某偽基站賣家所展示的偽基站產(chǎn)品。某黑產(chǎn)群“洗料人”在招攬生意。

  這是兩高首次就打擊侵犯公民個(gè)人信息犯罪出臺(tái)司法解釋。根據(jù)此次司法解釋,非法獲取、出售公民個(gè)人信息,情節(jié)嚴(yán)重者可獲刑?! ?月9日,最高人民法院通報(bào)了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》。

  “近年來,侵犯公民個(gè)人信息犯罪仍處于高發(fā)態(tài)勢(shì),而且與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢(shì),社會(huì)危害更加嚴(yán)重?!弊罡叻ㄏ嚓P(guān)人士稱。

  我們幾乎每個(gè)人,都曾被推銷電話、詐騙短信騷擾過。去年發(fā)生的“徐玉玉案”,即是個(gè)人信息遭侵犯導(dǎo)致的“惡果”。

  在此節(jié)點(diǎn),新京報(bào)推出關(guān)于“個(gè)人信息泄露”的系列調(diào)查報(bào)道。我們將通過對(duì)航空、征信、銀行卡等領(lǐng)域的調(diào)查,以期找到個(gè)人信息泄露的源頭。

  直到5月23日收到電子賬單,劉曉靜(化名)才發(fā)現(xiàn)自己的信用卡被盜刷了?!拔以诮衲?月底申請(qǐng)的卡,5月初激活的,但5月4日就在不知情的情況下被刷走了一筆1990元的賬單,此后又有好幾筆被轉(zhuǎn)走?!彼嬖V新京報(bào)記者。

  劉曉靜不知道的是,她的信用卡信息已經(jīng)泄露了,泄露渠道極有可能是在登錄銀行網(wǎng)站填寫信息時(shí),遭到了虛假網(wǎng)站“釣魚”。

  新京報(bào)記者調(diào)查了解到,在銀行卡盜刷的黑色產(chǎn)業(yè)鏈中,1990元只能算一筆“小買賣”:從偽基站群發(fā)木馬短信誘導(dǎo)用戶點(diǎn)擊鏈接,到釣魚網(wǎng)站和攔截碼“釣出”用戶信息,再到“洗料人”通過多種通道將錢“洗白”分贓,銀行卡盜刷產(chǎn)業(yè)鏈已經(jīng)分出了涇渭分明的三塊“業(yè)務(wù)”,每個(gè)業(yè)務(wù)上的黑產(chǎn)從業(yè)者各司其職,在幾乎為零的成本背后,是“月入十幾萬(wàn)”的利潤(rùn)誘惑。

  偽基站發(fā)詐騙短信

  一小時(shí)收費(fèi)500元,包天4500

  6月6日,打開手提電腦,看著屏幕里的數(shù)字在3秒內(nèi)從0跳到34,旁邊的一部安卓手機(jī)發(fā)出了“滴滴”的短信提示音,小張知道,偽基站已經(jīng)開始正常運(yùn)作了。

  屏幕上的數(shù)字顯示的是他手中設(shè)備向外發(fā)送出的短信數(shù)量,每一個(gè)數(shù)字的跳動(dòng)都意味著附近有人接收到了他發(fā)出的信息。

  “并不是每個(gè)人都會(huì)看這條短信,”小張說,“但總有人會(huì)看,也有人會(huì)點(diǎn)擊里面的鏈接?!?/p>

  當(dāng)天,小張發(fā)出的信息是“工商銀行積分兌換活動(dòng)開始,尊敬的用戶,您可用積分4678分,兌換467.8元,點(diǎn)擊官網(wǎng)鏈接兌換,”短信中還附有一個(gè)開頭為95588的網(wǎng)站鏈接。

  與正常的銀行提示不同的是,里面的鏈接指向的并非工行官網(wǎng),而是一個(gè)釣魚網(wǎng)站,只要進(jìn)入這個(gè)網(wǎng)站并下載所謂的安全控件,點(diǎn)擊人的銀行卡信息就會(huì)泄露出去。

  也許,1000個(gè)人中只有100個(gè)人會(huì)去看這條信息,100個(gè)人里只有10個(gè)人會(huì)點(diǎn)擊鏈接,但對(duì)小張來說,只要有10個(gè)人點(diǎn)擊,就夠了。

