銀行卡盜刷黑產：

　　一天發(fā)3萬木馬短信月入可達十幾萬

　　偽基站發(fā)木馬短信“設局”，釣魚網站誘導用戶填寫銀行密碼，“洗料人”通過多個渠道盜刷“洗白”

5月9日，最高人民法院通報了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

　　這是兩高首次就打擊侵犯公民個人信息犯罪出臺司法解釋。根據此次司法解釋，非法獲取、出售公民個人信息，情節(jié)嚴重者可獲刑。

　　“近年來，侵犯公民個人信息犯罪仍處于高發(fā)態(tài)勢，而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢，社會危害更加嚴重。”最高法相關人士稱。

　　我們幾乎每個人，都曾被推銷電話、詐騙短信騷擾過。去年發(fā)生的“徐玉玉案”，即是個人信息遭侵犯導致的“惡果”。

　　在此節(jié)點，新京報推出關于“個人信息泄露”的系列調查報道。我們將通過對航空、征信、銀行卡等領域的調查，以期找到個人信息泄露的源頭。

　　直到5月23日收到電子賬單，劉曉靜(化名)才發(fā)現自己的信用卡被盜刷了。“我在今年2月底申請的卡，5月初激活的，但5月4日就在不知情的情況下被刷走了一筆1990元的賬單，此后又有好幾筆被轉走。”她告訴新京報記者。

　　劉曉靜不知道的是，她的信用卡信息已經泄露了，泄露渠道極有可能是在登錄銀行網站填寫信息時，遭到了虛假網站“釣魚”。

　　新京報記者調查了解到，在銀行卡盜刷的黑色產業(yè)鏈中，1990元只能算一筆“小買賣”：從偽基站群發(fā)木馬短信誘導用戶點擊鏈接，到釣魚網站和攔截碼“釣出”用戶信息，再到“洗料人”通過多種通道將錢“洗白”分贓，銀行卡盜刷產業(yè)鏈已經分出了涇渭分明的三塊“業(yè)務”，每個業(yè)務上的黑產從業(yè)者各司其職，在幾乎為零的成本背后，是“月入十幾萬”的利潤誘惑。

　　偽基站發(fā)詐騙短信

　　一小時收費500元，包天4500

　　6月6日，打開手提電腦，看著屏幕里的數字在3秒內從0跳到34，旁邊的一部安卓手機發(fā)出了“滴滴”的短信提示音，小張知道，偽基站已經開始正常運作了。

　　屏幕上的數字顯示的是他手中設備向外發(fā)送出的短信數量，每一個數字的跳動都意味著附近有人接收到了他發(fā)出的信息。

　　“并不是每個人都會看這條短信，”小張說，“但總有人會看，也有人會點擊里面的鏈接。”

　　當天，小張發(fā)出的信息是“工商銀行積分兌換活動開始，尊敬的用戶，您可用積分4678分，兌換467.8元，點擊官網鏈接兌換，”短信中還附有一個開頭為95588的網站鏈接。

　　與正常的銀行提示不同的是，里面的鏈接指向的并非工行官網，而是一個釣魚網站，只要進入這個網站并下載所謂的安全控件，點擊人的銀行卡信息就會泄露出去。

　　因為小張一天平均可以發(fā)出的信息數量，是三萬條。

　　一位互聯(lián)網黑產從業(yè)者表示，偽基站是銀行卡盜刷產業(yè)鏈的上游，“偽基站，顧名思義，是可以偽裝成運營商基站的設備。它一般由主機和筆記本電腦、短信群發(fā)器、短信發(fā)信機等相關設備組成，可以搜取以其為中心、一定半徑范圍內的手機卡信息，并任意冒用他人手機號碼強行向用戶手機發(fā)送編輯好的信息，偽裝成10086、四大行客服都可以。”

　　小張在接到發(fā)“黑料”的業(yè)務時都顯得很謹慎。

　　“你要發(fā)的內容是黑的還是白的？黑的要多收費。”6月6日，小張這樣詢問前來咨詢“業(yè)務”的記者。

　　上述互聯(lián)網黑產從業(yè)者透露，所謂“黑”就是發(fā)送含有詐騙內容的短信，而“白”則是商戶促銷等信息。在收到“發(fā)送黑料”的回復后，小張表示，一小時收費500元。“一般的老板都包天，從上午九點半發(fā)到晚上八點半，一天收費4500。”若按此計算，小張一個月可以獲得十三萬多的收入。

