新華網 正文
銀行卡盜刷黑産:一天發3萬木馬短信月入可達十幾萬
2017-06-09 08:18:13 來源: 新京報
關注新華網
微博
Qzone
評論
圖集

  某偽基站賣家所展示的偽基站産品。

  某黑産群“洗料人”在招攬生意。

  5月9日,最高人民法院通報了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》。

  這是兩高首次就打擊侵犯公民個人資訊犯罪出臺司法解釋。根據此次司法解釋,非法獲取、出售公民個人資訊,情節嚴重者可獲刑。

  “近年來,侵犯公民個人資訊犯罪仍處于高發態勢,而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態勢,社會危害更加嚴重。”最高法相關人士稱。

  我們幾乎每個人,都曾被推銷電話、詐騙短信騷擾過。去年發生的“徐玉玉案”,即是個人資訊遭侵犯導致的“惡果”。

  在此節點,新京報推出關于“個人資訊泄露”的係列調查報道。我們將通過對航空、徵信、銀行卡等領域的調查,以期找到個人資訊泄露的源頭。

  直到5月23日收到電子帳單,劉曉靜(化名)才發現自己的信用卡被盜刷了。“我在今年2月底申請的卡,5月初激活的,但5月4日就在不知情的情況下被刷走了一筆1990元的帳單,此後又有好幾筆被轉走。”她告訴新京報記者。

  劉曉靜不知道的是,她的信用卡資訊已經泄露了,泄露渠道極有可能是在登錄銀行網站填寫資訊時,遭到了虛假網站“釣魚”。

  新京報記者調查了解到,在銀行卡盜刷的黑色産業鏈中,1990元只能算一筆“小買賣”:從偽基站群發木馬短信誘導用戶點擊連結,到釣魚網站和攔截碼“釣出”用戶資訊,再到“洗料人”通過多種通道將錢“洗白”分贓,銀行卡盜刷産業鏈已經分出了涇渭分明的三塊“業務”,每個業務上的黑産從業者各司其職,在幾乎為零的成本背後,是“月入十幾萬”的利潤誘惑。

  偽基站發詐騙短信

  一小時收費500元,包天4500

  6月6日,打開手提電腦,看著螢幕裏的數字在3秒內從0跳到34,旁邊的一部安卓手機發出了“滴滴”的短信提示音,小張知道,偽基站已經開始正常運作了。

  螢幕上的數字顯示的是他手中設備向外發送出的短信數量,每一個數字的跳動都意味著附近有人接收到了他發出的資訊。

  “並不是每個人都會看這條短信,”小張説,“但總有人會看,也有人會點擊裏面的連結。”

  當天,小張發出的資訊是“工商銀行積分兌換活動開始,尊敬的用戶,您可用積分4678分,兌換467.8元,點擊官網連結兌換,”短信中還附有一個開頭為95588的網站連結。

  與正常的銀行提示不同的是,裏面的連結指向的並非工行官網,而是一個釣魚網站,只要進入這個網站並下載所謂的安全控件,點擊人的銀行卡資訊就會泄露出去。

  也許,1000個人中只有100個人會去看這條資訊,100個人裏只有10個人會點擊連結,但對小張來説,只要有10個人點擊,就夠了。

  因為小張一天平均可以發出的資訊數量,是三萬條。

  一位互聯網黑産從業者表示,偽基站是銀行卡盜刷産業鏈的上游,“偽基站,顧名思義,是可以偽裝成運營商基站的設備。它一般由主機和筆記型電腦、短信群發器、短信發信機等相關設備組成,可以搜取以其為中心、一定半徑范圍內的手機卡資訊,並任意冒用他人手機號碼強行向用戶手機發送編輯好的資訊,偽裝成10086、四大行客服都可以。”

  小張在接到發“黑料”的業務時都顯得很謹慎。

  “你要發的內容是黑的還是白的?黑的要多收費。”6月6日,小張這樣詢問前來咨詢“業務”的記者。

  上述互聯網黑産從業者透露,所謂“黑”就是發送含有詐騙內容的短信,而“白”則是商戶促銷等資訊。在收到“發送黑料”的回復後,小張表示,一小時收費500元。“一般的老板都包天,從上午九點半發到晚上八點半,一天收費4500。”若按此計算,小張一個月可以獲得十三萬多的收入。