  因?yàn)樾堃惶炱骄梢园l(fā)出的信息數(shù)量,是三萬(wàn)條。

  一位互聯(lián)網(wǎng)黑產(chǎn)從業(yè)者表示,偽基站是銀行卡盜刷產(chǎn)業(yè)鏈的上游,“偽基站,顧名思義,是可以偽裝成運(yùn)營(yíng)商基站的設(shè)備。它一般由主機(jī)和筆記本電腦、短信群發(fā)器、短信發(fā)信機(jī)等相關(guān)設(shè)備組成,可以搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息,并任意冒用他人手機(jī)號(hào)碼強(qiáng)行向用戶手機(jī)發(fā)送編輯好的信息,偽裝成10086、四大行客服都可以?!?/p>

  小張?jiān)诮拥桨l(fā)“黑料”的業(yè)務(wù)時(shí)都顯得很謹(jǐn)慎。

  “你要發(fā)的內(nèi)容是黑的還是白的?黑的要多收費(fèi)?!?月6日,小張這樣詢問前來咨詢“業(yè)務(wù)”的記者。

  上述互聯(lián)網(wǎng)黑產(chǎn)從業(yè)者透露,所謂“黑”就是發(fā)送含有詐騙內(nèi)容的短信,而“白”則是商戶促銷等信息。在收到“發(fā)送黑料”的回復(fù)后,小張表示,一小時(shí)收費(fèi)500元?!耙话愕睦习宥及欤瑥纳衔缇劈c(diǎn)半發(fā)到晚上八點(diǎn)半,一天收費(fèi)4500?!比舭创擞?jì)算,小張一個(gè)月可以獲得十三萬(wàn)多的收入。

  6月4日,新京報(bào)記者曾聯(lián)系到幾家賣偽基站的“科技公司”,公司老板稱,基站有車載式,也有背包式,一臺(tái)基站視功率、大小不同價(jià)格也不同,在6000元至1萬(wàn)元間浮動(dòng),“價(jià)格不算貴,而且只要你找到了好老板,一天就可以回本。”

  小張的設(shè)備屬于“車載式”,他說,只要把設(shè)備放在車?yán)?,然后去人流密集的地方把設(shè)備打開兜圈子就行?!坝袝r(shí)會(huì)遇到警車,只要機(jī)靈點(diǎn),及時(shí)把設(shè)備關(guān)掉就可以了。”

  但現(xiàn)在偽基站越來越容易被檢測(cè)出來。2016年4月,360公司在首都網(wǎng)絡(luò)安全日展會(huì)上曾展示了偽基站追蹤系統(tǒng),上海地圖上顯示出了許多黃點(diǎn)和紅點(diǎn),從圖中可以看到東城區(qū)和朝陽(yáng)區(qū)的“點(diǎn)”最多,據(jù)介紹,這些都是偽基站活動(dòng)的痕跡。

  一家販賣偽基站設(shè)備的“科技公司”在廣告上赫然顯示,目前已經(jīng)推出了可以過殺毒軟件、智能手機(jī)甚至包含“安全自毀系統(tǒng)”的新型偽基站。

  “我們針對(duì)偽基站其實(shí)一直在升級(jí)防范類的軟件,但是有時(shí)我們研制了一款軟件出來,就發(fā)現(xiàn)偽基站已經(jīng)更新了好幾代了?!币患野踩雷o(hù)科技公司的研究人員說。

  木馬攔截用戶短信

  釣魚網(wǎng)站1000元“租”一個(gè)月

  當(dāng)小張通過偽基站將短信轟炸式發(fā)送到手機(jī)用戶手中時(shí),不知情點(diǎn)擊短信鏈接的用戶就會(huì)掉入小張的“雇主”們精心設(shè)計(jì)的騙局中。

  資深黑客“驚云”(化名)就是小張的雇主之一。6月2日,新京報(bào)記者聯(lián)系到了“驚云”。在黑客圈混了四五年,“驚云”精通源代碼編寫和網(wǎng)站搭建,但他最主要的業(yè)務(wù)卻是開發(fā)釣魚網(wǎng)站。

  在“驚云”演示的一款“工商銀行釣魚搭配攔截碼演示”視頻中,他制作了一個(gè)域名為“95588”的網(wǎng)站,網(wǎng)站界面幾乎和工商銀行官網(wǎng)一模一樣。

  談到做網(wǎng)站的價(jià)碼,“驚云”說:“搭建釣魚網(wǎng)站1000元一個(gè)月,手機(jī)短信攔截碼500一個(gè)月,手機(jī)感染軟件周租帶鏈接整套1200一周。”

  “域名是可以自己編寫的,把95588、95555這種銀行客服電話寫進(jìn)去是很容易的,只不過后綴不能是.com,只能用別的?!彼f,“我們只要在這個(gè)網(wǎng)站里加上‘積分兌換’之類的內(nèi)容,誘導(dǎo)‘魚’來填寫賬戶密碼就好了?!?/p>

