随着手机支付越来越方便，很多人觉得银行卡揣在兜里，钱就安安稳稳。现实是银行卡和手机甚至不需要在你手里，你的银行卡就会出现被盗刷，钱就这样神不知鬼不觉的被刷走。

只要你的手机被动了手脚，他们就能在千里之外，用另一台手机在POS机上刷走你的钱。你可能都不知道发生了什么。

获得用户信息，完成盗刷

过去我们总以为，只要银行卡在手，安全感就在。但这个观念早就过时了。如今的盗刷，核心就是把你的支付信息和实体卡片彻底分离开来，在你看不见的地方完成交易。

传统的玩法是信息盗窃。在很多海外线上购物网站，结账根本不需要输入密码，只要有卡号、有效期和卡片背面的三位CVV安全码就够了。这三样东西，就等于你银行卡的交易权限。

他们可以攻击存有海量用户数据的电商平台或银行数据库，得到你的信息。在暗网，一套完整的银行卡信息，售价可能只有区区几美元到十几美元，拿到信息后，他们会把你的卡绑定到手机钱包里，然后像猎人一样“潜伏”好几个月，等风控系统放松警惕了，再突然集中下手。

骗术升级

而现在，一种更高级的玩法出现了，NFC中继攻击。骗子先诱导你在手机上安装一个恶意软件，这软件会把你的手机变成一个远程“读卡器”。

当你按骗子指示把银行卡贴在自己手机背面时，手机A就读取了卡片数据，并通过网络实时发送给骗子手里的手机B。手机B再靠近POS机，滴的一声，支付就完成了。

整个过程技术门槛并不高，它没有破解什么动态加密令牌，本质上就是个数据信号的“远程延伸”。对于POS机来说，它感觉不到任何异常，最多只会觉得这次交易的通信时间比平时长了那么一点点。

这种手法的恐怖之处在于，骗子甚至能把一张卡的信息同步给好几台设备，在不同城市同时作案，让你防不胜防，也让警方追查的难度呈几何级数增加。

便利背后的致命妥协

可是这么明显，银行会察觉不到吗，一些海外信用卡交易采用的是离线机制，也就是说，商户可以先完成交易，过一段时间，最长甚至能达到30天，再跟银行统一结算。这就给了犯罪分子一个巨大的时间差。

他们可以在银行风控系统还没来得及更新你卡片额度的时候，进行短时间、高密度的疯狂盗刷。一张额度只有几百块的卡，因此被刷出几万块的账单，一点也不稀奇。

还有就是通信验证的延迟。用手机钱包支付，因为要经过好几道安全验证，它的通信时间本来就比直接刷实体卡要长。为了保证各种手机都能顺利完成支付，提高成功率，很多POS机被有意调高了通信延迟的容忍上限。

这个为了“兼容性”和“流畅度”而拉长的时间窗口，恰好为NFC中继攻击里那段“数据远程传输”提供了宝贵的操作时间。一个本该提升安全性的设计，反而成了最致命的软肋。

不少银行为了让你在境外消费时更痛快，会很贴心地自动给你临时提高3到5倍的信用额度。这个功能本来是好事，却被犯罪分子当成了放大损失的“杠杆”，让盗刷的破坏力瞬间翻倍。

攻破心房，成功盗刷

说到底，无论技术如何演进，最脆弱的环节，永远是人。犯罪分子的终极武器，其实是社会工程学，也就是攻破你的心防。

他们会精心设计各种骗局。比如伪装成银行或电商平台，发来钓鱼短信，诱骗你主动输入卡片信息。更常见的，是制造恐慌。他们会告诉你“你的航班被取消了”，或者“你的抖音百万保障即将到期，每月会自动扣费”，用这种紧急或吓人的理由让你方寸大乱，从而放松警惕。

一旦你信了，他们就会诱导你下载一个App，这App可能伪装成“银联会议”或者“官方客服软件”。但它的真实功能，是远程共享你的手机屏幕，并悄悄开启NFC数据转发。

整个骗局最关键的一步，也是最反常的一步，就是让你“把银行卡贴在手机背面，不要动”。这个动作极具迷惑性，因为很多人并不知道手机的NFC功能到底是什么。一旦你照做了，就等于亲手配合骗子完成了对自己的盗刷。

如果他们再通过共享屏幕，看到你输入的支付密码，那小额免密的限制也就被突破了，大额盗刷就畅通无阻了。所以，请记住一个铁律：任何正规机构，绝对不会要求你把银行卡贴在手机上操作。

钱丢了到底谁来赔

卡被刷了，损失谁来承担，根据2021年最高法的一项司法解释，如果银行的风控系统没能识别出伪卡交易，或者没能拦截掉异常消费，那么银行需要承担主要责任。当然，如果你自己保管信息不当，或者在发现被盗刷后没有及时挂失，也需要自己承担一部分损失。

目前盗刷风险最大的还是老式的磁条卡，它太容易被复制了，风险是芯片卡的数倍。而芯片卡采用了动态密钥加密技术，安全等级极高，全球范围内还没出现过被成功复制盗刷的案例。

早在2014年，央行就已经在推动银行卡“换芯”了。虽然一张芯片卡的成本要二十块钱，比几块钱的磁条卡贵不少，这曾是银行推广的阻力。但对比动辄数万的盗刷损失和没完没了的官司，这点成本显然是划算的。对银行和我们消费者来说，全面换用芯片卡，是个双赢的选择。

支付安全，本质上是一场永不停歇的技术与心理的博弈。单纯靠升级硬件、更新技术，并不能一劳永逸。因为犯罪分子总会绕开坚固的堡垒，去攻击那些最薄弱的环节，无论是系统为了“便利”而做出的妥协，还是我们用户自己那道心理防线。

对我们普通人来说，能做的就是多长个心眼。保护好卡片背后的CVV码，别随便透露给任何人。对任何让你进行反常操作的指令，比如“把卡贴在手机上”，要立刻警觉。及时开通交易短信提醒，一旦发现不对劲，马上挂失报警。

而对于银行和监管机构，责任则更大。除了推动芯片卡普及这样的硬件升级，更重要的是，要不断优化风控模型，堵上那些因为追求“用户体验”而留下的系统性漏洞，并真正承担起保护储户资金安全的兜底责任。