　　6月4日，新京報記者曾聯(lián)系到幾家賣偽基站的“科技公司”，公司老板稱，基站有車載式，也有背包式，一臺基站視功率、大小不同價格也不同，在6000元至1萬元間浮動，“價格不算貴，而且只要你找到了好老板，一天就可以回本。”

　　小張的設備屬于“車載式”，他說，只要把設備放在車里，然后去人流密集的地方把設備打開兜圈子就行。“有時會遇到警車，只要機靈點，及時把設備關掉就可以了。”

　　但現在偽基站越來越容易被檢測出來。2016年4月，360公司在首都網絡安全日展會上曾展示了偽基站追蹤系統(tǒng)，北京地圖上顯示出了許多黃點和紅點，從圖中可以看到東城區(qū)和朝陽區(qū)的“點”最多，據介紹，這些都是偽基站活動的痕跡。

　　一家販賣偽基站設備的“科技公司”在廣告上赫然顯示，目前已經推出了可以過殺毒軟件、智能手機甚至包含“安全自毀系統(tǒng)”的新型偽基站。

　　“我們針對偽基站其實一直在升級防范類的軟件，但是有時我們研制了一款軟件出來，就發(fā)現偽基站已經更新了好幾代了。”一家安全防護科技公司的研究人員說。

木馬攔截用戶短信

　　釣魚網站1000元“租”一個月

　　當小張通過偽基站將短信轟炸式發(fā)送到手機用戶手中時，不知情點擊短信鏈接的用戶就會掉入小張的“雇主”們精心設計的騙局中。

　　資深黑客“驚云”(化名)就是小張的雇主之一。6月2日，新京報記者聯(lián)系到了“驚云”。在黑客圈混了四五年，“驚云”精通源代碼編寫和網站搭建，但他最主要的業(yè)務卻是開發(fā)釣魚網站。

　　在“驚云”演示的一款“工商銀行釣魚搭配攔截碼演示”視頻中，他制作了一個域名為“95588”的網站，網站界面幾乎和工商銀行官網一模一樣。

　　談到做網站的價碼，“驚云”說：“搭建釣魚網站1000元一個月，手機短信攔截碼500一個月，手機感染軟件周租帶鏈接整套1200一周。”

　　“域名是可以自己編寫的，把95588、95555這種銀行客服電話寫進去是很容易的，只不過后綴不能是.com，只能用別的。”他說，“我們只要在這個網站里加上‘積分兌換’之類的內容，誘導‘魚’來填寫賬戶密碼就好了。”

　　“驚云”所說的“魚”，指的就是受騙填寫自己銀行卡信息的手機用戶。

　　在“驚云”的演示中，當他在釣魚網站點擊“積分兌換”選項時，會出現要求填寫用戶身份證、手機號、銀行卡賬戶和密碼的選項，填寫完后，這些信息都會發(fā)到“驚云”的另一個軟件后臺。“這樣，‘魚’就上鉤了。”

　　用戶填寫完這些信息后，釣魚網站還會以“需要安裝安全控件”為名誘導用戶安裝手機木馬。“不管‘魚’填寫安裝還是不安裝，手機木馬都會自動開始安裝，這樣我們就可以把短信攔截木馬植入到用戶手機中。”“驚云”說。

　　在銀行卡盜刷黑市里，用戶的身份證、手機號、銀行卡賬戶和密碼被稱為“四大件”，被植入了手機短信攔截木馬的用戶，黑客可以輕易攔截用戶的手機信息，接收手機驗證碼，被稱為“攔截料”。在不少從事地下交易的QQ群里，“攔截料”往往被明碼標價出售。

　　“驚云”本身既向人出售釣魚網站，自己也通過釣魚網站獲取他人的銀行卡信息，并轉手出售“攔截料”賺錢。

　　烏云網的白帽子黑客曾經就釣魚網站發(fā)布報告，稱釣魚網站程序其實都很簡單，重點是在界面的裝修上，比如做成銀行或運營商的樣子。“這個鏈條中有專門的售賣團隊，一套程序價格是幾百塊左右。提供程序的技術團隊會給洗錢師保證一系列的技術服務，包括VPS服務器設置，網站建設甚至簡單的系統(tǒng)安全防護”。

　　烏云網報告指出，為騙人而生的釣魚網站本身也需要“系統(tǒng)安全防護”的原因是因為，釣魚網站程序幾乎全部存在“后門”，而如果有其他黑客通過這個“后門”同樣獲取了“魚”的銀行卡信息，就有可能把“攔截料”取走。很多釣魚網站主人一天給偽基站“信使”發(fā)一萬左右的工資，但取回來的“魚”被別人盜走提前“洗”了，導致收益入不敷出。現在不少黑產從業(yè)者也在努力學習ASP程序的“后門”清理技術。

