□法治報(bào)記者金豪法治報(bào)通訊員林莉麗

隔空取物，聽上去是武俠小說(shuō)里才會(huì)有的高級(jí)“功夫”，事實(shí)上，我們身邊也有這樣的“靈異事件”。但它并不是什么武功，而是極其惡劣的犯罪行為。這一次被犯罪分子盯上的，是銀行卡里的存款……

深夜神秘短信：所有存款一夜蒸發(fā)

年輕白領(lǐng)丁小姐在新天地附近一家外企上班。2015年9月的一天清晨，她起床后看見手機(jī)上有兩條來(lái)自銀行和手機(jī)運(yùn)營(yíng)商的短信，發(fā)送時(shí)間分別是凌晨3：43和4：12。第一條短信說(shuō)的是她的招商銀行一網(wǎng)通在修改密碼，第二條是來(lái)自運(yùn)營(yíng)商的短信，提示丁小姐開通了短信過(guò)濾和短信保管兩個(gè)功能。

對(duì)于凌晨三四點(diǎn)正處于熟睡之中的丁小姐來(lái)說(shuō)，不可能主動(dòng)開通這兩項(xiàng)不熟悉的功能。那么究竟是誰(shuí)動(dòng)了她的銀行卡，并向手機(jī)運(yùn)營(yíng)商申請(qǐng)開通了新業(yè)務(wù)呢?丁小姐出于謹(jǐn)慎查了一下自己的銀行賬戶，瞬間驚出一身冷汗，賬戶內(nèi)10萬(wàn)多元的余額在一夜間歸零!但蹊蹺的是，銀行的“余額變動(dòng)提醒”她一次也沒(méi)有收到。丁小姐定下心神，馬上掛失了這張銀行卡，并撥打了110報(bào)警。

而噩夢(mèng)才剛剛開始，沒(méi)多久，丁小姐就收到她的另一張浦發(fā)銀行信用卡通過(guò)微信推送給她的一條消息，告知她消費(fèi)被刷900多元。接著，驚魂未定的丁小姐接二連三地接收到類似的信息。更令她感到不寒而栗的是，掛失了這兩張卡之后，并沒(méi)有使自己的資金擺脫被劫的命運(yùn)。

之后的48小時(shí)內(nèi)，丁小姐發(fā)現(xiàn)名下的另兩張儲(chǔ)蓄卡在她完全不知情的情況下，又分別申請(qǐng)了兩筆貸款共計(jì)十幾萬(wàn)元。這意味著，丁小姐不僅金融身份被人盜用，所有的余額變動(dòng)，業(yè)務(wù)辦理等通知短信和動(dòng)態(tài)密碼也都被攔截了。

一夜之間，丁小姐變得身無(wú)分文，還背上了高額的欠債。所幸，丁小姐立即致電銀行說(shuō)明了情況，銀行暫停了此筆貸款業(yè)務(wù)。

隨后，丁小姐立即凍結(jié)了所有的卡并一同關(guān)閉了微信、支付寶等所有的線上支付功能，但這些都不能消除她發(fā)自內(nèi)心的恐懼，因?yàn)檎嬲目謶智∏∈菬o(wú)法控制局面。丁小姐坦言：“事發(fā)后，我一直失眠，因?yàn)槲液芎ε?，不知道?wèn)題到底出在哪里，我的信息到底是在哪個(gè)環(huán)節(jié)被泄露了，而且這些泄露的信息只涉及到我的銀行卡嗎?還是其他方面也會(huì)有問(wèn)題?”

當(dāng)黃浦區(qū)人民檢察院的承辦檢察官向丁小姐了解案情時(shí)，她這樣說(shuō)：“從收到可疑短信，到自己所有賬戶被徹底洗劫一空，甚至欠下高額的債務(wù)，整個(gè)過(guò)程只有兩天，其間我沒(méi)有點(diǎn)擊任何不明鏈接，平時(shí)也相當(dāng)注重網(wǎng)絡(luò)安全，所有涉及到轉(zhuǎn)賬的都用U盾，上網(wǎng)也使用專業(yè)版網(wǎng)上銀行……”那么，丁小姐的銀行密碼到底是怎么被破解的呢?回想起來(lái)，所有這些不可思議的事件都是從凌晨收到的那兩條蹊蹺的短信開始的……

野蠻“撞庫(kù)”和云端保存：關(guān)鍵短信“慘遭”屏蔽

據(jù)后來(lái)偵查發(fā)現(xiàn)，丁小姐收到的第一條短信是來(lái)自銀行。也就是說(shuō)，在那個(gè)時(shí)候，犯罪嫌疑人已經(jīng)登錄了她的網(wǎng)銀，并試圖更改她名下儲(chǔ)蓄卡的關(guān)聯(lián)手機(jī)。

