傀儡POS机、车外盗刷ETC卡 银行卡曝重大安全隐患

近日曝光了两起与银行卡盗刷有关的案件，一是“傀儡POS机”，只要你的卡在上面刷过，包括密码在内的所有信息就全部被盗取了；二是不少车主的ETC信用卡，隔着车窗都被人盗刷了……

在这个骗子太多，傻子不够用的年代，大家对诈骗行为都格外敏感，公安部门不遗余力地号召大家保护好个人信息，尤其是银行卡。年轻人可能认为，被骗钱转账那是老人家才会中的招，你也许不知道现在犯罪分子的手段，已经可以让你银行卡在手，卡里的钱却不见了——不管你是2、30岁的科技宅，还是4、50岁的大明白，都可能中招。

近日曝光了两起与银行卡盗刷有关的案件，一是“傀儡POS机”，只要你的卡在上面刷过，包括密码在内的所有信息就全部被盗取了；二是不少车主的ETC信用卡，隔着车窗都被人盗刷了，这是利用了ETC卡的小额免密支付功能漏洞。下面我们就来说说这两起安全事件……

近日，深圳警方打掉一个新型特大复制银行卡跨境盗窃、诈骗团伙，目前已抓获犯罪嫌疑人33名，涉案金额近3000万元。警方侦查中还发现，该团伙窃取银行卡信息的手法已经有了更新，他们用改装过的POS机制成“傀儡机”，冒充POS机推销维护人员，推广给全国各地商户使用，只要有人用“傀儡POS机”刷卡，银行卡磁条信息甚至密码就会直接发送给该团伙。

今年8月底，福田分局香蜜湖派出所接到某银行总行报案称，事主李某、陈某等储蓄卡用户的银行卡出现多笔异常交易，卡未离身却被盗刷，单笔最高达106．6万元。

此后，福田警方又陆续接报多起类似银行卡盗刷案件，深圳警方立即成立专案组调查，并对涉案50多名被害人的有关特征进行研判分析发现，所有银行卡都曾经在深圳某美发店有过消费记录。

警方随即对该美发店的POS机进行现场拆解，果然在这些POS机内部发现了人为改装的痕迹。与传统盗刷团伙相比，这个团伙的技术已经“升级”，这些改装后的POS机，可以自动记录事主所刷银行卡的磁条信息、密码等信息，并发送给后台的嫌疑人，测录速度快、极具隐秘性。嫌疑人无需出门就可坐收大量银行卡信息，然后复制伪卡，以此盗刷。

据统计，从今年4月25日该美发店安装“傀儡POS机”起，已累计发送信息1711条，盗刷消费者银行卡100多张。美发店老板称，店内的POS机是之前一个自称为“第三方支付平台”的人员来店里推销的，因其手续费低、利润返点等优惠被店里采用。

“安网10号”专案收网行动中，专案组分赴天津、福建厦门、湖南邵阳、广西桂林、广东揭阳、深圳布吉等地，抓获以沈某某为核心人物的犯罪嫌疑人33名，现场缴获赃车1辆、各类POS机87台（其中改装机8台）、银行卡204张、白卡76张。

警方介绍，该案中，嫌疑人冒充POS机推销维护人员，将商户已审核的正常使用POS机以信号差需要维修的名义取走，在不破坏POS机授权信息的前提下，拆解POS机，植入一整套“拷贝装置”，而后将改装好的“傀儡机”投入使用，坐收被盗取的银行卡信息。

团伙中，核心成员俗称“料主”，操控“傀儡POS机”布局、被盗银行卡数据等关键信息；另外还有“技术员”负责破解POS机授权、制成“傀儡机”；“采料员”以假身份混入第三方支付平台做销售员，将正常POS机以低廉手续费为诱饵推广至各地商户安装使用；“出料人”则制作伪卡用POS机盗刷转账；“卡手”则负责在全国各地银行网点套现。

办案民警告诉记者，嫌疑人中，只有核心成员沈某某是学会计出身，其他成员都只有高中学历，但通过互联网，他们就可以进行线上勾结、策划甚至经验传授。也因此，他们根本不需要见面就可以根据各自分工完成整个作案流程，甚至在A地“窃取”银行卡磁条、在B地制作“伪卡”、在C地盗刷。

目前，该团伙只能针对纯粹的磁条卡进行复制盗刷，相比之下，芯片卡安全性相对较高。有意思的是，该团伙窃取到磁条信息后，并不立即制卡盗刷，而是“囤货”后集中盗刷，猝不及防。仅8月31日凌晨短短几个小时内，该团伙就集中盗刷200余万元。

另一个案例则会让很多汽车车主起鸡皮疙瘩。一名陌生男子从你的车窗前走过，他轻轻挥一挥衣袖，没带走一片云彩，却带走了你银行卡里的几百块钱。讲这个开头不是说笑，网络上流传一段视频，让这种情况成为可能。

