法治報記者金豪法治報通訊員林莉麗
隔空取物,聽上去是武俠小說裏才會有的高級“功夫”,事實上,我們身邊也有這樣的“靈異事件”。但它並不是什么武功,而是極其惡劣的犯罪行為。這一次被犯罪分子盯上的,是銀行卡裏的存款……
深夜神秘短信:所有存款一夜蒸發
年輕白領丁小姐在新天地附近一家外企上班。2015年9月的一天清晨,她起床後看見手機上有兩條來自銀行和手機運營商的短信,發送時間分別是淩晨3:43和4:12。第一條短信說的是她的招商銀行一網通在修改密碼,第二條是來自運營商的短信,提示丁小姐開通了短信過濾和短信保管兩個功能。
對於淩晨三四點正處於熟睡之中的丁小姐來說,不可能主動開通這兩項不熟悉的功能。那么究竟是誰動了她的銀行卡,並向手機運營商申請開通了新業務呢?丁小姐出於謹慎查了一下自己的銀行賬戶,瞬間驚出一身冷汗,賬戶內10萬多元的餘額在一夜間歸零!但蹊蹺的是,銀行的“餘額變動提醒”她一次也沒有收到。丁小姐定下心神,馬上掛失了這張銀行卡,並撥打了110報警。
而噩夢才剛剛開始,沒多久,丁小姐就收到她的另一張浦發銀行信用卡通過微信推送給她的一條消息,告知她消費被刷900多元。接著,驚魂未定的丁小姐接二連三地接收到類似的信息。更令她感到不寒而栗的是,掛失了這兩張卡之後,並沒有使自己的資金擺脫被劫的命運。
之後的48小時內,丁小姐發現名下的另兩張儲蓄卡在她完全不知情的情況下,又分別申請了兩筆貸款共計十幾萬元。這意味著,丁小姐不僅金融身份被人盜用,所有的餘額變動,業務辦理等通知短信和動態密碼也都被攔截了。
一夜之間,丁小姐變得身無分文,還背上了高額的欠債。所幸,丁小姐立即致電銀行說明了情況,銀行暫停了此筆貸款業務。
隨後,丁小姐立即凍結了所有的卡並一同關閉了微信、支付寶等所有的線上支付功能,但這些都不能消除她發自內心的恐懼,因為真正的恐懼恰恰是無法控制局面。丁小姐坦言:“事發後,我一直失眠,因為我很害怕,不知道問題到底出在哪裏,我的信息到底是在哪個環節被泄露了,而且這些泄露的信息只涉及到我的銀行卡嗎?還是其他方面也會有問題?”
當黃浦區人民檢察院的承辦檢察官向丁小姐了解案情時,她這樣說:“從收到可疑短信,到自己所有賬戶被徹底洗劫一空,甚至欠下高額的債務,整個過程只有兩天,其間我沒有點擊任何不明鏈接,平時也相當注重網絡安全,所有涉及到轉賬的都用U盾,上網也使用專業版網上銀行……”那么,丁小姐的銀行密碼到底是怎么被破解的呢?回想起來,所有這些不可思議的事件都是從淩晨收到的那兩條蹊蹺的短信開始的……
野蠻“撞庫”和雲端保存:關鍵短信“慘遭”屏蔽
據後來偵查發現,丁小姐收到的第一條短信是來自銀行。也就是說,在那個時候,犯罪嫌疑人已經登錄了她的網銀,並試圖更改她名下儲蓄卡的關聯手機。
那么,丁小姐的網銀密碼又是怎么流出去的呢?這就是犯罪嫌疑人利用一些掃號軟件進行撞(數據)庫獲取的。“撞庫”是黑客的專業術語,指的是通過掃描網站或者分析現有數據,嘗試批量登錄其他網站後,得到一系列可以登錄的用戶名和密碼。一旦這些網站的安全措施不到位,被攻破了,後台的數據被獲取了,那么用戶的手機號碼和密碼組合就直接泄露了。
而這種所謂的撞庫,就是用不停快速嘗試的方法,破解用戶的賬號和密碼。這種簡單粗暴的方法,直接獲取了用戶最關鍵的登錄信息,相當於竊取了用戶的網絡身份。犯罪嫌疑人會根據軟件自動記錄撞庫成功的手機號和密碼,把他們一一對應起來,生成一個文本文檔。
就這樣,丁小姐的銀行卡密碼被犯罪嫌疑人輕易攻破了,但這還不足以使她的所有積蓄都一夜蒸發。犯罪嫌疑人要把錢拿到手,關鍵的一點還得突破至關重要的一把鑰匙:隨機的短信驗證碼,這直接導致丁小姐會收到第二條短信。犯罪嫌疑人用丁小姐手機開通的短信過濾和短信保管功能。其中,短信過濾可以設置關鍵詞和來信號碼,這樣丁小姐就收不到所有的餘額變動通知和動態驗證碼了;而短信保管則可以把用戶接收到的短信同步保存在雲端,這樣一來犯罪嫌疑人就能進入短信保管的保管箱,提取到這個動態驗證碼。如此一來,丁小姐的錢就神不知鬼不覺地被轉走了。
“魔法”升級:自助換卡以假亂真
