本文首發於雷鋒網，轉載請自行聯絡雷鋒網

事件回顧：

之前，雷鋒網專欄發了篇霍炬文章《我有個朋友，儲蓄卡被盜刷了47萬元》，講述了霍炬朋友馬月的儲蓄卡被盜刷47萬的事情，這裡簡單列出幾個要點，詳細內容可以看霍炬文章，這裡不做贅述。

事件要點如下：

1、馬月從三亞回北京後收到兩條POS機刷卡簡訊，是江西上饒，共47萬；

2、儲蓄卡還在馬月手裡，卡應該是被複制了；

3、馬月立即打電話給銀行被告知下班了不能處理，得等週一（沒能及時凍結這筆交易）；

4、POS機刷走這麼大筆錢，難道沒有限額嗎？

補充：POS機刷卡不是實時結算，刷卡發生的時候，錢並沒轉到盜竊方的帳號，如果可以及時凍結這筆交易，本可避免損失。

事件分析：

說實話一開始看到這個事件的時候，我是完全沒有頭緒的。為什麼呢？因為可能性實在太多了，和大家想象裡銀行都應該是荷槍實彈戒備森嚴的情況不同，整個銀行卡的支付環節，其實存在的問題太多了。我們先來看一下整個事件的涉及環節。

首先看盜卡過程，盜卡過程並不是很清楚，最可能的情況是之前在入住酒店的時候銀行資訊洩露了，整個過程中的環節包括：

儲蓄卡->酒店前臺人員->酒店POS機->收單行->髮卡行

收單行是指向酒店提供POS機的銀行或者機構（比如銀聯），目前我們不清楚這個過程中的收單行是誰。

上述環節全部可能出問題：

1、酒店前臺人員可能快速記下了銀行卡號並偷窺了六位數字密碼

2、酒店POS機存在安全漏洞或者被替換了，會自動記錄銀行卡資訊和密碼

3、收單行或者通訊鏈路存在安全漏洞，卡號和密碼在傳輸過程中被盜取

4、髮卡行有內鬼，複製了使用者的銀行卡並且盜取了密碼

實際上還存在其他的可能性，因為銀行卡和密碼的丟失很可能並不是上一次消費的結果（時間太短，不夠盜刷集團做所有準備的），之前的某次不經意的操作的可能性更大，雖然受害者一直說沒有洩露過銀行卡的密碼，但是我的理解應該是“沒有主動洩露過”，如果在手機上操作過網銀、使用過ATM機、或者使用的密碼是跟自己的資訊相關的，都有可能導致密碼被盜。

我們再來看一下盜刷的過程，同樣，盜刷也分為：

偽造的卡->商戶收銀->商戶POS機->收單行->髮卡行。

所有的這些環節都要出問題，盜刷才會成功，那麼這些環節是為什麼而出的問題呢？我們也來試著分析一下：

1、首先，為什麼有了銀行卡號就可以偽造一張一模一樣的呢？

這是因為目前我國的大部分銀行卡都採用磁條卡，卡片的資訊相當於是明文寫在磁條裡的，並沒有做什麼加密的措施，所以只需要有一臺制卡裝置，就能夠複製。這幾年國家開始大力推廣晶片卡，晶片卡的安全級別比磁條卡高很多，也不太容易被複制，但是為了相容過去的舊裝置，所有的晶片卡都支援磁條，這就意味著除非你在支援晶片卡的POS機上使用，而且卡片沒有離手，否則晶片卡一樣可以被複制磁條。

2、其次，商戶為什麼不去檢查偽造的卡？

理論上來說商戶有檢查銀行卡真偽的義務，然而實際操作中，由於商戶的人員不具備專業知識，也沒有訪問銀行資料庫的許可權，同時，商戶沒有動力這樣去做（影響使用者體驗），銀行之間在收單POS機上競爭激烈，也不敢強迫商戶這麼去做，所以商戶基本不會去檢查銀行卡的合法性，而是預設你有密碼那就是合法使用者。相對來說，在歐美進行大額消費時，商戶往往會問客戶要帶有照片的身份證明，以確保不是盜刷。

3、那收單行能不能凍結該筆交易呢？

這要看實際情況，我們假設這個商戶是完全合法的，比如是銷售珠寶或者貴重物品的商店，那麼收單行因為銀行卡是偽造的就凍結或者取消該筆支付也是理由不充分的，由於商戶是否有義務和能力去檢查銀行卡的真偽這個問題的不確定性，使得讓商戶承擔盜刷的損失這件事情沒有那麼理直氣壯。

當然實際上很多做類似事情的商戶就是非法的或者灰色的，甚至存在幫助使用者進行信用卡取現的商戶，但是要證明這些商戶違法，也是非常巨大的工作量，而重新申請一臺POS機，則容易得多，而且收單行沒有動力去幫助髮卡行做這個操作（損害自己的客戶去保護其他競爭對手的客戶），就像前面說的，POS機競爭太大，銀行不會去做這樣的事情。

