银行卡失窃刷,这事挺可怕。海南三亚民警就抓获了这样一起新型交行卡盗刷案件,一位男士在家哪些都没做,一觉醒来,却发觉自己的交行卡早已被洗劫一空。像这样一类盗刷案件早已多次发生,引起了人们的关注。那么,不法分子是如何无声无息就把钱转走了?这类案件为何会多次发生,我们又该怎么防范呢?
2019年7月4日凌晨3点多,海南省三亚市宋男士的手机上忽然收到了几条短信验证码,不一会儿手机又接到邮件,显示她的交行卡被刷走了5万元。
在农行卡上的钱被转走之前,宋女士有没有进行哪些操作呢,有没有哪些可疑的事情发生呢?
受害人宋女士说:“没有任何操作,问你的身份证,你的农行卡密码,根本就没有,根本不用我操作。”
什么都没有操作钱就被转走了,宋女士赶快到附近的三亚市公安局三亚湾派出所进行报警。接到报警后,接案的警察也倍感离奇。
因为整个过程受害人没有和盗刷交行卡的人有过任何的沟通、接触,无法提供盗刷交行卡的人的任何信息,于是海南民警决定从资金流向入手展开调查。
三亚市公安局天涯分局三亚湾派出所副主任赵成良说:“宋女士的钱从工行卡下来之后,我们查询到这笔钱步入到了通联支付公司,就是第三方支付公司。这笔钱又从通联支付,进入上海冠胜,是一个第四方支付公司。”
最后这笔钱从广州增城一家建行的自动取款机上被拿走,三亚民警很快锁定了犯罪嫌疑人,在广州佛山将其抓捕,宋女士的5万元钱被全部追回。钱被追回来了,这个案子其实到此早已可以立案了,但民警在破获过程中有一个疑惑却始终未能破解。以前的一些案例,不法分子把握了受害人的个人信息后,会设法获取受害人的建行卡密码进行转款。而本案受害人宋女士的钱被转走是因为与动态验证码被查获有关,这个显然更安全的动态验证码不法分子是如何获取的呢?
三亚民警创立专案组对此案进行深挖,经过连日鏖战,这个作案人员涉及云南、四川、山东、广东等地,成员有着严密分工、单线联系的特大网路盗刷结伙总算现形。2019年7月,专案组警察开始收网,在四川南充抓捕了这个结伙的上家陈某华,抓获现场几台笔记本还正在运行。
赵成良说:“当时我们就问他,这个动态验证码是如何获得的?他说是在海南有一个窃贼,在被害人居住的范围之内,嗅取了被害人宋女士动态支付验证码,嗅取到之后他将动态验证码发给洗钱通道,就将这个钱给支付下来了。”
什么是嗅探?犯罪嫌疑人又是如何嗅取了受害人的动态验证码的呢?
犯罪嫌疑人顾某某说:“用诺基亚118的手机,通过一番改建,把它弄成一个接受的天线,再配合上特定的U盘系统,在笔记本打开以后,就可以模仿基站的讯号,拦截相当于嗅取侦测到周围手机邮件。一个手机15块钱,相当于一个简单的拼接过程。”
为什么这么廉价简单的嗅探设备,就能查获大量的手机邮件呢?
中国政法大学网络法学研究院副院长王立梅说:“在2G的状态下,因为加密技术相对来讲比较简单,比较容易抓获,或者容易破解,那么当到2G这些网路的时侯,嗅探技术在中间查获这个数据包,然后解开就可以了。”
虽然如今我们已经步入4G时代,有的地方甚至早已用上了5G,但在一些4G讯号不好的地方,手机会切换到2G网路。另外,一些犯罪嫌疑人借助讯号干扰设备,专门对一定范围的手机讯号进行干扰,这时这种用户的手机讯号也会忽然弄成2G讯号。这些犯罪嫌疑人都会借助2G网路存在的漏洞,用嗅探设备吸附到周围一定范围之内的手机讯号。吸附成功后,受害人的手机号码和邮件信息会手动显示在犯罪嫌疑人的笔记本上,受害人不会有任何察觉,悄无声息中就弄成了犯罪嫌疑人的猎物。
要想将受害人交行卡上的钱转走,犯罪嫌疑人必须同时获得该用户的姓名、身份证号、银行卡号、手机号、和动态验证码。这5个条件如同5把锁匙,一般情况下犯罪份子很难获得,但由于有了受害人的手机号码并才能实时截取动态验证码,犯罪嫌疑人就好似领到了一把万能钥匙,他们会通过网路来获得其它几把锁匙。
对于一些没有买过保险,或者在天猫没有登记信息的用户,犯罪嫌疑人会同时登陆这个用户其它的多个APP。
最关键的是支付环节,不少APP常常还会对用户的建行卡号刻意隐去几位,那么犯罪嫌疑人又是如何获得完整的建行卡号呢?
