安全从业者亲身经历闪付被盗刷之后的维权之路

来自:信安之路(微信号:xazlsec),作者:职业欠钱

前几天正吃饭的时候,微信群里万年不说话的老爸突然出来说自己银行卡的钱被盗窃了。

一看金额,我也吓一跳,一笔 997.35 元的交易在南宁某超市消费,这对于节俭了一辈子的老人家来说可不是一个小数目,隔着屏幕都能感到对面的心疼和焦虑。

身为安全从业者,我的第一反应,是想老爸的 Android 手机中了木马,网银或者支付宝被盗刷了。(关心则乱)

赶紧找了在蚂蚁工作的同学请教,结果得到提醒支付宝是躺枪,短信截图一看就是银行卡的消费。(支付宝消费的时候短信会有【支付宝】字样)

此时直接找了农行的客服电话,让老爸去反馈。心里想着,银行卡盗刷,这种事情也不新鲜了,客服应该有非常成熟的操作流程指引,应该一般都能退回来吧。没想到,这只是我太年轻的开始……

3.12 20:05 我自己先打过客服电话,询问了处理流程,再微信指引老爸操作(客服提示必须本人挂失和处理)

3.12 21:12 询问是否处理完毕,老爸没回答,估计他睡了,也就没再问。

3.13 20:57 忙了一整天的工作,晚上想起来的时候,再问一句,老爸居然说“没有”,电话过去追问才知道,客服跟他说让他找银联……于是我又自己打银联的客服电话询问

3.13 21:23 了解完银联和农行的客服口径后,大概明白他们的意思了。首先银行会要求用户找银联查询交易明细(可能是因为现在所有的消费都必须经过银联了?而且客服称农行自己是看不到这些细节信息的),如果用户看完明细依然对交易存疑(认为不是自己消费的),再找银行客服反馈,而银行客服此时则指引用户去报案,等警察叔叔破案了,让作案的坏人赔钱……

很显然,这样娴熟的皮球推诿,对于一个没有太多经验的老人来说是完全招架不住的。而在电话中得知,我爸在这期间已经去农行网点若干次,都被以“去派出所报案”为由给挡回来了。隔着电话又仿佛看到了一个可怜的老人在衙门口想伸冤被衙役给拦在外面的画面……

不过这次银联客服看我反复打了几次电话,虽然一直强调要用户本人来联系(他也知道老人家亲自联系是不太可能说的清楚了),还是给我指了一条明路,那就是关注银联的公众号,然后可以找我爸要个验证码,银行卡号和手机号等信息,自己查这一笔交易的数据……

3.13 21:47 查到了交易明细之后,我重新致电农行客服。这次客服一开始问是不是卡丢啦,我说没有,卡就在身边,然后客服说你爸是不是去南宁去消费啦,我说没有,他就在这没动,发现被盗后还去 ATM 机把剩下的 400 块取出来了就是证明,客服又说,那你去南宁那个超市调取监控录像啊,看是谁刷的啊,我说这个地址可能是伪造的,客服说那可能是网银账户被盗啦,我说消费渠道是 POS 机,客服说那估计你的卡之前被复制啦,我说芯片卡不能复制,客服说那谁知道黑客是不是很厉害,芯片卡也能复制之类的,我说我的工作跟安全有关,我的知识里芯片卡是不可能复制的。

终于,客服说,那好吧,那你去报案吧,警察叔叔破案了再说,我就说金额太小了不超过 3000 元可能无法立案。客服说你怎么知道的,我说以前有了解过。

终于,客服答应说那我就帮你记录一下往后台反馈吧……

挂完电话,我赶紧在微信上指引老爸还是先去挂失(之前操作被客服踢皮球去银联,居然连挂失都没挂),然后还是尽量报案试试,反正就算金额过小派出所拒绝立案我也跟银行说过了……

然后心有余悸的想,这么复杂的对抗和 PK,如果不是我亲自沟通,而是我老爸,岂不是第一个回合就又被干下来了?无数的普通老百姓家庭遇到这样的事情会怎么样?

此时,因为事情告一段落,我就发了个朋友圈。没想到朋友们一下子就认出了这是典型的 闪付 盗刷事件(没错,就是 3.15 晚会曝光的那个案例)。

大半夜的,很多朋友开始纷纷私聊我,告诉我关于闪付盗刷的事情。有文章、有视频,甚至还有技术原理和一堆我看不懂的专业术语……

我睡不着也就挨个都看了一遍,然后大半夜的又找农行客服聊了下,把这个事重新说了一次(这次客服还不错,说之前记录了我的诉求),然后我明确了可能是闪付引起的,就咨询了一下关于闪付相关的事情。这次客服告诉我,闪付是银联要求各银行配合给用户默认开通的,开通后都会有短信告知(我反问但是用户并不知情对么?客服很难回答,只好重复都是有短信告知的,短信上有 xxx 的内容)

