□法治報記者金豪法治報通訊員林莉麗
隔空取物,聽上去是武俠小說里才會有的高級“功夫”,事實上,我們身邊也有這樣的“靈異事件”。但它并不是什么武功,而是極其惡劣的犯罪行為。這一次被犯罪分子盯上的,是銀行卡里的存款……
深夜神秘短信:所有存款一夜蒸發(fā)
年輕白領(lǐng)丁小姐在新天地附近一家外企上班。2015年9月的一天清晨,她起床后看見手機上有兩條來自銀行和手機運營商的短信,發(fā)送時間分別是凌晨3:43和4:12。第一條短信說的是她的招商銀行一網(wǎng)通在修改密碼,第二條是來自運營商的短信,提示丁小姐開通了短信過濾和短信保管兩個功能。
對于凌晨三四點正處于熟睡之中的丁小姐來說,不可能主動開通這兩項不熟悉的功能。那么究竟是誰動了她的銀行卡,并向手機運營商申請開通了新業(yè)務(wù)呢?丁小姐出于謹(jǐn)慎查了一下自己的銀行賬戶,瞬間驚出一身冷汗,賬戶內(nèi)10萬多元的余額在一夜間歸零!但蹊蹺的是,銀行的“余額變動提醒”她一次也沒有收到。丁小姐定下心神,馬上掛失了這張銀行卡,并撥打了110報警。
而噩夢才剛剛開始,沒多久,丁小姐就收到她的另一張浦發(fā)銀行信用卡通過微信推送給她的一條消息,告知她消費被刷900多元。接著,驚魂未定的丁小姐接二連三地接收到類似的信息。更令她感到不寒而栗的是,掛失了這兩張卡之后,并沒有使自己的資金擺脫被劫的命運。
之后的48小時內(nèi),丁小姐發(fā)現(xiàn)名下的另兩張儲蓄卡在她完全不知情的情況下,又分別申請了兩筆貸款共計十幾萬元。這意味著,丁小姐不僅金融身份被人盜用,所有的余額變動,業(yè)務(wù)辦理等通知短信和動態(tài)密碼也都被攔截了。
一夜之間,丁小姐變得身無分文,還背上了高額的欠債。所幸,丁小姐立即致電銀行說明了情況,銀行暫停了此筆貸款業(yè)務(wù)。
隨后,丁小姐立即凍結(jié)了所有的卡并一同關(guān)閉了微信、支付寶等所有的線上支付功能,但這些都不能消除她發(fā)自內(nèi)心的恐懼,因為真正的恐懼恰恰是無法控制局面。丁小姐坦言:“事發(fā)后,我一直失眠,因為我很害怕,不知道問題到底出在哪里,我的信息到底是在哪個環(huán)節(jié)被泄露了,而且這些泄露的信息只涉及到我的銀行卡嗎?還是其他方面也會有問題?”
