最近几周，多伦多东区 Queen Street East 的多家商户遭遇了一种前所未见的新型盗窃手法：小偷竟然用商家自己的收款机给自己“退钱”！

其中一家受害商户——位于 The Beaches 的家庭经营餐厅 Souvlaki Hut 的监控录像拍下：一名顾客拿起柜台上的刷卡机，假装在付款，实则偷偷操作了2000加元的退款，款项直接退回到他自己的账户中。

“真的太震惊了，”店主之子 Artie Jorgaqi 说，“我妈妈每天辛苦经营这家店，听说有人就这样轻松拿走了$2000，真的无法接受。”

据了解，这名男子利用了刷卡机很简单但致命的漏洞。首先，他故意将刷卡机举起来，挡住了收银员的视线；然后进行“手动退款”操作，因受害的店铺系统并未设置限制或身份验证，所以整个过程几乎没有阻力，钱就这样退回了他自己的账户。

Artie说：“其实很多小商家都存在同样的漏洞，完全没想到POS机也能被‘用来偷钱’。”

另一家受害商户是 Pippins Tea Company，店主 Barbara Deangelis 回忆：“那是个年轻人，说要给奶奶买个茶壶，结果最后是给自己‘退’了4900块。我简直恶心坏了！对一家独立小店来说，这是一笔巨款。”

网络安全专家 Claudiu Popa 表示，大部分POS刷卡终端机从一开始就配置不当，比如：没有更改默认密码；没有设置权限管理；用户对设备安全缺乏认知等。

他形容这种骗局像是：“你把iPhone锁住放在桌上，结果别人不仅能打开，还能进你Apple Pay买一堆App。”

多伦多副市长 Mike Colle 指出，类似的POS机盗刷案去年曾集中爆发于 Bathurst、Dufferin、Eglinton、Avenue Road 等商业街区。“当时几乎每条街都中招，但商户之间都没互相告知。”

他曾亲自挨家宣传风险，还贴出“刷卡机已加密锁定”字样的贴纸。他建议：每晚关店时把POS机锁起来或放柜台下方、不要长时间将机器暴露在顾客可操作位置、定期更改PIN码，最好每周一次、开启退款权限验证机制，如双重认证或设置退款上限。

目前各POS供应商反应不同。Pippins 所使用的 Moneris 退款了全部损失。Moneris强调：“我们的机器没有默认的‘退款免授权’设置。建议商户设置管理员密码与退款权限管理。”

Souvlaki Hut 使用的设备来自 Clover，但该公司在截稿前未作回应。

Artie表示：“我们根本不知道POS机需要手动设置退款上限，如果一开始就知道，一定会设防。POS厂商不该卖出这种一碰就能被盗的机器。他们应该加入更完善的安全机制，比如退款金额限制、两步认证等。”

The Beach 商业促进会（BIA）近日已向其所有会员发送邮件，提醒商家注意POS机的使用安全。

BIA经理 Lori Van Soelen 表示：“这是我们第一次听说这种‘自助退款’式盗窃，说明小偷正在不断更换手法、转移目标区域。大家必须提高警觉，尤其是对自己的设备，明确谁能碰、谁不能碰！”