17點53分，騙子已經登錄了他在中國移動官網的賬戶，點擊了幾個鏈接后，很快就為許妙成訂購了“中廣財經”手機報的服務。中國移動的系統(tǒng)發(fā)現了這筆訂單，通過10658000這個號碼發(fā)短信反饋給許妙成。

“我心想，10086怎么莫名其妙給我開了一個什么鬼業(yè)務”，許妙成說，他經常收到這類信息，幾乎條件反射般回復了“TD”（常用的退訂業(yè)務代碼），但移動系統(tǒng)認為他的代碼不正確，還給了他一個清單“請回復括號中的指令訂閱以下手機報”。許妙成想到了打移動客服詢問，但在人山人海的地鐵里，他還是決定到家再說。

騙子是不會等的。TA已經有了一個詳細的計劃，計劃的核心是中國移動官網上“自助激活”4G備用卡的業(yè)務。這是中國移動為了開拓4G市場，讓用戶便捷換卡提供的一項服務，只要有一個空白的4G卡，點擊在線申請后，系統(tǒng)會下發(fā)一個USIM激活碼到舊卡，在網站填寫激活碼后，便可成功將舊卡作廢，啟用新卡。

如果騙子能夠拿到這個激活碼，成功更換新卡，也就意味著許妙成手里的手機卡將作廢，所有的來電、短信都會轉移到騙子的手機上去。

從技術上，人們的手機短信渠道早已經危險重重，騙子有多種方式可以拿到這個驗證碼——可以通過偽基站發(fā)送帶有病毒鏈接的地址，如果許妙成點擊了，就會下載木馬病毒或者含有木馬病毒的APP，之后他原本能收到的激活碼短信都會被攔截發(fā)到騙子手機上。如果騙子和許妙成在同一輛地鐵上，還可以通過特殊設備，對手機信號進行干擾，攔截激活碼。如果許妙成手機里的一些APP具有短信同步功能，而騙子能夠破解這些賬戶，也可以神不知鬼不覺地獲得這個激活碼。

在所有竊取個人信息的方式里，偽基站是目前最常見的一種，也是技術最強大的一種。以前還要開車架設偽基站，現在“偽基站越來越輕便，背一個包就可以帶走”，葛健說，騙子背一個包，專門在人多的地方來回走，或者騎著電動車、坐車，沿路就會接管輻射范圍內的手機信號，并發(fā)送短信。這些短信都可以偽裝成“10086”、“95558”等電信運營商或銀行的官方客服號碼，一般都會帶有鏈接。

“而且短信中的網址也特別有迷惑性”，葛健說，比如中國移動官網是10086.cn，偽基站發(fā)過來的鏈接可能用小寫的“l(fā)”替換掉“1”，變成l0086.cn。他們之所以在高峰期背著偽基站到處逛，就是為了“廣撒網”，只要有人點開，就可能會落入圈套之中——或者是一個偽裝的網站，需要你填寫個人銀行卡號、密碼等選項，盜取個人信息；或者是安裝木馬，入侵你的手機，惡意吸費，甚至劫持手機短信。

據前述APP后端工程師介紹，安卓系統(tǒng)木馬可以獲得手機最高權限，讀取手機接收短信、轉發(fā)短信至特定號碼（或者上傳黑客后臺）、刪除本機短信，在幾毫秒的瞬間完成，“肉眼都看不到”。

2014年初，公安部、工信部等九部委啟動了一場打擊偽基站的專項行動，至今已經抓獲犯罪嫌疑人接近7000名，破獲偽基站設備5000余套。雖然情況有所緩解，卻并沒有消失。在百度搜索“短信設備”關鍵詞，會跳出數條推廣廣告，標題里不乏“新款短信設備，每小時十萬條”等字眼。

這也是從事互聯網行業(yè)的馬月，接到浦發(fā)銀行客服輸入密碼要求后，心存疑慮的原因。但許妙成則沒有這么強的安全焦慮，“人的安全警覺還沒那么強”。

更可怕的漏洞

騙子并沒有使用偽基站的方式，而是通過139電子郵箱的短信功能給許妙成發(fā)了一條短信：

許妙成幾乎不假思索就回復了“取消+驗證碼”幾個字?！拔疑踔炼紱]有注意到這條短信號碼的可疑，誰會時時有迫害妄想癥，如此細心？”

根據移動139電子郵箱的規(guī)則，移動手機回復的短信也會在郵箱里顯示。騙子應該能夠看到許妙成的第一次回復，并能體會到他取消訂閱的急迫心理。這時，TA提交了自助換卡的申請，移動系統(tǒng)收到申請后，向許妙成的舊卡發(fā)送了驗證碼：