當(dāng)黃浦區(qū)人民檢察院的承辦檢察官向丁小姐了解案情時,她這樣說:“從收到可疑短信,到自己所有賬戶被徹底洗劫一空,甚至欠下高額的債務(wù),整個過程只有兩天,其間我沒有點擊任何不明鏈接,平時也相當(dāng)注重網(wǎng)絡(luò)安全,所有涉及到轉(zhuǎn)賬的都用U盾,上網(wǎng)也使用專業(yè)版網(wǎng)上銀行……”那么,丁小姐的銀行密碼到底是怎么被破解的呢?回想起來,所有這些不可思議的事件都是從凌晨收到的那兩條蹊蹺的短信開始的……
野蠻“撞庫”和云端保存:關(guān)鍵短信“慘遭”屏蔽
據(jù)后來偵查發(fā)現(xiàn),丁小姐收到的第一條短信是來自銀行。也就是說,在那個時候,犯罪嫌疑人已經(jīng)登錄了她的網(wǎng)銀,并試圖更改她名下儲蓄卡的關(guān)聯(lián)手機。
那么,丁小姐的網(wǎng)銀密碼又是怎么流出去的呢?這就是犯罪嫌疑人利用一些掃號軟件進行撞(數(shù)據(jù))庫獲取的。“撞庫”是黑客的專業(yè)術(shù)語,指的是通過掃描網(wǎng)站或者分析現(xiàn)有數(shù)據(jù),嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶名和密碼。一旦這些網(wǎng)站的安全措施不到位,被攻破了,后臺的數(shù)據(jù)被獲取了,那么用戶的手機號碼和密碼組合就直接泄露了。
而這種所謂的撞庫,就是用不??焖賴L試的方法,破解用戶的賬號和密碼。這種簡單粗暴的方法,直接獲取了用戶最關(guān)鍵的登錄信息,相當(dāng)于竊取了用戶的網(wǎng)絡(luò)身份。犯罪嫌疑人會根據(jù)軟件自動記錄撞庫成功的手機號和密碼,把他們一一對應(yīng)起來,生成一個文本文檔。
就這樣,丁小姐的銀行卡密碼被犯罪嫌疑人輕易攻破了,但這還不足以使她的所有積蓄都一夜蒸發(fā)。犯罪嫌疑人要把錢拿到手,關(guān)鍵的一點還得突破至關(guān)重要的一把鑰匙:隨機的短信驗證碼,這直接導(dǎo)致丁小姐會收到第二條短信。犯罪嫌疑人用丁小姐手機開通的短信過濾和短信保管功能。其中,短信過濾可以設(shè)置關(guān)鍵詞和來信號碼,這樣丁小姐就收不到所有的余額變動通知和動態(tài)驗證碼了;而短信保管則可以把用戶接收到的短信同步保存在云端,這樣一來犯罪嫌疑人就能進入短信保管的保管箱,提取到這個動態(tài)驗證碼。如此一來,丁小姐的錢就神不知鬼不覺地被轉(zhuǎn)走了。
“魔法”升級:自助換卡以假亂真
經(jīng)警方調(diào)查,犯罪嫌疑人用類似的手法在全國已作案多起,這種新騙術(shù)手法簡單而隱蔽,如果不能盡快破案,將會演變?yōu)闃O大的金融安全隱患。
就在警方馬不停蹄地調(diào)查取證的時候,升級版的作案新手法又出現(xiàn)了。這次的受害人陳先生是一名國企高管,他同樣損失慘重,在一夜間被轉(zhuǎn)走了28萬元,其中1萬元是工資,還有27萬元是剛剛到期的理財資金。與此同時,全國各地還有幾名和陳先生同樣遭遇的被害人。令人咂舌的是,他們都發(fā)現(xiàn)了手機曾一度突然不在服務(wù)狀態(tài)。在警方的提醒下,運營商發(fā)現(xiàn)安全漏洞,關(guān)閉了相關(guān)的短信過濾和保管功能。
原本以為,犯罪嫌疑人會有所收斂,但他們又“開發(fā)”了全新的作案手法:換卡。犯罪嫌疑人攻破了受害人的網(wǎng)上營業(yè)廳后,以受害人的“名義”申請了4G換卡業(yè)務(wù)。犯罪嫌疑人利用受害者的手機號和密碼登錄營業(yè)廳,申請升級手機SIM卡,而運營商一般默認登錄人就是持卡人本人,再加上隨機動態(tài)碼的驗證,因而跳過更多身份驗證的環(huán)節(jié)直接就可以把卡快遞到指定的地址。這原本是一項便民的服務(wù),但被利用,此時持卡人的登錄密碼已經(jīng)被攻破,驗證碼和短信通知也已被攔截,所以新卡在持卡人毫不知情的情況下,寄到了不法分子的手上。而新卡一旦被激活,真正的持卡人手上的這張卡就自動失效了。
