我有個朋友，儲蓄卡被盜刷了47萬元

按：本文來自“歪理邪說”，作者霍炬，雷鋒網已獲授權。

3月20號那天，我有個朋友從三亞坐飛機回北京。落地北京之后在從機場回家的路上收到兩條POS機刷卡短信，刷卡地是江西上饒，總共47萬元。但此時他的卡就在自己手里。這是一張儲蓄卡而不是信用卡，平時這張卡的使用率并不高，密碼也沒泄漏過。他收到短信之后立刻給銀行打電話，當時是周日晚上，被銀行告知要周一上班才能處理。到了周一，他才去銀行打出各種證明，之后去報了案。

當人們說起“我有一個朋友”如何如何的時候，按照互聯網文化潛規則，通常就是說他自己。但這次真不是這樣。

這個朋友名字叫馬月。如果你還記得那個因為美女多而出名的“美空網”，那么你就知道了他。馬月是美空網的創始人，我們認識了很多年，從他剛剛做美空網的時候就認識了。我經常會下決心想在這個公眾號上寫一些比較傳奇的朋友故事，每次都把他的故事列在寫作計劃里面。但因為拖延癥始終沒有真正動手，想不到他是以一樁被盜刷案件的受害者的身份出現在了我的文章中…

我決定把這個事情寫下來，因為它的情節實在太詭異了。比如當馬月收到盜刷短信的時候，立刻打電話給銀行，但銀行告訴他“我們已經下班了，你周一再打來…” 這種情況在你沒經歷過的時候是難以置信的，這種難以置信的狀況，恰恰是盜竊方能夠得手的原因。盜竊者對整個社會和系統的了解應該遠遠超過我們普通人，我們怎么辦？沒辦法，只能盡量多知道一些詭異的事情。

如前所述，這件事的經過并不復雜。但這件看起來不復雜的事情里面，幾乎每個環節都值得討論。

首先是卡在他手里，那么應該是卡被復制了。但是在什么時候卡被復制的呢？馬月說最近用這張卡是在三亞的某個酒店刷了押金。酒店名字我就不寫了，是一家非常豪華，口碑也非常好的酒店。確實有一些新聞報道過有犯罪團伙冒充酒店工作人員去獲取客人銀行卡信息，用來盜刷。但如果在豪華酒店前臺正常刷卡都會導致連卡帶密碼都被復制走了，那對于普通人可以說是沒法防范的。唯一能選擇的就是再也不刷卡了。當然，我們沒有證據可以說一定就是這一次刷卡出的問題，也許是上一次，或者上上一次。做為普通用戶，我們基本是沒辦法去求證和調查到底什么環節出了問題。一個普通用戶，正常消費，正常刷卡，這是合理的用法，怎么也不能算是他的錯。

其次，就算是卡和密碼都被非法復制了。但持卡人拿著卡，給銀行打電話要求凍結款項，竟然會被告知下班了，沒法處理。要知道，通過POS機刷卡并不是實時結算的，刷卡發生的時候，錢并沒轉到盜竊方的帳號，更不可能立刻提款出去。如果當即可以凍結這筆交易，本來是可以避免損失的。很遺憾，銀行下班，但盜竊者不下班。等到周一，他終于完成了立案，在警察的幫助下查到了對方的銀行，那時候錢不僅早已到帳，而且已經被提現取走了。

如果這件事沒發生在自己身上，恐怕很難相信這么大額的錢被盜，銀行可以以下班為理由什么都不做。我不知道這算行業潛規則還是什么規則，但很顯然，比起我們這些正常的銀行用戶，盜竊者更熟悉這些規則，并且很好的利用了它。如果你曾經試過從銀行提取過大額款項，應該會知道提走幾十萬現金并不是那么容易，至少是需要提取預約?？紤]到反洗錢法的衍生出來的各種制度和規則，就算預約了，很多銀行也未必會讓你一次提走47萬現金。但在這個案例里面，在極短的時間內，對方輕而易舉提走了大額現金。不知道他們是如何做到的，我估計這里面應該還是會有一些普通人不知道的規則存在吧。

再次，POS機能刷走這么大筆錢，難道沒有限額嗎？很遺憾，默認是沒有的。我跟好幾個人講這件事的的時候，大家和我的反映是一樣的，都會問“難道沒有限額嗎？”，之后大家分別打電話和自己的銀行查詢，大多數人得到的結果是，默認沒有限額，帳號上有多少錢，就可以刷多大筆。有一些銀行確實有默認限額，但也是幾十萬或者上百萬這樣比較大的限額。當然，銀行應該是給某些POS機設置了限額，也就是說，你可能遇到過在某些POS機上刷不了太多的錢，但這個限額并不是你自己銀行帳號的限制。換一個高權限的POS機，就能刷掉了。這跟我們平時的印象是截然不同的。這仍然是對規則的理解和使用，就算是我們這些熟悉互聯網的科技行業從業者，仍然有太多我們不了解的規則存在。比如很多銀行對于POS機刷卡沒有默認限額，這也是經過這件事我才學習到的知識。

