法治报记者金豪法治报通讯员林莉丽
隔空取物,听上去是武侠小说里才会有的高级“功夫”,事实上,我们身边也有这样的“灵异事件”。但它并不是什么武功,而是极其恶劣的犯罪行为。这一次被犯罪分子盯上的,是银行卡里的存款……
深夜神秘短信:所有存款一夜蒸发
年轻白领丁小姐在新天地附近一家外企上班。2015 年 9 月的一天清晨,她起床后看见手机上有两条来自银行和手机运营商的短信,发送时间分别是凌晨3:43 和4:12。第一条短信说的是她的招商银行一网通在修改密码,第二条是来自运营商的短信,提示丁小姐开通了短信过滤和短信保管两个功能。
对于凌晨三四点正处于熟睡之中的丁小姐来说,不可能主动开通这两项不熟悉的功能。那么究竟是谁动了她的银行卡,并向手机运营商申请开通了新业务呢?丁小姐出于谨慎查了一下自己的银行账户,瞬间惊出一身冷汗,账户内 10 万多元的余额在一夜间归零!但蹊跷的是,银行的“余额变动提醒”她一次也没有收到。丁小姐定下心神,马上挂失了这张银行卡,并拨打了 110 报警。
而噩梦才刚刚开始,没多久,丁小姐就收到她的另一张浦发银行信用卡通过微信推送给她的一条消息,告知她消费被刷 900 多元。接着,惊魂未定的丁小姐接二连三地接收到类似的信息。更令她感到不寒而栗的是,挂失了这两张卡之后,并没有使自己的资金摆脱被劫的命运。
之后的 48 小时内,丁小姐发现名下的另两张储蓄卡在她完全不知情的情况下,又分别申请了两笔贷款共计十几万元。这意味着,丁小姐不仅金融身份被人盗用,所有的余额变动,业务办理等通知短信和动态密码也都被拦截了。
一夜之间,丁小姐变得身无分文,还背上了高额的欠债。所幸,丁小姐立即致电银行说明了情况,银行暂停了此笔贷款业务。
随后,丁小姐立即冻结了所有的卡并一同关闭了微信、支付宝等所有的线上支付功能,但这些都不能消除她发自内心的恐惧,因为真正的恐惧恰恰是无法控制局面。丁小姐坦言:“事发后,我一直失眠,因为我很害怕,不知道问题到底出在哪里,我的信息到底是在哪个环节被泄露了,而且这些泄露的信息只涉及到我的银行卡吗?还是其他方面也会有问题?”
当黄浦区人民检察院的承办检察官向丁小姐了解案情时,她这样说:“从收到可疑短信,到自己所有账户被彻底洗劫一空,甚至欠下高额的债务,整个过程只有两天,其间我没有点击任何不明链接,平时也相当注重网络安全,所有涉及到转账的都用U盾,上网也使用专业版网上银行……”那么,丁小姐的银行密码到底是怎么被破解的呢?回想起来,所有这些不可思议的事件都是从凌晨收到的那两条蹊跷的短信开始的……
野蛮“撞库”和云端保存:关键短信“惨遭”屏蔽
据后来侦查发现,丁小姐收到的第一条短信是来自银行。也就是说,在那个时候,犯罪嫌疑人已经登录了她的网银,并试图更改她名下储蓄卡的关联手机。
那么,丁小姐的网银密码又是怎么流出去的呢?这就是犯罪嫌疑人利用一些扫号软件进行撞(数据)库获取的。“撞库”是黑客的专业术语,指的是通过扫描网站或者分析现有数据,尝试批量登录其他网站后,得到一系列可以登录的用户名和密码。一旦这些网站的安全措施不到位,被攻破了,后台的数据被获取了,那么用户的手机号码和密码组合就直接泄露了。
而这种所谓的撞库,就是用不停快速尝试的方法,破解用户的账号和密码。这种简单粗暴的方法,直接获取了用户最关键的登录信息,相当于窃取了用户的网络身份。犯罪嫌疑人会根据软件自动记录撞库成功的手机号和密码,把他们一一对应起来,生成一个文本文档。
就这样,丁小姐的银行卡密码被犯罪嫌疑人轻易攻破了,但这还不足以使她的所有积蓄都一夜蒸发。犯罪嫌疑人要把钱拿到手,关键的一点还得突破至关重要的一把钥匙:随机的短信验证码,这直接导致丁小姐会收到第二条短信。犯罪嫌疑人用丁小姐手机开通的短信过滤和短信保管功能。其中,短信过滤可以设置关键词和来信号码,这样丁小姐就收不到所有的余额变动通知和动态验证码了;而短信保管则可以把用户接收到的短信同步保存在云端,这样一来犯罪嫌疑人就能进入短信保管的保管箱,提取到这个动态验证码。如此一来,丁小姐的钱就神不知鬼不觉地被转走了。
“魔法”升级:自助换卡以假乱真