　　6月2日，中國銀行業(yè)協(xié)會銀行卡專業(yè)委員會發(fā)布了《中國銀行卡產業(yè)發(fā)展藍皮書(2017)》。報告稱，通過攻擊手機移動端，以欺詐手段盜取銀行卡的風險明顯提高。據公安部對部分省市的統(tǒng)計，涉及網絡的銀行卡犯罪案件，近年的年增長速度達到40%以上。

　　多種通道“洗料”

　　“洗料人”與“料主”六四分成

　　在黑市中，銀行卡信息被統(tǒng)稱為“料”。其中，有驗證碼的“料”被稱為“攔截料”，從博彩網站以黑客技術“拖庫”出來的“料”叫做“菠菜料”，而通過POS機或者直接在ATM機上安裝盜竊軟件取得的料叫做“軌道料”。

　　不管從哪種途徑“出料”，最后都需要借助一些“通道”把銀行卡中的錢盜刷出來，這被稱作“洗料”。

　　不管是偽基站也好，釣魚網站也好，都是竊取用戶銀行卡信息的手段，但把銀行卡中的錢“安全”提取出來，往往需要借助專業(yè)“洗料人”所掌握的“通道”。

　　“驚云”直言，最為“傳統(tǒng)”的洗料通道是直接取現，這類“洗料人”被稱為“取手團隊”，具體手法是通過技術直接復制一張與銀行卡原持有人一模一樣的銀行卡出來，然后找人直接去ATM機取款。“這些人總是最先被抓的，我曾經跟一個取手團隊合作過，后來覺得太危險了就叫他們刪除了我的聯(lián)系方式。”

　　“現在，做通道的人都是金融行業(yè)從業(yè)者比較多，或者是熟悉金融行業(yè)的人士。因為從金融系統(tǒng)或者第三方支付平臺上將錢‘劃走’比較安全，風險也比較小。”“驚云”說。

　　6月8日，新京報記者以出料為名聯(lián)系到一QQ名為“誠信為本”的專業(yè)“洗料人”。據他介紹，這一行的“行規(guī)”基本是開釣魚網站的“料主”把出的“料”先提供給洗料人，洗料人通過自己的通道將銀行卡里的錢提取出來，所獲款項再與“料主”按一定比例分成，一般是隔天回款。

　　“誠信為本”表示他走的是“銀行通道”，和“料主”按6：4分成。“我6你4，如果做得久了，老客戶我們可以按照5：5分成。”他向新京報記者出示了一個顯示時間為6月7日的招商銀行的電子回單，“我們可以出四大行以及招行、浦發(fā)的儲蓄卡，宗旨是一條料出到底，絕不跑單。”

　　但實際上，“料主”與“洗料人”之間常常發(fā)生“黑吃黑”，“料主”給了“洗料人”錢之后，“洗料人”獨吞利潤的案例也不鮮見。

　　6月8日，在一個從事黑料交易的QQ群中，一位“料主”與“洗料人”就發(fā)生了爭執(zhí)。“料主”稱已把“料”發(fā)給了洗料人，但“洗料人”隔了三天都沒回款。“洗料人”則喊冤稱“錢還在，我根本沒有洗這個料”。

　　“實際上，任何擁有手機短信權限，能通過銀行卡卡號和密碼進行轉賬操作的平臺，都可以作為‘洗料’的通道，不同的是安全與否。”一位了解互聯(lián)網黑產的人士告訴新京報記者。

　　該人士介紹，目前流行的“通道”包括開通快捷支付的各類網上銀行系統(tǒng)，以及游戲幣、卡盟話費或者其他第三方平臺。

　　新京報記者查閱多份“信用卡詐騙”相關判決書后發(fā)現，在獲得“料主”提供的銀行卡信息后，“洗料人”可以利用上述信息騙取銀行客服的信任，修改或增加被害人信用卡所綁定的手機號碼，或者直接攔截被害人的手機短信。而“洗料人”在法院當庭供述的洗料“通道”包括支付寶、微信、易付寶、“去哪兒網”賬戶、“攜程網”賬戶、電子加油卡賬戶等第三方支付平臺。

　　難題：

　　“盜刷很難判斷泄露環(huán)節(jié)在哪里”

　　5月9日，最高人民法院與最高人民檢察院聯(lián)合發(fā)布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。《解釋》明確，非法獲取、出售或者提供公民個人信息違法所得五千元以上，即應當認定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴重”，可處三年以下有期徒刑或者拘役，并處或者單處罰金。