4、那麼收單行/髮卡行為什麼不限制刷卡的上限？

首先，儲蓄卡不是信用卡，髮卡行是不能設限的（理論上你有多少錢就可以刷多少錢，不然使用者也不幹），除非使用者自己在賬戶裡設定了相應的限額，而收單行，則是根據商戶的信用（實際上是根據很容易假造的交易流水）來確定商戶POS機的限額。

比如一個賣豪華手錶的商戶，收單行要是設限額單筆3萬，商戶也沒法玩，因此，如果盜卡者去一個信用較高的商戶進行刷卡操作，確實很容易把幾十萬現金刷走，換句話說，就算有POS機限額，其實也不過是讓盜刷者稍微麻煩了一點，因為多刷幾個POS機一樣可以把所有錢盜空。

5、髮卡行為什麼沒有及時阻止？

根據我對銀行流程的瞭解，當用戶舉報銀行卡被大額盜刷後，銀行方面的相關人員會立即行動，進行止損，包括且不僅限於：凍結銀行卡且把該卡號列入黑名單，提取相關證據，通知相關的其他單位進行資金追查等等。

本次事件中，為什麼銀行服務中心的人員會說：“下班了，沒辦法處理？”

個人認為這是由於呼叫中心的管理或者培訓不到位導致的。銀行的呼叫中心人員流動性大，管理困難，承擔的業務範圍廣，需要靠內部的FAQ文件和培訓來保障服務質量，比較容易出現呼叫中心人員不熟悉業務或者理解錯誤的情況，筆者就遇到過好幾次呼叫中心人員還不如筆者自己熟悉業務的情況。雖然反過來說，按照之前的分析，髮卡行不一定能及時阻止該筆消費或者追回款項，但是給受害者一個“下班了不能處理”的答覆肯定是錯誤的，盜刷控制的相關工作人員肯定是24小時工作的。

一些“現實”點的建議：你有三次機會減小損失

這麼多銀行卡被盜刷，到底哪家是相對安全的呢？判斷“安全”的關鍵點有哪些呢？

其實這裡就要看各家銀行對安全的投入了，比如你看哪個銀行有src（安全應急響應中心），就能說明這個銀行對安全的重視程度。一般大的銀行都有，這裡也分業務安全和整體安全（這裡水太深，不展開），一般越大的銀行實力越強，安全性也越高，比如五大銀行（工中建農郵）和十二家股份。

不過這裡面常常會有誤區：你覺得工行口碑差服務不好，所以安全性不高，招行常被曝盜刷不賠付就是不安全。但是，這裡還是要強調下：曝光了不一定就差，不曝光不一定就好（嗯，正確的廢話），因為比如你被盜了我就賠，那麼就不會曝光，前面是安全問題，後面則是公關的應急態度。

（編者注：銀行的水很深不方便展開，儘管看起來是廢話但還是要說，這裡想給大家傳達的訊號是：你認為不安全的並非就真的是“不安全”，有時候我們從基本認知上就不對，比如小編和大部分人一樣覺得工行是最不安全的，但是誰知道呢，宇宙行在知曉內部流程的安全人士看來或許就是比較安全的呢！作為普通人，其實是沒有辦法從業務流程和銀行的制度上去判斷安全性，我們只能提高警惕，看好下面的三次機會，減小損失。）

網上已經有一些分析關於“銀行有三次機會阻止這次盜刷”，作為個人使用者，其實我們是無力改變銀行的行為的，那麼我還是來談談“個人有三次機會減小自己的損失”，可能對於各位讀者會更加現實一些：

一、銀行的業務和系統中，按照以下的順序安全性依次提高：

網路第三方支付（例如微信支付）< 網銀 < ATM < 櫃面的活期業務 < 櫃面的定期業務。

作為個人使用者，應該有多個賬號，並按照安全級別不同決定存放在裡面的金額數量。例如，我一般在開通了第三方支付的銀行卡里只存放低於￥1000。00人民幣的現金，然後在開通了網銀的賬號裡存放低於￥10000。00人民幣的現金，依次類推，大額現金以定期存款的方式放在未開通任何非櫃面交易的銀行賬號裡。而出門在外的時候，儘可能使用信用卡（因為信用卡的風險控制體系相對儲蓄卡更加成熟），出國旅遊去高危地區的時候臨時申請一張低限額的信用卡，回國後更換掉。平時使用銀行卡時注意：卡不要離身（不要為了少跑幾步讓服務員幫你刷卡），有可能的話把卡上的三位CVV碼貼住，使用POS機或者ATM的時候注意機器表面是否有異常並注意遮擋密碼輸入。

二、發現異常時及時與銀行溝通，遇到溝通問題的時候可以要求和對方的領導直接溝通。

這樣可以避免基層員工誤解規則或者許可權不足導致的處理不當，自己注意儲存相關的資訊作為後續交涉的證據（錄音、交易記錄、自己的旅行記錄等等）

三、選擇銀行的時候不要貪圖禮物或者利息優惠，而是要選擇口碑好，願意承擔責任的銀行。

這樣萬一發生損失，後期可以跟銀行有理有利有節地溝通責任承擔，口碑好愛惜羽毛的銀行往往更容易選擇承擔這個損失而不是讓受害者背鍋。要知道，未來小的地方商行破產也是可以預期的事情，到時候可不是幾十萬的風險了。