整個事情中有一點點值得慶幸的是，做為科技行業從業者，馬月熟知某最大中文搜索引擎的糟糕。他沒通過搜索引擎去搜銀行客服電話，而是按照卡背面的客服電話打給的銀行。否則很大可能性他會搜出來一個騙子電話，繼續掉進另外一個電話詐騙陷阱里面，最后其他卡上的錢也保不住…這個世界實在是太危險了。

我想了好幾天這件事，我們到底能做什么？按道理說，這些責任本來不應該我們承擔，但是從這個案例可以看出來了，太多我們不知道的奇怪規則存在，如果不做一些準備，很難保證自己不會碰到這種事。一旦錢丟了，想找回來就難了。所以那怕平時麻煩一些，還是應該盡量去做點什么規避一些風險。

我寫過不少和安全有關的文章。當然，我并不是安全專家，按照我朋友中真正的安全專家的看法干脆是”無論怎么樣你也不可能有什么安全的”。我也同意這個看法，但是對于普通人，我們更多時候追求的并不是絕對的安全，而是讓這種倒霉的事情不容易落在自己頭上。在社會這個叢林中，有一個著名的笑話真實又殘酷：“跟比你胖跑得比你慢的朋友一起去打獵是安全的，當熊沖過來的時候你不用跑的比熊快，只要跑的比你的朋友快就可以了”。

我最后還是總結出了幾個辦法。也算不上是安全建議，就算是提個醒吧。

網銀、打電話或者親自去銀行，查清你帳號捆綁的所有付款權限。不需要的，如果能關閉就關閉，不能關閉也至少設置限額。

一兩張卡作為防火墻卡：平時ATM取款、刷卡消費、關聯各種支付服務 都只使用防火墻卡?？ㄉ暇土魩浊K（或者一個你認為可以承受的損失額度）。使用時，往防火墻卡上轉錢。而你大部分的錢，放在一張或幾張專用卡上。這類存錢卡，永遠不要在任何地方使用它（包括取款、消費），也不要帶在身上，帳號也根本不要讓別人知道（用新開的帳號）。最好就是除了你和開卡行，根本沒有人知道這些卡的存在。

暫時不用的錢一定要變成定期存款/通知存款等等，它們收益怎么樣無所謂，但至少能保證難以被直接轉賬或消費。當然，考慮到馬月這個案例，如果真是酒店導致的信息泄漏，那對方是很容易弄到你身份證復印件的，恐怕定期存款也擋不住…

多用信用卡，不到萬不得已不要用儲蓄卡刷卡，而且應該盡量常用額度低、透支額度小的信用卡。這樣就算最被盜，損失也能小一點。最好每次用完都在信用卡的App上即時鎖卡。消費前再解鎖（可能不是所有銀行app都有這個功能）。

如果你還在用磁條卡，去找銀行換芯片卡吧，磁條的復制太容易了。但就算是芯片卡，上面同樣有磁條，刷卡的時候你也未必能保證壞人不去動你的磁條，還是得自己多留意一點…不過終究會比純磁條卡好一點，芯片和NFC都比磁條安全的多。

我之前還寫過幾篇文章，討論關于科技帶來的社會行為模式改變。這也算是其中一種，在使用紙存折的時代，只要存折在你手里，錢就不會丟。在這個時代已經不是了，卡在你手里，人在北京，錢就從江西被人拿走了。我總覺得，科技發展的速度遠遠超過社會整體認知，所以很多制度和規則是跟不上科技發展的。但很糟糕的是，犯罪分子們的認知水平很高，不僅高過普通人，甚至很可能高過相關行業的從業者。

我在前同事群里面講了這件事，大家也都挺震驚的。一群搞技術的人分析來分析去，還講了各種盜刷之后利用網游和點卡洗錢的案例，最后得出一個結論：“沒錢最安全”。

鑒于上次被某最大中文搜索引擎投訴刪掉一篇文章的經驗，我決定再也不寫品牌和公司名稱了，以免遭到所謂侵犯商譽的投訴。不過馬月把下面的報案回執和銀行單據都貼到了朋友圈里面，說可以公開，所以想知道是什么銀行？看圖。

以上圖片均來自馬月朋友圈。

我比較拖延，所以拖了10天，到今天才寫了這篇文章，昨天我又問過馬月下這件事目前處理狀態。說是銀行成立了一個小組處理他這個案子，但最終怎么處理，到目前還沒有確定的結論。

順便問一聲，遇到這種事的話，在非工作時間，有沒有銀行仍然能提供及時的處理和協助嗎，比如立刻凍結交易之類的？我也很想知道這個答案。

參考備注：

標題圖：Image used under Standard license from Shutterstock.com （這張圖是我們付費購買的，轉載也可直接使用，不用換掉它）

其余照片均來自馬月朋友圈。

我還寫過一篇和這個話題有點關系的文章《你正在為互聯網上的“免費”付出什么？》

以及為什么說馬月沒有使用最大的中文搜索引擎搜客服電話是非常正確的？

注：以上文章都可以進入“歪理邪說”進行查看（點擊鏈接可看）

編者注：關于這起盜刷事件，雷鋒網邀請了資深安全人士來分析，更多內容可持續關注。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。