然后第二天早上醒来第一件事就是重新联系银联客服(因为半夜银联客服不干活了)。这次我开始给银联客服打苦情牌,重点阐述了老人家勤俭节约,丢了这么一笔钱,可心疼,跑银行,又被三番五次的拒绝,打电话,一会银行一会银联的傻傻分不清楚,还忽悠他去报案,派出所还因为金额过小不予立案(这个是我撒了个小谎)。而银行卡的这种免密码闪付功能又不是我爸主动要开的,他都不知道也没输入过任何密码钱就没了。

这下客服终于说非常理解我的心情,其实呢,银联针对这种情况是有一个专门的赔付基金的,这个基金在挂失前 72 小时内,3 万以下的金额,经过调查核实后,是可以全额赔付的。只不过这事得农行来申请,所以让我们抓紧挂失和找农行填报资料,然后要求农行止付这一笔钱。

3.14 10:02 老爸在群里发出来一个报案回执,算是一个好的消息。实在是没想到这年头十八线小城市里的警察叔叔居然同意立案了。

然后立即让老爸去银行提交要求,心里想着,这下简单了吧。。没想到,我又一次高兴的太早了。

问老爸进展了,结果银行柜员的人说要他等破案了再说……这种案子那么小,鬼知道猴年马月才能破案,多少人根本等不到破案,而且银联本身有赔付基金,干嘛不帮……

忍无可忍,我给老爸打了个电话让对方接。

在我亲自沟通完之后,对方似乎觉得理亏,终于答应处理了,结果并没有很专心的处置,结果我爸稀里糊涂的回家了,其实啥也没干完,就打了个流水……

结果,过了 1 个多小时之后,似乎我在农行客服的投诉单,被指派到了当地的客服部。当地客服工作人员给我致电,了解情况时,又反复的跟最初的客服一样,质疑卡是否丢了,人是不是去过南宁自己刷的,卡是否复制过……

等我给她说 POS 机路过人的身边就能盗走钱之后,这名客服像是学会了什么新知识一样,兴奋的说马上给主管汇报。(额,其实是因为我瞎说了一个黑产通过信号放大器能把刷卡距离放大到1米的事情,事后被纠正说估计只能到20-30 厘米,小姑娘有点被我忽悠了……) 

3.14 16:44 ,之前打过电话的这个客服再一次联系,说我们可以去填资料了。但是因为家里事情多,老爸没能及时去。

3.15 收到一条短信,问客服满意度,事情没办完,毫不犹豫回了个不满意,结果没多久,当时把我爸拒绝出门的银行职员打电话过来了,很委屈的说不是不帮我爸办理,而是一不留神我爸就走了……然后请我爸重新回去交资料(我怎么记得当时电话跟她说的时候,她要我们去开户行办理呀?)

想了想,觉得不踏实,我还是头一天客服建议我去的地方打电话,结果发现一个是支行,一个是客服部。两边都希望我们的资料提交给自己。(这是为什么?没搞太清楚)

最后因为客服部明显态度好一些,我还是建议老爸去客服部那边,虽然远一些,但是起码感觉好一些吧。

这一次,终于成功的填上了资料……

而据银行工作的朋友说,这并不意味着一定可以追回来钱。

结果,到了晚上,3.15 就曝光了这类问题。

总结一下:

1、银联让银行给用户默认开通闪付功能,允许免密消费;

2、闪付功能默认 300元 以内免密,优质的商户可以达到 1000 元免密,而坏人可以轻易申请到这类 POS 机;

3、坏人拿 POS 机靠近你,你的钱可能就没了;

4、明明是被盗刷,因为处理流程涉及到了银行、银联、派出所,还要经历很多的手续和调查,未必能追的回来;

5、上述各个环节的推诿、踢皮球和某些地方据说可能会因为金额过小不予立案,变相鼓励了坏人从事这类“低风险高回报”的黑色产业链

截至目前为止,我爸的钱还没追回来,我妈说幸亏有我,而我想的是,这笔钱,最终到底能不能追回呢?而千千万万没有一个像我这样的年轻人帮忙打理的受害者,他们的钱又怎么办呢?

退一步说,即便钱追回来了,受害人填报资料的前置环节,真的应该这么复杂么?

最后,愿天下无贼,也希望银行乱发 POS 机,客服推诿、一线工作人员业务知识不足(不知道这类盗刷案例或者故意不说)等不足之处可以改进。

来自:信安之路(微信号:xazlsec)

信安之路.png

推荐↓↓↓
黑客技术与网络安全
上一篇:信息安全学习很枯燥,很难坚持,一点小小感悟分享给你 下一篇:D-Link-DIR-850L路由器分析之获取设备shell