  6月4日,新京報記者曾聯繫到幾家賣偽基站的“科技公司”,公司老板稱,基站有車載式,也有背包式,一臺基站視功率、大小不同價格也不同,在6000元至1萬元間浮動,“價格不算貴,而且只要你找到了好老板,一天就可以回本。”

  小張的設備屬于“車載式”,他説,只要把設備放在車裏,然後去人流密集的地方把設備打開兜圈子就行。“有時會遇到警車,只要機靈點,及時把設備關掉就可以了。”

  但現在偽基站越來越容易被檢測出來。2016年4月,360公司在首都網絡安全日展會上曾展示了偽基站追蹤係統,北京地圖上顯示出了許多黃點和紅點,從圖中可以看到東城區和朝陽區的“點”最多,據介紹,這些都是偽基站活動的痕跡。

  一家販賣偽基站設備的“科技公司”在廣告上赫然顯示,目前已經推出了可以過殺毒軟件、智能手機甚至包含“安全自毀係統”的新型偽基站。

  “我們針對偽基站其實一直在升級防范類的軟件,但是有時我們研制了一款軟件出來,就發現偽基站已經更新了好幾代了。”一家安全防護科技公司的研究人員説。

  木馬攔截用戶短信

  釣魚網站1000元“租”一個月

  當小張通過偽基站將短信轟炸式發送到手機用戶手中時,不知情點擊短信連結的用戶就會掉入小張的“雇主”們精心設計的騙局中。

  資深駭客“驚雲”(化名)就是小張的雇主之一。6月2日,新京報記者聯繫到了“驚雲”。在駭客圈混了四五年,“驚雲”精通源代碼編寫和網站搭建,但他最主要的業務卻是開發釣魚網站。

  在“驚雲”演示的一款“工商銀行釣魚搭配攔截碼演示”視頻中,他制作了一個域名為“95588”的網站,網站界面幾乎和工商銀行官網一模一樣。

  談到做網站的價碼,“驚雲”説:“搭建釣魚網站1000元一個月,手機短信攔截碼500一個月,手機感染軟件周租帶連結整套1200一周。”

  “域名是可以自己編寫的,把95588、95555這種銀行客服電話寫進去是很容易的,只不過尾碼不能是.com,只能用別的。”他説,“我們只要在這個網站裏加上‘積分兌換’之類的內容,誘導‘魚’來填寫賬戶密碼就好了。”

  “驚雲”所説的“魚”,指的就是受騙填寫自己銀行卡資訊的手機用戶。

  在“驚雲”的演示中,當他在釣魚網站點擊“積分兌換”選項時,會出現要求填寫用戶身份證、手機號、銀行卡賬戶和密碼的選項,填寫完後,這些資訊都會發到“驚雲”的另一個軟件後臺。“這樣,‘魚’就上鉤了。”

  用戶填寫完這些資訊後,釣魚網站還會以“需要安裝安全控件”為名誘導用戶安裝手機木馬。“不管‘魚’填寫安裝還是不安裝,手機木馬都會自動開始安裝,這樣我們就可以把短信攔截木馬植入到用戶手機中。”“驚雲”説。

  在銀行卡盜刷黑市裏,用戶的身份證、手機號、銀行卡賬戶和密碼被稱為“四大件”,被植入了手機短信攔截木馬的用戶,駭客可以輕易攔截用戶的手機資訊,接收手機驗證碼,被稱為“攔截料”。在不少從事地下交易的QQ群裏,“攔截料”往往被明碼標價出售。

  “驚雲”本身既向人出售釣魚網站,自己也通過釣魚網站獲取他人的銀行卡資訊,並轉手出售“攔截料”賺錢。

  烏雲網的白帽子駭客曾經就釣魚網站發布報告,稱釣魚網站程式其實都很簡單,重點是在界面的裝修上,比如做成銀行或運營商的樣子。“這個鏈條中有專門的售賣團隊,一套程式價格是幾百塊左右。提供程式的技術團隊會給洗錢師保證一係列的技術服務,包括VPS伺服器設置,網站建設甚至簡單的係統安全防護”。

  烏雲網報告指出,為騙人而生的釣魚網站本身也需要“係統安全防護”的原因是因為,釣魚網站程式幾乎全部存在“後門”,而如果有其他駭客通過這個“後門”同樣獲取了“魚”的銀行卡資訊,就有可能把“攔截料”取走。很多釣魚網站主人一天給偽基站“信使”發一萬左右的工資,但取回來的“魚”被別人盜走提前“洗”了,導致收益入不敷出。現在不少黑産從業者也在努力學習ASP程式的“後門”清理技術。

