「锦州网警巡查执法」银行卡里的钱不翼而飞？盗刷的实现与预防

只有经历过地狱般的磨砺，才能练就创造天堂的力量；只有流过血的手指，才能弹出世间的绝响。
——泰戈尔
01
身份证、银行卡明明在身上，没有点击链接也没有扫描二维码，更没有透露验证码，却莫名其妙地收到了刷卡消费短信通知，银行卡里的钱在千里之外被消费。
一觉醒来钱没了，这是怎么回事？

本文插图
你可能被盗刷了。
几年前， POS机刚刚兴起的时候，曾经有一些盗刷团伙，他们在ATM机上加装侧录器读取银行卡的信息，或者应聘为收银台服务员偷偷读取消费者的银行卡信息，在密码键盘上方安装针孔摄像头记录密码。

本文插图
犯罪分子将侧录器和摄像头取回去后利用白卡（就是还没有写入用户信息的空白卡）复制银行卡，然后到外地取款。这是最原始的盗刷行为。
后来由于摄像头和人脸识别技术的普及，这种盗刷行为越来越容易被抓，慢慢绝迹了。
但是更为高级的利用移动支付的盗刷犯罪却异军突起了。
这是一个极其隐秘的犯罪手段，从事这种犯罪的群体网络技术水平已经达到一定程度，风险意识极强，非常善于隐藏。
因此这类案子比电信诈骗破案率还低。
但是它却真实存在。
今天我们就来揭开它的神秘面纱。
02
前面的文章中，我曾经提到过个人信息泄露的问题。
有网友私信问我，个人信息泄露会对自己带来什么危害。相信这也是大家都关心的问题。
被盗刷就是其中可能造成的危害之一。
【「锦州网警巡查执法」银行卡里的钱不翼而飞？盗刷的实现与预防】最危险的个人信息泄露是“四大件” ，这也是实现盗刷的基本条件。
何为“四大件”？指的是银行卡（信用卡）对应的身份证号、账号、密码、绑定手机号信息。
更多的时候，他们称之为“料” 。
“料”怎么来的？
有人偷，有人卖，有人买。很多时候是我们自己主动在钓鱼网站填写的。
这里不再赘述，详见前期文章我们的哪些行为会导致个人信息泄露而被诈骗，这个锅实名制要背和【深度】为什么陌生人发来的链接不能点。
他们最喜欢的“料”是“菠菜料” ， “菠菜”者，博彩也，指的是博彩平台爆出来的“四大件”信息。
这是因为“菠菜料”余额多，也就是肥。
另外，博彩平台大多本身是非法网站，数据被偷了也不会报警。
因此也滋生了一批专门攻击博彩平台网站的黑客。
还有一种就是拦截料，就是已经在受害者手机中安装了木马，可以拦截到验证码的“料” 。
在盗刷这行里， “料”是非常紧俏的商品。
自己没有技术拿到“料”的，只有从别的“料主”手里买“料” 。
这买卖的过程中充满了尔虞我诈。
买料的人骗“料” ，试“料”不付钱；“料主”收钱不给“料” ，骗与被骗的故事每天都在上演。
直到有的人嗅到了其中的商机，开发出了“料站” ，就是像淘宝一样的电商平台，保障双方的交易安全，从中收取手续费。
网址我就不告诉大家了。
03
有了“料”之后，有的人还会“试料” ，就是查询银行卡中的余额有多少。
这样就能更好地有计划地实施盗刷了。
这些“试料”的人我也不知道是些什么人，但是应该是内部人员，势必掌握了一些资源，才能查询到银行卡的余额。
把这些银行卡里的钱盗刷出来，称之为“洗料” 。
刷卡消费购买虚拟产品、消费券、实物等，再转手卖掉，钱就到了自己口袋里。分页标题
“料”是通过“通道”来洗的， “通道”就是支付平台。
我们通常将微信、支付宝支付通道称之为第三方支付。
盗刷的通道大多属于第四方支付，即聚合了第三方支付、银行等多个支付渠道接口,所以也叫做聚合支付。
很多第四方支付是非法的，是通过大量注册商户或个人账户非法搭建的支付通道。
也有通过第三方支付盗刷的，但是相对较少，因为这些平台安全系数比较高，盗刷的成功率低。
掌握这些通道的人并不多，类似于网站的漏洞。
有的“料主”没有通道，有的人有通道却没有“料” 。
于是他们会通过社交平台（通常是QQ）联系，相互合作，共同洗料。
洗料的收益按比例分成，四六、五五都有可能。

本文插图
04
通道有不同，有的需要验证码，只能洗拦截料，也就是能拦截银行验证码的料。
有的则不需要验证码，这种只能小额免密支付，蚂蚁搬家式一笔笔小额地刷。
但是同样会把你卡里的余额刷光。这就是第二天早上突然收到很多条消费短信的原因。

本文插图
张女士的卡在境外被消费17万元
有验证码的话可以刷大额，只要你没有限定消费，可以一次给你刷完。
盗刷一般都是下半夜趁银行卡的主人睡着了之后进行，这样卡主手机收到短信之后通常不会看到，无法第一时间止损。
为了安全起见，有的人只洗“外料” ，即国外的银行卡。
这还需要用到代理IP欺骗。
因为现在的支付平台都有风控系统，如果一张卡刚刚在美国消费，接着又在中国消费，必然要触发风控，导致交易失败。
当然风控不可能这么简单，还有其他触发情况，都可能导致交易失败。
因此，通道都是不停地测试风控规则发现的漏洞。
漏洞也可能很快就会被修补好，需要寻找新的通道。
现在更新出了新的诈骗手段，骗子会欺骗你将验证码告诉他，白天也可以进行盗刷。
比如在网购退款诈骗中，骗子诱导你到网站填写退款信息，包括姓名、身份证号码、银行卡、密码、手机号，最后就是手机收到的验证码。

本文插图
很多人没有细看收到的短信，直接将验证码填进去。盗刷者则把你的验证码填进他盗刷的平台。
收到消费短信后，你才追悔莫及，钱已经被他刷走了。
其实我们只要仔细看一下收到的验证码的短信，上面会清楚地告诉我们正在进行消费或者是转账，而不是收款。
相信大家都能看得懂，再说收款要你银行卡号就行了，还要密码和验证码干嘛！

本文插图
就在这匆匆一瞥中少看了一眼，就被划走了几万块。
05
我们在上网的过程中，一定要记得保护好自己的隐私，特别是银行卡密码和验证码。
我们收钱的时候是不需要填银行卡密码的。
而付款时候的验证码一定要看清楚，不是信得过的平台不要填写。
银行卡密码不要使用自己的生日、女友的生日，很容易被猜出来。
银行卡密码不要与自己网络上的其他登录密码一样，因为我们的登录密码早已经泄露了。
密码要经常更换，可以有效防止被盗刷。
最重要的是，不要轻易点击外来链接，防止中木马。
千万不要过分相信杀毒软件。
看到这篇文章的朋友请转发出去，让大家共同提升防范意识，保护自己的血汗钱。分页标题