经警方调查,犯罪嫌疑人用类似的手法在全国已作案多起,这种新骗术手法简单而隐蔽,如果不能尽快破案,将会演变为极大的金融安全隐患。
就在警方马不停蹄地调查取证的时候,升级版的作案新手法又出现了。这次的受害人陈先生是一名国企高管,他同样损失惨重,在一夜间被转走了 28 万元,其中 1 万元是工资,还有 27 万元是刚刚到期的理财资金。与此同时,全国各地还有几名和陈先生同样遭遇的被害人。令人咂舌的是,他们都发现了手机曾一度突然不在服务状态。在警方的提醒下,运营商发现安全漏洞,关闭了相关的短信过滤和保管功能。
原本以为,犯罪嫌疑人会有所收敛,但他们又“开发”了全新的作案手法:换卡。犯罪嫌疑人攻破了受害人的网上营业厅后,以受害人的“名义”申请了 4G 换卡业务。犯罪嫌疑人利用受害者的手机号和密码登录营业厅,申请升级手机 SIM 卡,而运营商一般默认登录人就是持卡人本人,再加上随机动态码的验证,因而跳过更多身份验证的环节直接就可以把卡快递到指定的地址。这原本是一项便民的服务,但被利用,此时持卡人的登录密码已经被攻破,验证码和短信通知也已被拦截,所以新卡在持卡人毫不知情的情况下,寄到了不法分子的手上。而新卡一旦被激活,真正的持卡人手上的这张卡就自动失效了。
不寒而栗:4 人攻破 3.2 亿条个人信息
案件一个个地涌现,作案的犯罪嫌疑人究竟在哪里?钱又被他们转去了哪里呢?警方调查发现,丁小姐和陈先生的钱都被转到了一个名为“章一丹”的福建省农村信用社账户,然后在短时间内又分发到了几十上百个下级账户。这是典型的电信诈骗手法,这些账户遍布全国,追踪难度极大,破案成本也相当高。黄浦警方奔赴全国各地调取了相关账户的取款记录和监控录像,在茫茫人海中锁定了一个最有嫌疑的账户,并立即赶往海南儋州。
经过仔细分析后,警方判断对象很有可能再次取款,于是决定在附近守株待兔。就这样,经过好几天的调查和跟踪,黄浦警方终于抓到了本案的第一个犯罪嫌疑人杨水建。
杨水建只是个取款人,警方顺藤摸瓜,找到了这个犯罪团伙的其他嫌疑人:唐春模、童可立和辛道煌。令人惊讶的是,这种不需要与受害人通话或短信,甚至也不需要受害人配合转账或点击任何链接,便可以将对方的资金全部获取的始作俑者,竟然是几个初中学历的 80 后、90 后。而正是这几个不起眼的年轻人,自 2015 年 8 月至 9 月,在这短短的一个月内,从 7 名被害人的账户中转账或消费了 170 余万元。
警方在抓捕嫌犯辛道煌时,他还正埋头进行数据撞库和切割的工作。更令人瞠目的是,从嫌犯租赁的服务器上查获了 3.2 亿条个人信息,都是手机号码、密码、身份证等组合,而且全是他们扫号扫出来的结果。如果按照我国平均每人拥有一个手机号码来算,3.2 亿条信息,意味着每四个人当中就有一个人的信息已经被泄露或者攻破。这么一个海量数字,而攻破这么多账户信息的竟然只有 4 个人。
痛定思痛:用户运营商和银行都要小心
2016 年 11 月,黄浦检察院对被告人童可立等四人以涉嫌信用卡诈骗罪、侵犯公民个人信息罪提起公诉。起诉书指控的犯罪事实表明,被告人唐春模负责队伍召集和统筹,童可立负责扫码撞库,辛道煌将他撞库获取的数据进行分割整理剔除后,再交还给童可立,由童可立进行具体的营业厅及网银转账操作,非法所得分发到几百个下级账户后,最终由杨水建安排“马仔”进行取款。
今年 5 月 24 日,黄浦区人民法院一审对被告人童可立、唐春模、杨水建三人以信用卡诈骗罪和侵犯公民个人信息罪两罪判罚,分别判处 15 年、16 年和 9 年有期徒刑;对被告人辛道煌以侵犯公民个人信息罪判处有期徒刑 4 年。
手机运营商和银行系统,是个人信息和财产安全链条中最重要的两环。记得有人开玩笑地说,要想账户不被盗,最简单的方式是不要开通网络版和手机版,因为一旦多一个平台,安全性就降低一分。但如今是信息飞速发展的时代,有多少人能抵挡住便利的诱惑,继续耐着性子去营业厅排队办理业务呢?安全和便利,永远都是天平的两端,任何一头都不应该被忽视。
所以,要想大家的“辛苦钱”都不被贼惦记,无论是用户本人、运营商还是银行,都必须扎紧篱笆,时刻提防不法分子的入侵。
(文中人物均为化名)