  6月2日,中國銀行業協會銀行卡專業委員會發布了《中國銀行卡産業發展藍皮書(2017)》。報告稱,通過攻擊手機移動端,以欺詐手段盜取銀行卡的風險明顯提高。據公安部對部分省市的統計,涉及網絡的銀行卡犯罪案件,近年的年增長速度達到40%以上。

  多種通道“洗料”

  “洗料人”與“料主”六四分成

  在黑市中,銀行卡資訊被統稱為“料”。其中,有驗證碼的“料”被稱為“攔截料”,從博彩網站以駭客技術“拖庫”出來的“料”叫做“菠菜料”,而通過POS機或者直接在ATM機上安裝盜竊軟件取得的料叫做“軌道料”。

  不管從哪種途徑“出料”,最後都需要借助一些“通道”把銀行卡中的錢盜刷出來,這被稱作“洗料”。

  不管是偽基站也好,釣魚網站也好,都是竊取用戶銀行卡資訊的手段,但把銀行卡中的錢“安全”提取出來,往往需要借助專業“洗料人”所掌握的“通道”。

  “驚雲”直言,最為“傳統”的洗料通道是直接取現,這類“洗料人”被稱為“取手團隊”,具體手法是通過技術直接復制一張與銀行卡原持有人一模一樣的銀行卡出來,然後找人直接去ATM機取款。“這些人總是最先被抓的,我曾經跟一個取手團隊合作過,後來覺得太危險了就叫他們刪除了我的聯繫方式。”

  “現在,做通道的人都是金融行業從業者比較多,或者是熟悉金融行業的人士。因為從金融係統或者第三方支付平臺上將錢‘劃走’比較安全,風險也比較小。”“驚雲”説。

  6月8日,新京報記者以出料為名聯繫到一QQ名為“誠信為本”的專業“洗料人”。據他介紹,這一行的“行規”基本是開釣魚網站的“料主”把出的“料”先提供給洗料人,洗料人通過自己的通道將銀行卡裏的錢提取出來,所獲款項再與“料主”按一定比例分成,一般是隔天回款。

  “誠信為本”表示他走的是“銀行通道”,和“料主”按6:4分成。“我6你4,如果做得久了,老客戶我們可以按照5:5分成。”他向新京報記者出示了一個顯示時間為6月7日的招商銀行的電子回單,“我們可以出四大行以及招行、浦發的儲蓄卡,宗旨是一條料出到底,絕不跑單。”

  但實際上,“料主”與“洗料人”之間常常發生“黑吃黑”,“料主”給了“洗料人”錢之後,“洗料人”獨吞利潤的案例也不鮮見。

  6月8日,在一個從事黑料交易的QQ群中,一位“料主”與“洗料人”就發生了爭執。“料主”稱已把“料”發給了洗料人,但“洗料人”隔了三天都沒回款。“洗料人”則喊冤稱“錢還在,我根本沒有洗這個料”。

  “實際上,任何擁有手機短信許可權,能通過銀行卡卡號和密碼進行轉賬操作的平臺,都可以作為‘洗料’的通道,不同的是安全與否。”一位了解互聯網黑産的人士告訴新京報記者。

  該人士介紹,目前流行的“通道”包括開通快捷支付的各類網上銀行係統,以及遊戲幣、卡盟話費或者其他第三方平臺。

  新京報記者查閱多份“信用卡詐騙”相關判決書後發現,在獲得“料主”提供的銀行卡資訊後,“洗料人”可以利用上述資訊騙取銀行客服的信任,修改或增加被害人信用卡所綁定的手機號碼,或者直接攔截被害人的手機短信。而“洗料人”在法院當庭供述的洗料“通道”包括支付寶、微信、易付寶、“去哪兒網”賬戶、“攜程網”賬戶、電子加油卡賬戶等第三方支付平臺。

  難題:

  “盜刷很難判斷泄露環節在哪裏”

  5月9日,最高人民法院與最高人民檢察院聯合發布《關于辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》。《解釋》明確,非法獲取、出售或者提供公民個人資訊違法所得五千元以上,即應當認定為刑法第二百五十三條之一規定的“情節嚴重”,可處三年以下有期徒刑或者拘役,並處或者單處罰金。

