他们没有撬门、没有砸窗，也没有任何武力威胁——仅仅借用一个看似寻常的“付款动作”，便瞬间将店铺一天的收入转进了自己的账户。

这是近期正在多伦多悄然蔓延的一种新型商业盗窃方式：利用POS机的“退款漏洞”在商户毫无察觉的情况下，精准实施盗刷，得手金额从几百至数千加元不等，已有多家亚裔经营的中小企业中招。

“他把机器举到眼前，让我们看不清操作，实际上是在给自己‘退款’。”士嘉堡一位中餐馆店主愤怒地回忆起被盗过程，“整整一天的营业额就这么没了，我们还倒欠卡机公司手续费。”

谁为“默认安全”买单？

据CBC获得的信息，目前至少有六起案件涉及同一手法：嫌疑人进入店铺，假装购物付款，趁收银员分神之际操作POS机上的退款功能，将巨额款项转入自己绑定的账户。

这并非黑客攻击，而是利用了POS设备出厂设置中常被忽略的“默认权限”漏洞。网络安全专家Claudiu Popa指出：“大多数中小商户根本没有技术背景，他们使用的设备从来没有做过权限限制。换句话说，小偷不是破解系统，而是在使用‘被允许的功能’。”

多个品牌的POS供应商如Moneris和Clover也已对此回应，建议商家设立独立权限、限制退款操作并定期更新密码。但这些建议，多数商户从未接收或意识到。

“我们像保管现金一样保管POS机吗？恐怕没有人这么做。”一位茶叶店店主无奈表示。

谁在被精准锁定？

值得注意的是，此类盗窃案件在士嘉堡和东多伦多的亚裔社区尤为集中。据CBC追踪，已有至少三家华人餐馆在六月中旬至月底间被同一名亚裔男子“光顾”，有店家认出其带有“越南口音”，并称“是惯犯”。

为何是中餐馆？为何是亚裔店铺？部分专家认为，小商户往往店员年轻、经验不足，加上文化差异和语言障碍，使他们更易被诈骗者选为“练手对象”。

“这是精准锁定的作案，不是偶然。”一位商圈管理者坦言，“他们知道这些店往往没有安全培训，也没有技术人员管理后台权限。”

监管缺位，商家孤岛求生

尽管多伦多市政府已紧急组织商圈会议，呼吁加强POS机管理、张贴警示标志，但本质问题仍未解决：在金融科技高速发展的今天，小型实体商家仍使用“裸奔设备”，其安全责任界限模糊不清，供应商、商户与执法机关之间尚未形成有效的协调机制。

“这个系统对小商家来说太不公平了，”中餐店主表示，“我们既是客户，也是受害者，却要独自承担全部损失。”

对于越来越依赖电子支付的华人商圈而言，这不仅是一场损失，更是一种警示：在科技普及而监管滞后的缝隙中，真正需要升级的，或许不是设备，而是规则。

#加拿大家园论坛