  “驚云”所說的“魚”,指的就是受騙填寫自己銀行卡信息的手機(jī)用戶。

  在“驚云”的演示中,當(dāng)他在釣魚網(wǎng)站點(diǎn)擊“積分兌換”選項(xiàng)時(shí),會(huì)出現(xiàn)要求填寫用戶身份證、手機(jī)號(hào)、銀行卡賬戶和密碼的選項(xiàng),填寫完后,這些信息都會(huì)發(fā)到“驚云”的另一個(gè)軟件后臺(tái)?!斑@樣,‘魚’就上鉤了。”

  用戶填寫完這些信息后,釣魚網(wǎng)站還會(huì)以“需要安裝安全控件”為名誘導(dǎo)用戶安裝手機(jī)木馬?!安还堋~’填寫安裝還是不安裝,手機(jī)木馬都會(huì)自動(dòng)開始安裝,這樣我們就可以把短信攔截木馬植入到用戶手機(jī)中?!薄绑@云”說。

  在銀行卡盜刷黑市里,用戶的身份證、手機(jī)號(hào)、銀行卡賬戶和密碼被稱為“四大件”,被植入了手機(jī)短信攔截木馬的用戶,黑客可以輕易攔截用戶的手機(jī)信息,接收手機(jī)驗(yàn)證碼,被稱為“攔截料”。在不少?gòu)氖碌叵陆灰椎腝Q群里,“攔截料”往往被明碼標(biāo)價(jià)出售。

  “驚云”本身既向人出售釣魚網(wǎng)站,自己也通過釣魚網(wǎng)站獲取他人的銀行卡信息,并轉(zhuǎn)手出售“攔截料”賺錢。

  烏云網(wǎng)的白帽子黑客曾經(jīng)就釣魚網(wǎng)站發(fā)布報(bào)告,稱釣魚網(wǎng)站程序其實(shí)都很簡(jiǎn)單,重點(diǎn)是在界面的裝修上,比如做成銀行或運(yùn)營(yíng)商的樣子。“這個(gè)鏈條中有專門的售賣團(tuán)隊(duì),一套程序價(jià)格是幾百塊左右。提供程序的技術(shù)團(tuán)隊(duì)會(huì)給洗錢師保證一系列的技術(shù)服務(wù),包括VPS服務(wù)器設(shè)置,網(wǎng)站建設(shè)甚至簡(jiǎn)單的系統(tǒng)安全防護(hù)”。

  烏云網(wǎng)報(bào)告指出,為騙人而生的釣魚網(wǎng)站本身也需要“系統(tǒng)安全防護(hù)”的原因是因?yàn)椋烎~網(wǎng)站程序幾乎全部存在“后門”,而如果有其他黑客通過這個(gè)“后門”同樣獲取了“魚”的銀行卡信息,就有可能把“攔截料”取走。很多釣魚網(wǎng)站主人一天給偽基站“信使”發(fā)一萬(wàn)左右的工資,但取回來的“魚”被別人盜走提前“洗”了,導(dǎo)致收益入不敷出?,F(xiàn)在不少黑產(chǎn)從業(yè)者也在努力學(xué)習(xí)ASP程序的“后門”清理技術(shù)。

  6月2日,中國(guó)銀行業(yè)協(xié)會(huì)銀行卡專業(yè)委員會(huì)發(fā)布了《中國(guó)銀行卡產(chǎn)業(yè)發(fā)展藍(lán)皮書(2017)》。報(bào)告稱,通過攻擊手機(jī)移動(dòng)端,以欺詐手段盜取銀行卡的風(fēng)險(xiǎn)明顯提高。據(jù)公安部對(duì)部分省市的統(tǒng)計(jì),涉及網(wǎng)絡(luò)的銀行卡犯罪案件,近年的年增長(zhǎng)速度達(dá)到40%以上。

  多種通道“洗料”

  “洗料人”與“料主”六四分成

  在黑市中,銀行卡信息被統(tǒng)稱為“料”。其中,有驗(yàn)證碼的“料”被稱為“攔截料”,從博彩網(wǎng)站以黑客技術(shù)“拖庫(kù)”出來的“料”叫做“菠菜料”,而通過POS機(jī)或者直接在ATM機(jī)上安裝盜竊軟件取得的料叫做“軌道料”。