不寒而栗:4人攻破3.2億條個人信息
案件一個個地涌現(xiàn),作案的犯罪嫌疑人究竟在哪里?錢又被他們轉(zhuǎn)去了哪里呢?警方調(diào)查發(fā)現(xiàn),丁小姐和陳先生的錢都被轉(zhuǎn)到了一個名為“章一丹”的福建省農(nóng)村信用社賬戶,然后在短時間內(nèi)又分發(fā)到了幾十上百個下級賬戶。這是典型的電信詐騙手法,這些賬戶遍布全國,追蹤難度極大,破案成本也相當(dāng)高。黃浦警方奔赴全國各地調(diào)取了相關(guān)賬戶的取款記錄和監(jiān)控錄像,在茫茫人海中鎖定了一個最有嫌疑的賬戶,并立即趕往海南儋州。
經(jīng)過仔細分析后,警方判斷對象很有可能再次取款,于是決定在附近守株待兔。就這樣,經(jīng)過好幾天的調(diào)查和跟蹤,黃浦警方終于抓到了本案的第一個犯罪嫌疑人楊水建。
楊水建只是個取款人,警方順藤摸瓜,找到了這個犯罪團伙的其他嫌疑人:唐春模、童可立和辛道煌。令人驚訝的是,這種不需要與受害人通話或短信,甚至也不需要受害人配合轉(zhuǎn)賬或點擊任何鏈接,便可以將對方的資金全部獲取的始作俑者,竟然是幾個初中學(xué)歷的80后、90后。而正是這幾個不起眼的年輕人,自2015年8月至9月,在這短短的一個月內(nèi),從7名被害人的賬戶中轉(zhuǎn)賬或消費了170余萬元。
警方在抓捕嫌犯辛道煌時,他還正埋頭進行數(shù)據(jù)撞庫和切割的工作。更令人瞠目的是,從嫌犯租賃的服務(wù)器上查獲了3.2億條個人信息,都是手機號碼、密碼、身份證等組合,而且全是他們掃號掃出來的結(jié)果。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每四個人當(dāng)中就有一個人的信息已經(jīng)被泄露或者攻破。這么一個海量數(shù)字,而攻破這么多賬戶信息的竟然只有4個人。
痛定思痛:用戶運營商和銀行都要小心
2016年11月,黃浦檢察院對被告人童可立等四人以涉嫌信用卡詐騙罪、侵犯公民個人信息罪提起公訴。起訴書指控的犯罪事實表明,被告人唐春模負責(zé)隊伍召集和統(tǒng)籌,童可立負責(zé)掃碼撞庫,辛道煌將他撞庫獲取的數(shù)據(jù)進行分割整理剔除后,再交還給童可立,由童可立進行具體的營業(yè)廳及網(wǎng)銀轉(zhuǎn)賬操作,非法所得分發(fā)到幾百個下級賬戶后,最終由楊水建安排“馬仔”進行取款。
今年5月24日,黃浦區(qū)人民法院一審對被告人童可立、唐春模、楊水建三人以信用卡詐騙罪和侵犯公民個人信息罪兩罪判罰,分別判處15年、16年和9年有期徒刑;對被告人辛道煌以侵犯公民個人信息罪判處有期徒刑4年。
手機運營商和銀行系統(tǒng),是個人信息和財產(chǎn)安全鏈條中最重要的兩環(huán)。記得有人開玩笑地說,要想賬戶不被盜,最簡單的方式是不要開通網(wǎng)絡(luò)版和手機版,因為一旦多一個平臺,安全性就降低一分。但如今是信息飛速發(fā)展的時代,有多少人能抵擋住便利的誘惑,繼續(xù)耐著性子去營業(yè)廳排隊辦理業(yè)務(wù)呢?安全和便利,永遠都是天平的兩端,任何一頭都不應(yīng)該被忽視。
所以,要想大家的“辛苦錢”都不被賊惦記,無論是用戶本人、運營商還是銀行,都必須扎緊籬笆,時刻提防不法分子的入侵。