那么，丁小姐的網(wǎng)銀密碼又是怎么流出去的呢?這就是犯罪嫌疑人利用一些掃號(hào)軟件進(jìn)行撞(數(shù)據(jù))庫(kù)獲取的。“撞庫(kù)”是黑客的專業(yè)術(shù)語(yǔ)，指的是通過(guò)掃描網(wǎng)站或者分析現(xiàn)有數(shù)據(jù)，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶名和密碼。一旦這些網(wǎng)站的安全措施不到位，被攻破了，后臺(tái)的數(shù)據(jù)被獲取了，那么用戶的手機(jī)號(hào)碼和密碼組合就直接泄露了。

而這種所謂的撞庫(kù)，就是用不?？焖賴L試的方法，破解用戶的賬號(hào)和密碼。這種簡(jiǎn)單粗暴的方法，直接獲取了用戶最關(guān)鍵的登錄信息，相當(dāng)于竊取了用戶的網(wǎng)絡(luò)身份。犯罪嫌疑人會(huì)根據(jù)軟件自動(dòng)記錄撞庫(kù)成功的手機(jī)號(hào)和密碼，把他們一一對(duì)應(yīng)起來(lái)，生成一個(gè)文本文檔。

就這樣，丁小姐的銀行卡密碼被犯罪嫌疑人輕易攻破了，但這還不足以使她的所有積蓄都一夜蒸發(fā)。犯罪嫌疑人要把錢拿到手，關(guān)鍵的一點(diǎn)還得突破至關(guān)重要的一把鑰匙：隨機(jī)的短信驗(yàn)證碼，這直接導(dǎo)致丁小姐會(huì)收到第二條短信。犯罪嫌疑人用丁小姐手機(jī)開通的短信過(guò)濾和短信保管功能。其中，短信過(guò)濾可以設(shè)置關(guān)鍵詞和來(lái)信號(hào)碼，這樣丁小姐就收不到所有的余額變動(dòng)通知和動(dòng)態(tài)驗(yàn)證碼了;而短信保管則可以把用戶接收到的短信同步保存在云端，這樣一來(lái)犯罪嫌疑人就能進(jìn)入短信保管的保管箱，提取到這個(gè)動(dòng)態(tài)驗(yàn)證碼。如此一來(lái)，丁小姐的錢就神不知鬼不覺地被轉(zhuǎn)走了。

“魔法”升級(jí)：自助換卡以假亂真

經(jīng)警方調(diào)查，犯罪嫌疑人用類似的手法在全國(guó)已作案多起，這種新騙術(shù)手法簡(jiǎn)單而隱蔽，如果不能盡快破案，將會(huì)演變?yōu)闃O大的金融安全隱患。

就在警方馬不停蹄地調(diào)查取證的時(shí)候，升級(jí)版的作案新手法又出現(xiàn)了。這次的受害人陳先生是一名國(guó)企高管，他同樣損失慘重，在一夜間被轉(zhuǎn)走了28萬(wàn)元，其中1萬(wàn)元是工資，還有27萬(wàn)元是剛剛到期的理財(cái)資金。與此同時(shí)，全國(guó)各地還有幾名和陳先生同樣遭遇的被害人。令人咂舌的是，他們都發(fā)現(xiàn)了手機(jī)曾一度突然不在服務(wù)狀態(tài)。在警方的提醒下，運(yùn)營(yíng)商發(fā)現(xiàn)安全漏洞，關(guān)閉了相關(guān)的短信過(guò)濾和保管功能。

原本以為，犯罪嫌疑人會(huì)有所收斂，但他們又“開發(fā)”了全新的作案手法：換卡。犯罪嫌疑人攻破了受害人的網(wǎng)上營(yíng)業(yè)廳后，以受害人的“名義”申請(qǐng)了4G換卡業(yè)務(wù)。犯罪嫌疑人利用受害者的手機(jī)號(hào)和密碼登錄營(yíng)業(yè)廳，申請(qǐng)升級(jí)手機(jī)SIM卡，而運(yùn)營(yíng)商一般默認(rèn)登錄人就是持卡人本人，再加上隨機(jī)動(dòng)態(tài)碼的驗(yàn)證，因而跳過(guò)更多身份驗(yàn)證的環(huán)節(jié)直接就可以把卡快遞到指定的地址。這原本是一項(xiàng)便民的服務(wù)，但被利用，此時(shí)持卡人的登錄密碼已經(jīng)被攻破，驗(yàn)證碼和短信通知也已被攔截，所以新卡在持卡人毫不知情的情況下，寄到了不法分子的手上。而新卡一旦被激活，真正的持卡人手上的這張卡就自動(dòng)失效了。

