涉案人员刷卡买黄金时的监控截图（广州市公安局供图）

2023年的一天，广州一家银行向当地公安机关反映，银行客服在短时间内接到自称是该行客户的人大量要求重制信用卡并修改邮寄地址的申请，情况很蹊跷。根据银行信用卡中心欺诈风险管理部工作人员介绍，银行通过查验持卡人身份证号码和电话服务密码完成身份核实，按客户要求制作新卡。在收到新卡后，自称是客户的人再次致电银行客服，验证卡片交易密码并激活后，在外地大额刷卡购买黄金等。目前已发现有6个客户的信用卡被盗刷，金额约61万元。

随后，广州市公安局成立专案组。经查，该涉案团伙自2022年10月至2023年3月间，共对7家商业银行的九百多张信用卡展开“攻击”，成功补办信用卡五百多张，成功激活并盗刷二百三十多张，涉案金额1100万元。其中，受害者受损金额从1万元到10万元不等，有些信用卡在刷爆后，还被开通了20多万元网贷。

经过侦查，广州警方在海南、福建、江西等地抓获犯罪嫌疑人12名，解除潜在被盗刷风险金额超10亿元，打掉一个集“重制、盗刷、销赃”为一体的新型信用卡诈骗团伙。目前，检察机关已以涉嫌信用卡诈骗罪对涉案嫌疑人批捕起诉。

卡还在自己身上，钱已经被刷走……“我要3分钟之内知道对方全部信息”已经不是一句玩笑话，而是实实在在的成熟骗局，并且骗术仍在不断升级。

新型骗术如何利用漏洞攻破安全防线？

从磁条卡到芯片卡，技术的升级确实带来了安全性的提升。不过，广州警方此次破获的案件作案手法新颖，涉案团伙利用“三板斧”成功绕过芯片信用卡预设的安全防线。

第一招，通过“黑灰产”购买大量公民个人信息，包括姓名、身份证号、信用卡号、手机号，及一串6位数字的密码。第二招，信号屏蔽、短信轰炸、呼叫转移齐上阵，团伙冒充卡主身份联系营业厅进行各种“偷梁换柱”的操作。为了让卡主忽略或收不到银行的短信提醒，该团伙先是冒充卡主身份，拨打通信运营商电话，开通短信屏蔽功能；或者购买短信轰炸服务，把银行提醒信息淹没在垃圾短信里。最后第三招，领卡、盗刷、套现由不同的人分开操作，操作的人甚至来自不同的城市，通过虚拟货币分赃。

这“三板斧”威力有多大？北京某商业银行网点负责人张先生（化名）告诉中国之声，仅需两分多钟，你兜里的卡就能变成别人的卡，读取卡内用户密钥是盗刷的关键。

张先生详细解释道：“卡虽然在你身上，但可以通过一些类似于‘基站’的形式靠近你并复制卡。同行反映有这种情况，而且只需不到3分钟就可以复制一张卡出来。所谓的信用卡只是储存个人信息密钥的媒介，卡本身没什么东西，对方只要把银行串码复制走就可以进行盗刷，而且现在很多人为了省事，信用卡不设密码。”

张先生说，过去盗刷卡的现象比较严重，近几年大家习惯在APP上绑定银行卡进行支付，从银行客户反馈来看，盗刷情况有所减少，但网络诈骗的“花样”让人防不胜防。

张先生继续说：“现在大家都不拿信用卡出去了，绑定手机支付的比较多，所谓的网络诈骗比盗刷信用卡的情况要多。可能是泄露了自己的账号、密码，点进了相关链接，网络上有一些钓鱼链接和网站，会直接把付款路径复制走，刷走钱。”

从2011年起，人民银行推广了芯片银行卡。作为磁条卡的升级，芯片卡不仅提升了安全性，还提供了更便捷丰富的功能。张先生坦言，有漏洞就会有人钻空子，芯片卡也不是绝对安全，主要在于用户本身的自辨能力。

张先生说：“芯片卡有更高的保密性但也不是100%安全，被直接盗了链接的这种情况，实际上用户很难防备，只能自我防范。”

百密总有一疏，用户遭遇被盗刷信用卡后，银行如何配合用户及时止损？张先生说，第一时间冻结卡后，银行会建议客户给信用卡设置“门槛”。

“直接会冻结这个卡，我们会去查到底是不是其本人交易，比如人在北京，卡实际消费在上海，这是一个很明显的要点。每个银行的政策不一样，冻结是第一步，冻结之后怎么去倒追钱款能不能找回来，就要具体问题具体分析。我们会建议客户信用卡设置密码，设置交易限额，把它设置在合理范围内。”张先生说。

公开资料显示，今年4月22日，公安部公布8起严厉打击涉银行卡犯罪典型案例。2023年，全国公安经侦部门共破获伪造信用卡，窃取、收买、非法提供信用卡信息，妨害信用卡管理，信用卡诈骗、套现类非法经营等犯罪案件近5000起，涉案金额超百亿元。

这8起案例都有一个明显的共性，包装自己哄骗他人。中央财经大学中国互联网经济研究院副院长欧阳日辉看来，信用卡诈骗作案手段看似“花哨”，其实还是钻了信息安全的空子，只要用户自身严守“信息安全”底线，诈骗分子想获取信息就绝非易事。

欧阳日辉说：“背后是数据的‘黑灰产’在发挥作用，归根结底的原因就是获取了用户信息。其拿不到卡主真实信息，就没法完成一系列操作，整个流程中，有一个信息断了其就执行不下去，核心在数据的获取和信息安全保护的问题。”

欧阳日辉表示，近年来，新型网络犯罪频发与“黑灰产”的支撑密不可分，“黑灰产”不断迭代更新，已经形成产业链条的发展趋势，侵害着消费者的隐私安全和财产安全。

“产业影响力可分为直接和间接。直接通过获取消费者的信息拟一个假的信用卡，假的信用卡对于消费者是没法使用的。间接通过获取消费者的信息之后，形成自己的数据产品进行交易，不仅对个人消费者有影响，可能对群体消费者衍生出其他危害。”欧阳日辉说。

欧阳日辉建议，封堵信息安全漏洞一方面需要“组合拳”的发力，另一方面也需要消费者自身提高警惕。

欧阳日辉说：“需要进一步深化的是要把各方面信息整合，将金融平台、金融机构、互联网企业、三大运营商等信息资源进行共享，执法时相互支撑，提高网络监管平台的技术和资源保障能力。目前来讲，只要自己有足够的警觉性，发现情况向银行汇报，银行就会立马采取措施。”