在广州,有四位某银行的储户尽管从未丢过银行卡,但他们在同一天、同一台ATM取款机上取款后,于同一天在珠宝店被盗刷九十余万元。这样让人心惊的失窃案已反复在各大城市上演。日前,广州市公安局甚至通过手机短信群发给广州市民,提醒人们在ATM机上刷卡要小心防范。专家认为,这样的案例频发,首先和国内银行卡太易复制有关。国内银行卡均是磁条卡,而非更安全的IC卡。其次,和银行后台对账户管理不够严密也有关系,使“克隆卡”蒙混过关。还与ATM机等银行产品安全监测不够完善有关。
背景
没用银行卡钱却被盗刷
ATM机,几乎让地铁维修工邓先生接近破产。9月16日早晨,邓先生某银行的银行卡在几个小时内被盗刷了35万多元,他几乎已身无分文。
在接下来的几天里,邓先生陆续认识了三位和他同病相怜的人,他们都在同一天、在同一台银行ATM机上取钱后银行卡被盗刷,四位受害者合计被盗刷90多万元。
事后,记者随邓先生又来到这台ATM机所在的银行。发现机身周围看不到任何安全提示,来往的顾客依旧毫无遮掩地输着密码取钱。
目前,四位受害者已联合委托了“许霆案”中许霆的辩护律师杨振平、吴义春起诉涉事银行,希望得到赔偿。
杨振平律师在接受记者采访时介绍,在近一个月内,他已经接到广州、深圳两地共9起有关ATM盗刷案的委托了,“问题已经非常严重了”。
广东省公安厅网站的“警方提醒” 栏目显示,“利用ATM盗取账户信息诈骗”已赫然被列为头号新型诈骗,在另一条信息里,警方一口气列出了9种利用ATM犯罪的手段。
邓先生至今无法理解,为什么卡明明在自己身上,钱却被盗刷一空?这也是几位受害者共同的疑惑。
"克隆银行卡太简单"
对邓先生等受害者的困惑,中国银行卡检测中心总经理田朝阳博士向记者作了详细分析。
她认为:“可能是在ATM机上刷卡的过程中被犯罪分子盗取了信息,克隆出你的银行卡。克隆一张卡太简单了。”她介绍,现在中国的银行卡大多为磁条卡,克隆很容易,其安全性要靠银行整个后台环境来保障。“如果只拿到密码和账号,克隆一张卡就可以取钱,那么银行的后台核对体系就有问题。”杨振平律师认为。
这个案子的一个特点在于,几位受害者都在同一个时段在同一个ATM机上使用过银行卡后出事。“按推理,信息肯定是在ATM机上被盗取的。”杨振平律师断定,“银行没有管好自己的设备,结果被人家做了手脚都没发现,这也是管理上的问题。”
这一案件的涉事银行某银行广东省分行相关负责人表示,“谁能保证客户不是贼喊抓贼,以此诈取银行的钱财?谁能排除不是储户自己不小心泄露了密码信息?”
对于银行方这种解释,杨振平律师认为,只要银行拿不出十足的证据来证明储户是主动公开自己的信息的,这样的说法就不成立。而且他认为银行把责任完全归咎于储户很不负责任。杨振平认为,银行应该负全责。
自动取款机安全检测不完善
银行卡检测中心总经理田朝阳还认为,ATM机这些自助设备发生的问题是最多的。
她介绍,国内已经明确的ATM机检测认证主要由两部分构成:一是国家质检总局牵头实施的3C认证,未经3C认证的禁止销售。二是公安部牵头实施的ATM机安全认证,主要侧重于保险柜的安全性能等。但是涉及到ATM机银行卡业务处理和信息技术方面的安全性检测国内没有开展,这往往是ATM机等自助设备最容易给高技术犯罪产生漏洞的环节。
由于没有完整的安全检测认证,各家商业银行在ATM机招标采购时的要求也各不相同,ATM产品的安全性良莠不齐,厂商也无所适从。
而田朝阳认为,问题的根本在于,没有一个有力的监管主体站出来抓这个事情,“这件事要靠全社会,包括行业主管单位、商业银行一起来推动”。
更换新式银行卡成本惊人
央行副行长苏宁在2007年视察银行卡检测中心的安全检测实验室后,曾问过田朝阳,按现在高安全的要求、水平,产品成本要提高多少?
田朝阳没有把具体的成本数据告诉记者,但她给记者举了个例子:“目前IC卡的安全性比磁条卡要高很多,但是要把中国所有的磁条卡都换成IC卡,在短期内不太可能,成本太高了。因为你如果用IC卡,那现在这个POS机、ATM机,全部要换或者升级,包括后台系统也要改造,包括卡也要换,IC卡的成本比较高,总成本会非常惊人。”
按照她的看法,要在目前的条件上解决银行卡安全性问题,应该从三个方面入手:其一,监管的主体要明确,并提出行之有效的措施;其二,要制定相关标准;其三,对产品本身的安全要求要提高,这个产品包括ATM、POS机等设备,包括网络、账户系统、密钥等等,还包括持卡人。
本版稿件据《南方周末》
利用ATM机的九种犯罪手段
■吞卡+假提示。不法分子事先在ATM机屏幕侧面张贴假提示并将克隆的ATM机插卡槽用胶水贴接在银行ATM机插卡槽上,待客户的卡被“吞”后,再用假提示获取卡密码。
■吞卡+窥号。不法分子在ATM机插卡槽处安装吞卡装置造成吞卡故障,在持卡人背后或在远处用望远镜窥视密码。等持卡人因ATM机出故障而离开后,不法分子取出银行卡。或是不法分子把MP4安装在ATM机上方,等用户取钱离去后,不法分子再对银行卡进行克隆,从而达到犯罪目的。
■窃号+伪卡。不法分子利用持卡人随手丢弃的ATM机回执单盗取银行卡卡号等信息制作伪卡,然后用偷窥窃取的银行卡密码在ATM机上取款。
■假提示。不法分子在ATM机旁张贴假的银行公告,以“银行程序调试”等为理由,要求持卡人在限定时间内将自己银行卡的资金通过ATM机转账到指定账户上,窃取持卡人资金。
■窥号+调包。不法分子趁持卡人在ATM机上取款时,窥视密码,然后引开持卡人注意力,其同伙快速将持卡人ATM机上的银行卡调包,并利用窥视的密码取款。
■假冒银行工作人员。不法分子制造ATM机故障吞卡,冒充银行工作人员以修理机器等名义骗取银行卡密码等资料,制造伪卡取款。
■假短信。不法分子假冒银行名义,利用手机短信或电话的方式,假称持卡人的银行卡在某处消费或卡的信息资料被泄露,并称其银行卡可能被伪造并使用,诱骗持卡人在ATM机上将卡内资金转入不法分子提供的账户内。
■吞卡+假键盘或假门禁。不法分子在ATM机插卡槽安装吞卡装置造成吞卡故障,让持卡人以为卡被吞而离开;同时,在ATM机键盘上贴假键盘,或安装假门禁窃取持卡人密码。然后,取出银行卡,配以获取的银行卡密码作案。
■假帮助+调包。不法分子选择白天正常上班时间,以等待取款为名站在持卡人附近,利用持卡人对ATM机操作不熟练以帮助为由,取得持卡人的信任,当取款即将结束时,不法分子谎称持卡人银行卡被“吞”,让其去寻求银行工作人员的帮助,在持卡人离开之际,不法分子窃取持卡人资金。