不寒而栗：4人攻破3.2億條個(gè)人信息

案件一個(gè)個(gè)地涌現(xiàn)，作案的犯罪嫌疑人究竟在哪里?錢又被他們轉(zhuǎn)去了哪里呢?警方調(diào)查發(fā)現(xiàn)，丁小姐和陳先生的錢都被轉(zhuǎn)到了一個(gè)名為“章一丹”的福建省農(nóng)村信用社賬戶，然后在短時(shí)間內(nèi)又分發(fā)到了幾十上百個(gè)下級(jí)賬戶。這是典型的電信詐騙手法，這些賬戶遍布全國(guó)，追蹤難度極大，破案成本也相當(dāng)高。黃浦警方奔赴全國(guó)各地調(diào)取了相關(guān)賬戶的取款記錄和監(jiān)控錄像，在茫茫人海中鎖定了一個(gè)最有嫌疑的賬戶，并立即趕往海南儋州。

經(jīng)過(guò)仔細(xì)分析后，警方判斷對(duì)象很有可能再次取款，于是決定在附近守株待兔。就這樣，經(jīng)過(guò)好幾天的調(diào)查和跟蹤，黃浦警方終于抓到了本案的第一個(gè)犯罪嫌疑人楊水建。

楊水建只是個(gè)取款人，警方順藤摸瓜，找到了這個(gè)犯罪團(tuán)伙的其他嫌疑人：唐春模、童可立和辛道煌。令人驚訝的是，這種不需要與受害人通話或短信，甚至也不需要受害人配合轉(zhuǎn)賬或點(diǎn)擊任何鏈接，便可以將對(duì)方的資金全部獲取的始作俑者，竟然是幾個(gè)初中學(xué)歷的80后、90后。而正是這幾個(gè)不起眼的年輕人，自2015年8月至9月，在這短短的一個(gè)月內(nèi)，從7名被害人的賬戶中轉(zhuǎn)賬或消費(fèi)了170余萬(wàn)元。

警方在抓捕嫌犯辛道煌時(shí)，他還正埋頭進(jìn)行數(shù)據(jù)撞庫(kù)和切割的工作。更令人瞠目的是，從嫌犯租賃的服務(wù)器上查獲了3.2億條個(gè)人信息，都是手機(jī)號(hào)碼、密碼、身份證等組合，而且全是他們掃號(hào)掃出來(lái)的結(jié)果。如果按照我國(guó)平均每人擁有一個(gè)手機(jī)號(hào)碼來(lái)算，3.2億條信息，意味著每四個(gè)人當(dāng)中就有一個(gè)人的信息已經(jīng)被泄露或者攻破。這么一個(gè)海量數(shù)字，而攻破這么多賬戶信息的竟然只有4個(gè)人。

痛定思痛：用戶運(yùn)營(yíng)商和銀行都要小心

2016年11月，黃浦檢察院對(duì)被告人童可立等四人以涉嫌信用卡詐騙罪、侵犯公民個(gè)人信息罪提起公訴。起訴書指控的犯罪事實(shí)表明，被告人唐春模負(fù)責(zé)隊(duì)伍召集和統(tǒng)籌，童可立負(fù)責(zé)掃碼撞庫(kù)，辛道煌將他撞庫(kù)獲取的數(shù)據(jù)進(jìn)行分割整理剔除后，再交還給童可立，由童可立進(jìn)行具體的營(yíng)業(yè)廳及網(wǎng)銀轉(zhuǎn)賬操作，非法所得分發(fā)到幾百個(gè)下級(jí)賬戶后，最終由楊水建安排“馬仔”進(jìn)行取款。

今年5月24日，黃浦區(qū)人民法院一審對(duì)被告人童可立、唐春模、楊水建三人以信用卡詐騙罪和侵犯公民個(gè)人信息罪兩罪判罰，分別判處15年、16年和9年有期徒刑;對(duì)被告人辛道煌以侵犯公民個(gè)人信息罪判處有期徒刑4年。

手機(jī)運(yùn)營(yíng)商和銀行系統(tǒng)，是個(gè)人信息和財(cái)產(chǎn)安全鏈條中最重要的兩環(huán)。記得有人開玩笑地說(shuō)，要想賬戶不被盜，最簡(jiǎn)單的方式是不要開通網(wǎng)絡(luò)版和手機(jī)版，因?yàn)橐坏┒嘁粋€(gè)平臺(tái)，安全性就降低一分。但如今是信息飛速發(fā)展的時(shí)代，有多少人能抵擋住便利的誘惑，繼續(xù)耐著性子去營(yíng)業(yè)廳排隊(duì)辦理業(yè)務(wù)呢?安全和便利，永遠(yuǎn)都是天平的兩端，任何一頭都不應(yīng)該被忽視。

所以，要想大家的“辛苦錢”都不被賊惦記，無(wú)論是用戶本人、運(yùn)營(yíng)商還是銀行，都必須扎緊籬笆，時(shí)刻提防不法分子的入侵。