看到這條信息，許妙成再次編輯“取消+******”，把驗證碼發(fā)回給騙子。騙子在139的郵箱里看到短信后，迅速在網站填好驗證碼，激活了手機里的新卡。半小時后，許妙成的手機忽然斷網，失去信號，甚至無法打通移動的客服電話。在重啟無數次，甚至到家利用WiFi上網查詢解決辦法無果后，他打算第二天再到營業(yè)廳處理。

這時候，騙子則開始利用手機號攻破他支付寶的安全防護。支付寶的自助重置密碼功能里，可以選擇“通過銀行卡驗證”或者通過“驗證短信+驗證身份證件”兩種方式，也就是說，一旦騙子掌握了用戶的個人信息以及手機號碼，就可以隨意更改密碼了。隨后，騙子利用支付寶、百度錢包等支付平臺，開始轉走許妙成的三張銀行卡里的錢。雖然支付寶的通知很快讓許妙成意識到賬戶被盜，他也采取了解除綁定銀行卡等行動，但掌握著他手機號、身份證號等諸多信息的騙子，很容易擊破許妙成的補救措施，卡里的三萬多元，陸續(xù)被騙子從支付寶、百度錢包于平臺轉走兩萬五。

在個人身份信息泄露無處不在的當下，最重要的安全閥門就是手機號碼了——但通過一條短信驗證碼，騙子很容易就拿到了許妙成的手機。正如前面所說，人們的短信通道，其實已經不再安全了。

“我們把所有的安全都寄托在一個東西（手機驗證碼）身上，”許妙成說，這是一個機制上的漏洞，非?？膳拢耙驗闆]有科技含量它才可怕，有科技含量證明他的犯罪成本非常高，而且只有極少數人才能完成，他要破解各種東西。如果它不是一個有科技含量的東西，是一個機制漏洞，那就相當于騙子會隨時鉆空子。”

“蒼蠅不叮無縫的蛋”，每一場得手的行騙、盜刷背后，都有類似的漏洞存在。馬月的銀行卡被盜刷47萬后，他當即打電話給客服掛失，同時希望銀行能夠暫停劃撥盜刷的資金，“實際上這個錢還在浦發(fā)銀行，沒有被劃走，它是在每天晚上11半的時候有一次自動結算，這個錢被劃到江西農信社，農信社再給到那個商戶，商戶把錢提走，有一個過程。如果這個時候浦發(fā)銀行發(fā)現有問題了，只要把這個錢凍結，就不會有后面的任何事情，被盜走的錢跟沒被盜走一樣”，馬月說，可是客服告訴他，負責此事的工作人員“下班了，你卡被盜就報警”。事后馬月找到浦發(fā)銀行的高層，“他們也承認自己的問題，他說我們現在這塊兒沒人管，這個時間沒人上 班。”

我們還能感到安全嗎？

跟各家金融機構溝通，讓馬月和許妙成疲憊不堪。

“這個事特別鬧心，我自己沒有任何過失，我正常刷卡，吃個飯，看個電影，商場買東西……”馬月說，當時他掛失后去派出報案，“人家都不給我立案。我去了三里屯派出所，派出所說你必須讓銀行出示證據，打印憑條證明你的錢丟了，你不能口說。對于派出所來說，立案是一個比較重要的事情。比如打架，打架這種事如果能到派出所調解就不立案了?！弊詈?，他請認識的一名警官幫忙才立案。

浦發(fā)銀行也是如此，“浦發(fā)銀行的意思就是轉哪兒跟我沒關系，你自己去查，我也查不了。感覺就是冷漠。”后來，馬月又找了媒體，找央視、找微博大V幫忙，他的投資人也在微信上聯系認識的浦發(fā)銀行高層，“所以他才找我。他（浦發(fā)銀行）的意思就是他們已經跟（江西）農信社那邊說了，要求他們在兩周之內把這個錢退回去。我說退不回來呢？他說退不回來…（我們再找）”。

許妙成也遭遇了類似經歷。一開始只有支付寶態(tài)度較好在跟進，百度錢包甚至都不相信這件事情，“態(tài)度不好，我讓他去查，就沒理我”，許妙成說，后來把事情發(fā)了微博，找一些朋友轉發(fā)并迅速引起巨大輿論關注，央視也來采訪后，百度錢包這才找到許妙成，先是通過客服，后來通過百度內部一位認識許妙成的朋友和他溝通，“過了大概有幾個小時，百度錢包說他們賠”。

