首頁>要聞>沸點(diǎn) 沸點(diǎn)
銀行卡盜刷黑色產(chǎn)業(yè):一天發(fā)3萬木馬短信月入十幾萬
6月8日,在一個(gè)從事黑料交易的QQ群中,一位“料主”與“洗料人”就發(fā)生了爭(zhēng)執(zhí)。“料主”稱已把“料”發(fā)給了洗料人,但“洗料人”隔了三天都沒回款。“洗料人”則喊冤稱“錢還在,我根本沒有洗這個(gè)料”。
“實(shí)際上,任何擁有手機(jī)短信權(quán)限,能通過銀行卡卡號(hào)和密碼進(jìn)行轉(zhuǎn)賬操作的平臺(tái),都可以作為‘洗料’的通道,不同的是安全與否。”一位了解互聯(lián)網(wǎng)黑產(chǎn)的人士告訴新京報(bào)記者。
該人士介紹,目前流行的“通道”包括開通快捷支付的各類網(wǎng)上銀行系統(tǒng),以及游戲幣、卡盟話費(fèi)或者其他第三方平臺(tái)。
新京報(bào)記者查閱多份“信用卡詐騙”相關(guān)判決書后發(fā)現(xiàn),在獲得“料主”提供的銀行卡信息后,“洗料人”可以利用上述信息騙取銀行客服的信任,修改或增加被害人信用卡所綁定的手機(jī)號(hào)碼,或者直接攔截被害人的手機(jī)短信。而“洗料人”在法院當(dāng)庭供述的洗料“通道”包括支付寶、微信、易付寶、“去哪兒網(wǎng)”賬戶、“攜程網(wǎng)”賬戶、電子加油卡賬戶等第三方支付平臺(tái)。
難題:
“盜刷很難判斷泄露環(huán)節(jié)在哪里”
5月9日,最高人民法院與最高人民檢察院聯(lián)合發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》。《解釋》明確,非法獲取、出售或者提供公民個(gè)人信息違法所得五千元以上,即應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”,可處三年以下有期徒刑或者拘役,并處或者單處罰金。
360手機(jī)衛(wèi)士安全專家葛健向新京報(bào)記者表示,2017年第一季度,360手機(jī)衛(wèi)士攔截的垃圾短信中,有1100萬條偽基站短信,占垃圾短信攔截總量的0.5%。一季度,360互聯(lián)網(wǎng)安全中心共截獲安卓平臺(tái)新增惡意程序樣本222.8萬個(gè),隱私竊取類木馬占比7.9%。
葛健稱,360提供的數(shù)據(jù)顯示,2017年第一季度,偽基站短信在所有垃圾短信中的比例,相較于2016年第一季度(6.6%)、2016年全年(4%)有了明顯下降。這說明通過公安機(jī)關(guān)、電信運(yùn)營商、安全廠商等相關(guān)政府、企業(yè)聯(lián)合打擊治理后,偽基站短信得到了有效的治理。
21CN聚投訴在3月發(fā)布的銀行卡盜刷大數(shù)據(jù)顯示,2016年度,銀行卡盜刷全網(wǎng)公開的投訴量共7095次,累計(jì)造成客戶經(jīng)濟(jì)損失1.83億元。2016年工商銀行全年盜刷投訴量1923次,成為盜刷投訴第一大戶,占總投訴量的25.6%,涉案金額3874.8萬元。
北京盈科律師事務(wù)所方超強(qiáng)律師表示,一般用戶銀行卡信息泄露后遭到盜刷,很難判斷泄露環(huán)節(jié)在哪里。但銀行卡在盜刷時(shí)總會(huì)有IP地址顯示,銀行卡持有人只要證明銀行卡被盜刷時(shí)的IP地址和本人當(dāng)時(shí)所在地址不一致,就可以證明這單交易非本人操作,從而獲得銀行理賠。
“在實(shí)際維權(quán)過程中,如果銀行卡持有人舉證證明銀行卡確實(shí)遭到盜刷,且過錯(cuò)是銀行方面的漏洞,是可以獲得銀行賠償?shù)摹2贿^在釣魚網(wǎng)站泄露信息被盜刷的情況并不屬于銀行本身存在漏洞,只能說騙術(shù)過于高明,在這樣的情況下,銀行不需承擔(dān)責(zé)任。”方超強(qiáng)表示。
6月8日,新京報(bào)記者撥打工商銀行及招商銀行客服咨詢銀行卡被盜刷之后可如何處理,工行客服回復(fù)稱,如果用戶賬戶遭到盜刷,可以立即申請(qǐng)拒付以避免更大損失;如果上了賬戶安全險(xiǎn),遭到盜刷后可以獲取一定數(shù)額的賠償,但并不能保證被盜刷走的錢一定能被追回來。招行則回復(fù)稱具體處理情況需要根據(jù)盜刷者是境內(nèi)境外盜刷以及線上還是線下盜刷來具體分析。
2016年,新京報(bào)曾經(jīng)報(bào)道,受害者許先生在回復(fù)一條短信后,銀行卡、支付寶、百度錢包內(nèi)資金被盜走的情況。網(wǎng)絡(luò)安全專家當(dāng)時(shí)分析,這是一則利用“個(gè)人信息+USIM卡+改號(hào)軟件發(fā)送詐騙短信”盜取資金的案件,在實(shí)施詐騙之前,騙子掌握了大量受害者的個(gè)人信息,包括姓名、手機(jī)號(hào)、身份證號(hào)、網(wǎng)銀賬戶和密碼,銀行預(yù)留的驗(yàn)證手機(jī)號(hào)。不法分子獲取個(gè)人信息主要的途徑包括無良商家盜賣、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚網(wǎng)站詐騙、二手手機(jī)泄密和新型黑客技術(shù)竊取等。
第三方支付平臺(tái)易聯(lián)支付也遭遇過用戶銀行卡通過其平臺(tái)被盜刷的情況。
5月4日,有用戶反映自己銀行卡上的500塊錢被他人通過易聯(lián)支付進(jìn)入蘋果賬號(hào)充值“取走”。
易聯(lián)支付相關(guān)負(fù)責(zé)人向新京報(bào)記者表示,該用戶的銀行卡在被盜刷過程中,均是在填寫了正確的銀行卡開戶信息以及個(gè)人身份信息后,輸入了正確的銀行卡取款密碼,易聯(lián)支付通過銀聯(lián)及發(fā)卡行對(duì)支付信息進(jìn)行校驗(yàn)后才成功扣款。“我們以此可以判斷在銀行卡被盜刷前,犯罪分子已經(jīng)掌握了所有支付信息,包含銀行卡取款密碼。”
上述負(fù)責(zé)人表示,易聯(lián)支付有“先行賠付”機(jī)制。“我們?cè)谑盏皆撚脩舻耐对V后,已第一時(shí)間聯(lián)系商家凍結(jié)交易,并在投訴后的第1個(gè)工作日安排了退款。”
方超強(qiáng)表示,第三方平臺(tái)屬于支付的渠道和工具,在刷卡環(huán)節(jié)不認(rèn)人,只和密鑰比對(duì),因此在銀行卡盜刷事件中,第三方平臺(tái)本身并不需要承擔(dān)責(zé)任。
新京報(bào)記者 羅亦丹 陳鵬
編輯:周佳佳
關(guān)鍵詞:銀行卡盜刷 3萬木馬短信 月入十幾萬