  360手機衛士安全專家葛健向新京報記者表示,2017年第一季度,360手機衛士攔截的垃圾短信中,有1100萬條偽基站短信,佔垃圾短信攔截總量的0.5%。一季度,360互聯網安全中心共截獲安卓平臺新增惡意程式樣本222.8萬個,隱私竊取類木馬佔比7.9%。

  葛健稱,360提供的數據顯示,2017年第一季度,偽基站短信在所有垃圾短信中的比例,相較于2016年第一季度(6.6%)、2016年全年(4%)有了明顯下降。這説明通過公安機關、電信運營商、安全廠商等相關政府、企業聯合打擊治理後,偽基站短信得到了有效的治理。

  21CN聚投訴在3月發布的銀行卡盜刷大數據顯示,2016年度,銀行卡盜刷全網公開的投訴量共7095次,累計造成客戶經濟損失1.83億元。2016年工商銀行全年盜刷投訴量1923次,成為盜刷投訴第一大戶,佔總投訴量的25.6%,涉案金額3874.8萬元。

  北京盈科律師事務所方超強律師表示,一般用戶銀行卡資訊泄露後遭到盜刷,很難判斷泄露環節在哪裏。但銀行卡在盜刷時總會有IP地址顯示,銀行卡持有人只要證明銀行卡被盜刷時的IP地址和本人當時所在地址不一致,就可以證明這單交易非本人操作,從而獲得銀行理賠。

  “在實際維權過程中,如果銀行卡持有人舉證證明銀行卡確實遭到盜刷,且過錯是銀行方面的漏洞,是可以獲得銀行賠償的。不過在釣魚網站泄露資訊被盜刷的情況並不屬于銀行本身存在漏洞,只能説騙術過于高明,在這樣的情況下,銀行不需承擔責任。”方超強表示。

  6月8日,新京報記者撥打工商銀行及招商銀行客服咨詢銀行卡被盜刷之後可如何處理,工行客服回復稱,如果用戶賬戶遭到盜刷,可以立即申請拒付以避免更大損失;如果上了賬戶安全險,遭到盜刷後可以獲取一定數額的賠償,但並不能保證被盜刷走的錢一定能被追回來。招行則回復稱具體處理情況需要根據盜刷者是境內境外盜刷以及線上還是線下盜刷來具體分析。

  2016年,新京報曾經報道,受害者許先生在回復一條短信後,銀行卡、支付寶、百度錢包內資金被盜走的情況。網絡安全專家當時分析,這是一則利用“個人資訊+USIM卡+改號軟件發送詐騙短信”盜取資金的案件,在實施詐騙之前,騙子掌握了大量受害者的個人資訊,包括姓名、手機號、身份證號、網銀賬戶和密碼,銀行預留的驗證手機號。不法分子獲取個人資訊主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型駭客技術竊取等。

  第三方支付平臺易聯支付也遭遇過用戶銀行卡通過其平臺被盜刷的情況。

  5月4日,有用戶反映自己銀行卡上的500塊錢被他人通過易聯支付進入蘋果賬號充值“取走”。

  易聯支付相關負責人向新京報記者表示,該用戶的銀行卡在被盜刷過程中,均是在填寫了正確的銀行卡開戶資訊以及個人身份資訊後,輸入了正確的銀行卡取款密碼,易聯支付通過銀聯及發卡行對支付資訊進行校驗後才成功扣款。“我們以此可以判斷在銀行卡被盜刷前,犯罪分子已經掌握了所有支付資訊,包含銀行卡取款密碼。”

  上述負責人表示,易聯支付有“先行賠付”機制。“我們在收到該用戶的投訴後,已第一時間聯繫商家凍結交易,並在投訴後的第1個工作日安排了退款。”

  方超強表示,第三方平臺屬于支付的渠道和工具,在刷卡環節不認人,只和密鑰比對,因此在銀行卡盜刷事件中,第三方平臺本身並不需要承擔責任。

  新京報記者 羅亦丹 陳鵬

+1
【糾錯】 責任編輯: 冉曉寧
新聞評論
    載入更多
    上海:變電站裏來了機器人“同事”
    上海:變電站裏來了機器人“同事”
    中國海洋探索走向縱深
    中國海洋探索走向縱深
    全國部分地區2017年高考結束
    全國部分地區2017年高考結束
    騎馬巡邏守邊關
    騎馬巡邏守邊關
    010160120000000000000000011101201121112737