  不管從哪種途徑“出料”,最后都需要借助一些“通道”把銀行卡中的錢盜刷出來,這被稱作“洗料”。

  不管是偽基站也好,釣魚網(wǎng)站也好,都是竊取用戶銀行卡信息的手段,但把銀行卡中的錢“安全”提取出來,往往需要借助專業(yè)“洗料人”所掌握的“通道”。

  “驚云”直言,最為“傳統(tǒng)”的洗料通道是直接取現(xiàn),這類“洗料人”被稱為“取手團(tuán)隊(duì)”,具體手法是通過技術(shù)直接復(fù)制一張與銀行卡原持有人一模一樣的銀行卡出來,然后找人直接去ATM機(jī)取款。“這些人總是最先被抓的,我曾經(jīng)跟一個(gè)取手團(tuán)隊(duì)合作過,后來覺得太危險(xiǎn)了就叫他們刪除了我的聯(lián)系方式。”

  “現(xiàn)在,做通道的人都是金融行業(yè)從業(yè)者比較多,或者是熟悉金融行業(yè)的人士。因?yàn)閺慕鹑谙到y(tǒng)或者第三方支付平臺(tái)上將錢‘劃走’比較安全,風(fēng)險(xiǎn)也比較小。”“驚云”說。

  6月8日,新京報(bào)記者以出料為名聯(lián)系到一QQ名為“誠(chéng)信為本”的專業(yè)“洗料人”。據(jù)他介紹,這一行的“行規(guī)”基本是開釣魚網(wǎng)站的“料主”把出的“料”先提供給洗料人,洗料人通過自己的通道將銀行卡里的錢提取出來,所獲款項(xiàng)再與“料主”按一定比例分成,一般是隔天回款。

  “誠(chéng)信為本”表示他走的是“銀行通道”,和“料主”按6:4分成。“我6你4,如果做得久了,老客戶我們可以按照5:5分成。”他向新京報(bào)記者出示了一個(gè)顯示時(shí)間為6月7日的招商銀行的電子回單,“我們可以出四大行以及招行、浦發(fā)的儲(chǔ)蓄卡,宗旨是一條料出到底,絕不跑單。”

  但實(shí)際上,“料主”與“洗料人”之間常常發(fā)生“黑吃黑”,“料主”給了“洗料人”錢之后,“洗料人”獨(dú)吞利潤(rùn)的案例也不鮮見。

  6月8日,在一個(gè)從事黑料交易的QQ群中,一位“料主”與“洗料人”就發(fā)生了爭(zhēng)執(zhí)?!傲现鳌狈Q已把“料”發(fā)給了洗料人,但“洗料人”隔了三天都沒回款。“洗料人”則喊冤稱“錢還在,我根本沒有洗這個(gè)料”。

  “實(shí)際上,任何擁有手機(jī)短信權(quán)限,能通過銀行卡卡號(hào)和密碼進(jìn)行轉(zhuǎn)賬操作的平臺(tái),都可以作為‘洗料’的通道,不同的是安全與否。”一位了解互聯(lián)網(wǎng)黑產(chǎn)的人士告訴新京報(bào)記者。

  該人士介紹,目前流行的“通道”包括開通快捷支付的各類網(wǎng)上銀行系統(tǒng),以及游戲幣、卡盟話費(fèi)或者其他第三方平臺(tái)。

  新京報(bào)記者查閱多份“信用卡詐騙”相關(guān)判決書后發(fā)現(xiàn),在獲得“料主”提供的銀行卡信息后,“洗料人”可以利用上述信息騙取銀行客服的信任,修改或增加被害人信用卡所綁定的手機(jī)號(hào)碼,或者直接攔截被害人的手機(jī)短信。而“洗料人”在法院當(dāng)庭供述的洗料“通道”包括支付寶、微信、易付寶、“去哪兒網(wǎng)”賬戶、“攜程網(wǎng)”賬戶、電子加油卡賬戶等第三方支付平臺(tái)。

  難題:

  “盜刷很難判斷泄露環(huán)節(jié)在哪里”

  5月9日,最高人民法院與最高人民檢察院聯(lián)合發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》。《解釋》明確,非法獲取、出售或者提供公民個(gè)人信息違法所得五千元以上,即應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”,可處三年以下有期徒刑或者拘役,并處或者單處罰金。

  360手機(jī)衛(wèi)士安全專家葛健向新京報(bào)記者表示,2017年第一季度,360手機(jī)衛(wèi)士攔截的垃圾短信中,有1100萬(wàn)條偽基站短信,占垃圾短信攔截總量的0.5%。一季度,360互聯(lián)網(wǎng)安全中心共截獲安卓平臺(tái)新增惡意程序樣本222.8萬(wàn)個(gè),隱私竊取類木馬占比7.9%。