最終，依靠支付寶和百度錢包，許妙成追回了一萬五千元，還有騙子購買的七千多元基金積存可以贖回外，其他損失希望渺茫。銀行和移動則態(tài)度比較堅決，許妙成打電話給銀行，“他們的態(tài)度就是您這個確實是網上詐騙，太普遍了，他們也管不了，如果警察要調查他們會積極配合警方”。

中國移動也回復本刊稱，“該案實際上是因客戶被人竊取了網廳登錄賬戶密碼在先（若客戶被人竊取了支付寶賬戶密碼也會產生同樣經濟損失），然后他自己又將換卡驗證碼發(fā)給騙子。從業(yè)務辦理流程來看是正常的。中國移動將積極配合有關部門，提供相關證據，進行后續(xù)查證?！?/p>

但中國移動顯然也意識到了網上自主激活空白卡存在的漏洞——其實，早在幾個月前，他們就意識到了這個問題?！稄V州日報》1月5日的報道中，中國移動工作人員就曾介紹了一種以退訂業(yè)務為由，誘導手機用戶換卡的新騙術，而用戶的手機號一旦被盜走，任何綁定該手機號碼的網絡賬號和銀行卡均將面臨極大風險。但這個自助服務通道一直沒有關閉，直到許妙成的案件發(fā)生 后。

4月18日后，北京移動的網上營業(yè)廳USIM卡換卡業(yè)務已進行了安全機制上的更新，用戶在網上辦理換卡時，必須先申請備用卡并選擇郵寄到家，同時輸入短信驗證碼。如果沒有申請備卡就不能辦理該業(yè)務。4月21日，本刊記者登錄移動官網查詢，發(fā)現通過網站自助激活空白卡的業(yè)務已經停辦，而通過139郵箱發(fā)送的短信，也在末尾注明了發(fā)信人的手機號碼。

電信運營商和銀行其實也在試圖解決各自業(yè)務中存在的漏洞。比如推廣4G卡，據360安全專家葛健透露，4G卡的安全性要更高一些，“4G基本上收不著偽基站的短信”。而銀行也一直在力推芯片卡，據VISA介紹，帶有芯片的信用卡和借記卡可以將盜刷風險降低近20%。

同時，公安部門對偽基站的打擊，也一再升級。據知情人士向《21世紀經濟報道》披露，“北京市有關部門已經啟動一項監(jiān)測工程，計劃投入數億元，在全北京市主干道以及重點區(qū)域部署偵碼器，這種設備的一部分功能就是偵查、識別偽基站?！蹦壳?，該項目即將進入招標階段，招標完成后，將會有10萬-20萬個偵碼器部署在北京主干道的路燈上。

中國移動信息安全管理與運行中心相關負責人葉向本刊透露，移動內部早已成立了專項工作組，全國31個省公司均建設配備了偽基站后臺監(jiān)測系統(tǒng)和現場定位設備，不斷監(jiān)控打擊使用偽基站等行為。

壞消息是，騙子的技術，也在更新換代。河南電視臺記者在盜刷團伙臥底時就發(fā)現，銀行在更新技術，推行芯片卡，但是盜刷團伙也在破解這種技術，據稱盜刷芯片卡的復制器也已經生產了出來。

4G也存在同樣問題，據葛健介紹，偽基站已經可以通過技術手段，“專門把你的4G降頻，有時候你信號不好的時候，就降了，4G降3G，3G就變成2G了。這個時候你也會容易收到偽基站的短信”。

這一場騙子與各大機構的安全攻防戰(zhàn)，結果為何，實難預料。更令人憂慮的是，曾經泄露的那些個人信息，依然在黑市流傳，誰也不清楚自己的信息是否包含其中。

馬月只得頗為無奈的建議，“如果你要是平常刷卡，趕緊再到銀行辦一張新卡“，開通網銀，把錢轉都到新卡里。日常消費用金額較少的卡，隨用隨轉。

許妙成也吸取了自己的教訓：“先保護好手機安全。不要把所有銀行都開網銀，最常用的手機號盡量不要跟銀行綁定，我明天換個號?！?/p>

這種必須自我修煉，提升安全意識的做法，讓許妙成感到非常不舒服，“安全機制不就應該是這么設定的，每個人都這么聰明要你干嗎？每個人自己能保護自己，還要你干嗎？所以我當時就在跟他們說這個事情，你不能老說用戶太笨了，用戶自己把這東西泄露了，才導致錢丟失。其實這個世界上大部分人是沒那么聰明的，你不能指望每個人都那么有安全意識，這才是你這個機制存在的原因，為什么我把錢存你銀行？那不就是覺得你安全嘛?！?