现在许多车主都会选择使用ETC信用卡，此类信用卡最大的优点是让车主在通过高速路收费站时能走ETC快速通道，自动扣取路费，无需人工操作，省时省力。此外使用该卡还能享受刷卡、加油等多重优惠。一般银行都默认为ETC信用卡开通200元或300元的免密支付功能，而日前网上曝光的一段小视频显示，似乎有人利用这一普遍现象从中获取非法利益。

如果不是目睹全过程，你或许压根就不知道这100元是怎么少的，又是被谁给盗取的。值得一提的是，视频中男子手持的这部POS机申办和取款的相关细节并不清楚，所以不确定其余POS机是否也可以进行同样操作。

对此，中国银联已连夜就此进行了回应。银联专家表示：我们注意到最近网上流传的相关视频，有不法分子利用POS机盗用车主ETC银行联名卡内的账户资金。在此，我们提醒持有加载金融功能ETC卡的持卡人，注意保管好自己的银行卡片。对于这类长期离身的卡片，持卡人可以给发卡机构打电话，关闭ETC以外的功能。

银联专家还表示：视频案例中不法分子利用了银联卡小额免密的功能，在特定场景下实施不法行为。这种行为涉嫌刑事犯罪，视频中POS机具的使用也违反了《银行卡收单业务管理办法》中的相关规定，或将面临行政及刑事处罚。

据某市高速集团内部人士表示：“这是发生在某些推出了ETC银行联名卡的省市。”相关工作人员告诉记者，使用这种卡的省市，车辆上OBU设备里是直接插入银行卡的，如果刚好这张银行卡开通了小额免密码支付功能，确实是可以盗刷的。

这意味着只有同时具备“ETC银行联名卡”和“小额免密支付功能”才能实现视频中的盗刷。

四川省高速公路结算中心副主任龚文安表示，“我可以很肯定地说，四川的ETC卡不存在盗刷的问题。”

他解释，四川ETC卡系统采用的双卡模式，就是说，安放在汽车上的那张ETC卡，本身并不具有金融支付功能；当用户从高速公路经过、产生了通行费后，ETC卡上的相关数据传回高速结算中心，经结算后，数据再传达到银行，由银行从和ETC卡绑定的信用卡上扣款支付。这也是用户绑定ETC信用卡的扣款时间，要比实际通行时间晚的原因。

据了解，部分外省采用的是单卡模式，既安放在汽车上的卡，即有ETC功能，也有金融支付功能，可能存在金融盗刷风险。龚文安表示，这类卡即使被盗刷，因非ETC使用，数据也不会传到高速结算中心，建议此类卡的车主将这张卡随身携带。

第一时间联系发卡行！

小额免密免签服务是中国银联联合各成员机构，为满足持卡人和商户快速支付业务需求而推出的创新服务。在使用小额免密免签服务时，持卡人只需要把具有“闪付”功能的金融IC卡，靠近POS机等受理终端的“闪付”感应区“挥卡”，就可以完成支付。整个支付过程中，如果交易金额在300元以下，持卡人无须输入密码和签名，各家银行还对这项业务配置了不同的单日交易额上限。这项服务在为持卡人提供支付便利的同时，也通过优质商户白名单、交易限额、交易监控等一系列保障措施，来保证持卡人的用卡安全。中国银联提醒：中国银联已联合各商业银行为持卡人提供了小额免密免签专项风险保障服务。持卡人一旦发现异常的免密免签交易，可以第一时间联系发卡银行申请补偿。因双免交易产生的否认交易，都可以得到赔付。

此外，金融POS机具具有严格的管理要求，商户POS机具申领和小额免密免签业务开通需要满足一系列条件，以确保商户业务合规和终端管理规范，通过审批后加入白名单才可开通，并不是随随便便就可以开通的。如果真有人想通过这个方式作案，现在所有POS对应的收款账户都是实名账户，想把钱提走，银行应该很快就能追踪到。另外，双免交易一般要求机器和IC卡距离在3到4厘米以内才行，超过这个距离无法进行交易。所以，车里的ETC银行联名卡，在停车后最好拔下来，这样会更安全。

面对这一波又一波深深的套路，小编表示已经不敢轻易刷卡消费了，特别是在小店里，说不定就刷到一台傀儡POS机呢。而这种高中水平就能做出的犯罪工具，为什么能轻易搞定我们高大上的银行卡？既然磁条卡已经屡屡成为犯罪分子目标，更安全芯片卡为何迟迟不能普及？

还有ETC卡，小编去年才办了一张某行的ETC联名信用卡，签合同的时候确实是有小额免密这一项，为的是过高速时扣费方便，但为毛办卡时就没有选择关闭除ETC外消费功能的选项，而要事后再去银行开通服务？这不是摆明给犯罪分子留了漏洞吗……欢迎大家一起讨论。