长沙的林先生在日本住酒店时，手机突然黑屏，显示“系统升级中”，他并没有碰过手机，但短信验证码一条接一条发过来，等他反应过来，卡里的五万港币已经在香港被刷走了，更吓人的是第二天他换了SIM卡，发现有人还试图绑定他另外三张银行卡，类似的事情不只一例，山东有位老人晚上睡觉时手机也黑屏了，醒来发现银行卡少了两万多块钱，上海的张先生就更离谱了，他从没装过云闪付APP，也没绑过银行卡，只是收到验证码，几天内就被刷走了一万五千块。

这些事情都发生在同一个时间段，从2025年下半年开始，一直到2026年1月还有人受害，奇怪的是所有受害者都是在手机没操作的情况下被刷钱的，比如黑屏、关机或者正在升级，却还能收到短信验证码，绑定银行卡并完成支付，这和过去那种骗人点击链接的短信嗅探手法完全不同，现在是系统层面的短信通道被利用了，可能是手机被悄悄装了木马，或者是运营商的短信网关被人动了手脚，但银联一直没有明确说明到底是哪条路径被攻破的。

银联提出有三道防线，风险系统会监控设备行为，远程可以干预异常情况，出现问题也会赔偿，但林先生的案例中，系统没有阻止人在日本、消费在香港的反常交易，也没有及时阻止多张卡被绑定的尝试，到现在赔付流程还没启动，需要用户自己证明这不是本人操作，客服只说系统没问题，责任推来推去，实际上问题很明显，风控只能防止用户主动绑卡，却防不住后台偷偷绑定卡片。

与支付宝和微信相比，它们开通快捷支付必须经过二次验证，而且默认是关闭的，银联云闪付只需一条短信验证码就能一键绑卡，连指纹或人脸识别都不用，门槛这么低，黑客自然容易针对它下手，这不是漏洞问题，而是设计上的弱点。

2025年底央行发布通知，指出单靠短信验证码的无感支付风险太高，要求2026年第二季度前完成身份核验升级，招商银行和平安银行已经增加设备绑定确认步骤，但银联方面还没有动作，林先生目前仍在垫付还款，否则征信会受影响，不少人联系客服询问，得到的回应都是正在核实之类的话，有人考虑走法律途径，法院却要求先证明是黑客所为，这种证据一般人根本拿不出来。

说到底，这件事的问题在于支付流程太宽松，责任归属也不明确，用户并没有疏忽大意，技术防范也不是特别困难，手机明明没有操作，钱却不见了，银行方面声称系统运行正常，这笔损失最终只能由用户自己承担。