經警方調查,犯罪嫌疑人用類似的手法在全國已作案多起,這種新騙術手法簡單而隱蔽,如果不能盡快破案,將會演變為極大的金融安全隱患。
就在警方馬不停蹄地調查取證的時候,升級版的作案新手法又出現了。這次的受害人陳先生是一名國企高管,他同樣損失慘重,在一夜間被轉走了28萬元,其中1萬元是工資,還有27萬元是剛剛到期的理財資金。與此同時,全國各地還有幾名和陳先生同樣遭遇的被害人。令人咂舌的是,他們都發現了手機曾一度突然不在服務狀態。在警方的提醒下,運營商發現安全漏洞,關閉了相關的短信過濾和保管功能。
原本以為,犯罪嫌疑人會有所收斂,但他們又“開發”了全新的作案手法:換卡。犯罪嫌疑人攻破了受害人的網上營業廳後,以受害人的“名義”申請了4G換卡業務。犯罪嫌疑人利用受害者的手機號和密碼登錄營業廳,申請升級手機SIM卡,而運營商一般默認登錄人就是持卡人本人,再加上隨機動態碼的驗證,因而跳過更多身份驗證的環節直接就可以把卡快遞到指定的地址。這原本是一項便民的服務,但被利用,此時持卡人的登錄密碼已經被攻破,驗證碼和短信通知也已被攔截,所以新卡在持卡人毫不知情的情況下,寄到了不法分子的手上。而新卡一旦被激活,真正的持卡人手上的這張卡就自動失效了。
不寒而栗:4人攻破3.2億條個人信息
案件一個個地湧現,作案的犯罪嫌疑人究竟在哪裏?錢又被他們轉去了哪裏呢?警方調查發現,丁小姐和陳先生的錢都被轉到了一個名為“章一丹”的福建省農村信用社賬戶,然後在短時間內又分發到了幾十上百個下級賬戶。這是典型的電信詐騙手法,這些賬戶遍布全國,追蹤難度極大,破案成本也相當高。黃浦警方奔赴全國各地調取了相關賬戶的取款記錄和監控錄像,在茫茫人海中鎖定了一個最有嫌疑的賬戶,並立即趕往海南儋州。
經過仔細分析後,警方判斷對象很有可能再次取款,於是決定在附近守株待兔。就這樣,經過好幾天的調查和跟蹤,黃浦警方終於抓到了本案的第一個犯罪嫌疑人楊水建。
楊水建只是個取款人,警方順藤摸瓜,找到了這個犯罪團夥的其他嫌疑人:唐春模、童可立和辛道煌。令人驚訝的是,這種不需要與受害人通話或短信,甚至也不需要受害人配合轉賬或點擊任何鏈接,便可以將對方的資金全部獲取的始作俑者,竟然是幾個初中學曆的80後、90後。而正是這幾個不起眼的年輕人,自2015年8月至9月,在這短短的一個月內,從7名被害人的賬戶中轉賬或消費了170餘萬元。
警方在抓捕嫌犯辛道煌時,他還正埋頭進行數據撞庫和切割的工作。更令人瞠目的是,從嫌犯租賃的服務器上查獲了3.2億條個人信息,都是手機號碼、密碼、身份證等組合,而且全是他們掃號掃出來的結果。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每四個人當中就有一個人的信息已經被泄露或者攻破。這么一個海量數字,而攻破這么多賬戶信息的竟然只有4個人。
痛定思痛:用戶運營商和銀行都要小心
2016年11月,黃浦檢察院對被告人童可立等四人以涉嫌信用卡詐騙罪、侵犯公民個人信息罪提起公訴。起訴書指控的犯罪事實表明,被告人唐春模負責隊伍召集和統籌,童可立負責掃碼撞庫,辛道煌將他撞庫獲取的數據進行分割整理剔除後,再交還給童可立,由童可立進行具體的營業廳及網銀轉賬操作,非法所得分發到幾百個下級賬戶後,最終由楊水建安排“馬仔”進行取款。
今年5月24日,黃浦區人民法院一審對被告人童可立、唐春模、楊水建三人以信用卡詐騙罪和侵犯公民個人信息罪兩罪判罰,分別判處15年、16年和9年有期徒刑;對被告人辛道煌以侵犯公民個人信息罪判處有期徒刑4年。
手機運營商和銀行系統,是個人信息和財產安全鏈條中最重要的兩環。記得有人開玩笑地說,要想賬戶不被盜,最簡單的方式是不要開通網絡版和手機版,因為一旦多一個平台,安全性就降低一分。但如今是信息飛速發展的時代,有多少人能抵擋住便利的誘惑,繼續耐著性子去營業廳排隊辦理業務呢?安全和便利,永遠都是天平的兩端,任何一頭都不應該被忽視。
所以,要想大家的“辛苦錢”都不被賊惦記,無論是用戶本人、運營商還是銀行,都必須紮緊籬笆,時刻提防不法分子的入侵。
(文中人物均為化名)