　　360手機衛(wèi)士安全專家葛健向新京報記者表示，2017年第一季度，360手機衛(wèi)士攔截的垃圾短信中，有1100萬條偽基站短信，占垃圾短信攔截總量的0.5%。一季度，360互聯(lián)網安全中心共截獲安卓平臺新增惡意程序樣本222.8萬個，隱私竊取類木馬占比7.9%。

　　葛健稱，360提供的數據顯示，2017年第一季度，偽基站短信在所有垃圾短信中的比例，相較于2016年第一季度(6.6%)、2016年全年(4%)有了明顯下降。這說明通過公安機關、電信運營商、安全廠商等相關政府、企業(yè)聯(lián)合打擊治理后，偽基站短信得到了有效的治理。

　　21CN聚投訴在3月發(fā)布的銀行卡盜刷大數據顯示，2016年度，銀行卡盜刷全網公開的投訴量共7095次，累計造成客戶經濟損失1.83億元。2016年工商銀行全年盜刷投訴量1923次，成為盜刷投訴第一大戶，占總投訴量的25.6%，涉案金額3874.8萬元。

　　北京盈科律師事務所方超強律師表示，一般用戶銀行卡信息泄露后遭到盜刷，很難判斷泄露環(huán)節(jié)在哪里。但銀行卡在盜刷時總會有IP地址顯示，銀行卡持有人只要證明銀行卡被盜刷時的IP地址和本人當時所在地址不一致，就可以證明這單交易非本人操作，從而獲得銀行理賠。

　　“在實際維權過程中，如果銀行卡持有人舉證證明銀行卡確實遭到盜刷，且過錯是銀行方面的漏洞，是可以獲得銀行賠償的。不過在釣魚網站泄露信息被盜刷的情況并不屬于銀行本身存在漏洞，只能說騙術過于高明，在這樣的情況下，銀行不需承擔責任。”方超強表示。

　　6月8日，新京報記者撥打工商銀行及招商銀行客服咨詢銀行卡被盜刷之后可如何處理，工行客服回復稱，如果用戶賬戶遭到盜刷，可以立即申請拒付以避免更大損失；如果上了賬戶安全險，遭到盜刷后可以獲取一定數額的賠償，但并不能保證被盜刷走的錢一定能被追回來。招行則回復稱具體處理情況需要根據盜刷者是境內境外盜刷以及線上還是線下盜刷來具體分析。

　　2016年，新京報曾經報道，受害者許先生在回復一條短信后，銀行卡、支付寶、百度錢包內資金被盜走的情況。網絡安全專家當時分析，這是一則利用“個人信息＋USIM卡＋改號軟件發(fā)送詐騙短信”盜取資金的案件，在實施詐騙之前，騙子掌握了大量受害者的個人信息，包括姓名、手機號、身份證號、網銀賬戶和密碼，銀行預留的驗證手機號。不法分子獲取個人信息主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型黑客技術竊取等。

　　第三方支付平臺易聯(lián)支付也遭遇過用戶銀行卡通過其平臺被盜刷的情況。

　　5月4日，有用戶反映自己銀行卡上的500塊錢被他人通過易聯(lián)支付進入蘋果賬號充值“取走”。

　　易聯(lián)支付相關負責人向新京報記者表示，該用戶的銀行卡在被盜刷過程中，均是在填寫了正確的銀行卡開戶信息以及個人身份信息后，輸入了正確的銀行卡取款密碼，易聯(lián)支付通過銀聯(lián)及發(fā)卡行對支付信息進行校驗后才成功扣款。“我們以此可以判斷在銀行卡被盜刷前，犯罪分子已經掌握了所有支付信息，包含銀行卡取款密碼。”

　　上述負責人表示，易聯(lián)支付有“先行賠付”機制。“我們在收到該用戶的投訴后，已第一時間聯(lián)系商家凍結交易，并在投訴后的第1個工作日安排了退款。”

　　方超強表示，第三方平臺屬于支付的渠道和工具，在刷卡環(huán)節(jié)不認人，只和密鑰比對，因此在銀行卡盜刷事件中，第三方平臺本身并不需要承擔責任。

　　新京報記者 羅亦丹 陳鵬

?

?

相關鏈接：

高考次日 海口繼續(xù)保持食品安全事件“零發(fā)生”
高考賽程過半 同學們繼續(xù)加油！
直擊海南高考第二天：整體良好 英語考試1名考生作弊
海口市政府領導小組繼續(xù)巡查高考考點

?