顾某某说:“可以通过冲值,我随意点一个冲值的形式,一冲值和付款方式,可以看到你所有的卡。我晓得你有建设银行的,我就可以去跑你的卡,就脚本跑你的卡,像招商银行的和工商银行,我直接通过别的APP就直接获取了。你也不用震惊,这也不是我发明、创造的,就是如此一种操作的方法。”
犯罪嫌疑人获得了受害人的姓名、身份证号、手机号、动态验证码、银行卡号这种信息然后,还会选购作案对象,查验用户是否有作案价值。
确定了有价值的用户以后,犯罪嫌疑人会再度借助受害人的手机号码加动态验证码,使用免密支付的形式将受害人的钱转移出去。
此时,受害人哪些都没有操作,手机上会收到一堆验证码,之后交行卡上的钱就被转走了。这个案件当中,犯罪嫌疑人使用的嗅探设备非常廉价,嗅探技术也不是哪些深奥的技术,为什么却能屡次得手呢?
顾某某说:“你在一些APP里面去实名注册信息,很多时侯是图便捷,当你忘掉密码的时侯,就可以通过短信验证码去登陆,这个时侯你会感觉到很方便,同时也便捷了我们这种犯罪分子去窃取你的个人信息,通过验证码登陆,方便了你,也便捷了我。”
记者随即在手机上,选择了多个常用的APP进行测试,这些APP通常都可以通过用户名加密码和手机号加动态验证码两种形式进行登陆。当用户忘掉密码的时侯,可以通过手机号发送验证码的形式寻回密码。这一切对用户来说虽然很方便,也很安全。可是不法分子恰恰借助手机号加动态验证码也可以登入的便利,选择在夜深人静、人们防范意识比较低的时侯,在自己的手机或笔记本上输入用户的手机号,再用查获的动态验证码登陆用户的APP,达到诈骗用户资金的目的。
王立梅说:“手机加验证码的形式可能是现今大多数的,尤其是在网路空间这些好多APP所通行采用的方式,不是说一两个通行验证方法,但是这些验证方法本身它是有一定的安全隐患的,也就是说首先验证码是有可能被查获的,这是其中一个。第二个就是预留的手机号码,这个号码实际上它泄漏的可能性也是十分大的,所以它们两个加在一起,做一个惟一的验证方法是有一定漏洞的,尽可能应当是再有其它的验证方式给以补充。”
不仅这般,很多互联网公司对用户的个人信息,保护也不到位。
王立梅说:“在我们登陆好多好多APP,使用好多联通服务的时侯,每一个联通服务都要求我们提供一遍我们个人的一些数据,那么当我们步入这么多的使用了这么多的用途之后,几乎我们所有的信息,就在互联网各个节点有特别多的备份,那么任何一个备份遗失、泄露等等,都会导致全部数据的丢失。”
因为犯罪嫌疑人才能故意干扰手机讯号,这样才会使4G、5G手机手动转入2G网路。而2G网路的先天不足一时无法填补,这就要求诸多互联网公司和农行,不能以手机加动态验证码作为惟一的身分验证方法,应该尽可能再降低其它验证方式给以补充。同时,普通用户也要强化个人防范。
犯罪嫌疑人陈某某说:“最好办法,打个比方,你若果说要绑定第三方平台交行卡,尽量不要放太多资金。”
当用户忽然收到不明的验证码,然后发觉交行卡失窃刷了也不要慌张。
赵成良说:“第一时间到公安机关报考,及时止付,把你的建行卡销户冻结,我们公安机关去追这笔钱。”
这个案件,虽然不大但反应下来的问题值得你们关注。我们的个人信息如同水池里的水,每使用一项互联网服务如同给这个水池安装了一个管线,增加了泄漏的风险,更令人担心的是,很多管线用的都是同一种水龙头,手机号码加验证码。现在信息网路技术犯罪越来越多,这些不法分子之所以还能得逞,就是借助了网路技术上的各类漏洞。人们希望联通运营商、互联网企业、银行以及监管部门能多想办法,保障人民群众的财产安全。毕竟,没有安全的便捷是没有意义的。
-----------------------------
您有新闻线索,请联系我们:
邮 箱:85859595@cctv.com
或在下方留言