  葛健稱,360提供的數(shù)據(jù)顯示,2017年第一季度,偽基站短信在所有垃圾短信中的比例,相較于2016年第一季度(6.6%)、2016年全年(4%)有了明顯下降。這說明通過公安機(jī)關(guān)、電信運(yùn)營(yíng)商、安全廠商等相關(guān)政府、企業(yè)聯(lián)合打擊治理后,偽基站短信得到了有效的治理。

  21CN聚投訴在3月發(fā)布的銀行卡盜刷大數(shù)據(jù)顯示,2016年度,銀行卡盜刷全網(wǎng)公開的投訴量共7095次,累計(jì)造成客戶經(jīng)濟(jì)損失1.83億元。2016年工商銀行全年盜刷投訴量1923次,成為盜刷投訴第一大戶,占總投訴量的25.6%,涉案金額3874.8萬(wàn)元。

  上海盈科律師事務(wù)所方超強(qiáng)律師表示,一般用戶銀行卡信息泄露后遭到盜刷,很難判斷泄露環(huán)節(jié)在哪里。但銀行卡在盜刷時(shí)總會(huì)有IP地址顯示,銀行卡持有人只要證明銀行卡被盜刷時(shí)的IP地址和本人當(dāng)時(shí)所在地址不一致,就可以證明這單交易非本人操作,從而獲得銀行理賠。

  “在實(shí)際維權(quán)過程中,如果銀行卡持有人舉證證明銀行卡確實(shí)遭到盜刷,且過錯(cuò)是銀行方面的漏洞,是可以獲得銀行賠償?shù)摹2贿^在釣魚網(wǎng)站泄露信息被盜刷的情況并不屬于銀行本身存在漏洞,只能說騙術(shù)過于高明,在這樣的情況下,銀行不需承擔(dān)責(zé)任。”方超強(qiáng)表示。

  6月8日,新京報(bào)記者撥打工商銀行及招商銀行客服咨詢銀行卡被盜刷之后可如何處理,工行客服回復(fù)稱,如果用戶賬戶遭到盜刷,可以立即申請(qǐng)拒付以避免更大損失;如果上了賬戶安全險(xiǎn),遭到盜刷后可以獲取一定數(shù)額的賠償,但并不能保證被盜刷走的錢一定能被追回來。招行則回復(fù)稱具體處理情況需要根據(jù)盜刷者是境內(nèi)境外盜刷以及線上還是線下盜刷來具體分析。

  2016年,新京報(bào)曾經(jīng)報(bào)道,受害者許先生在回復(fù)一條短信后,銀行卡、支付寶、百度錢包內(nèi)資金被盜走的情況。網(wǎng)絡(luò)安全專家當(dāng)時(shí)分析,這是一則利用“個(gè)人信息+USIM卡+改號(hào)軟件發(fā)送詐騙短信”盜取資金的案件,在實(shí)施詐騙之前,騙子掌握了大量受害者的個(gè)人信息,包括姓名、手機(jī)號(hào)、身份證號(hào)、網(wǎng)銀賬戶和密碼,銀行預(yù)留的驗(yàn)證手機(jī)號(hào)。不法分子獲取個(gè)人信息主要的途徑包括無良商家盜賣、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚網(wǎng)站詐騙、二手手機(jī)泄密和新型黑客技術(shù)竊取等。

  第三方支付平臺(tái)易聯(lián)支付也遭遇過用戶銀行卡通過其平臺(tái)被盜刷的情況。

  5月4日,有用戶反映自己銀行卡上的500塊錢被他人通過易聯(lián)支付進(jìn)入蘋果賬號(hào)充值“取走”。

  易聯(lián)支付相關(guān)負(fù)責(zé)人向新京報(bào)記者表示,該用戶的銀行卡在被盜刷過程中,均是在填寫了正確的銀行卡開戶信息以及個(gè)人身份信息后,輸入了正確的銀行卡取款密碼,易聯(lián)支付通過銀聯(lián)及發(fā)卡行對(duì)支付信息進(jìn)行校驗(yàn)后才成功扣款。“我們以此可以判斷在銀行卡被盜刷前,犯罪分子已經(jīng)掌握了所有支付信息,包含銀行卡取款密碼?!?/p>

  上述負(fù)責(zé)人表示,易聯(lián)支付有“先行賠付”機(jī)制?!拔覀?cè)谑盏皆撚脩舻耐对V后,已第一時(shí)間聯(lián)系商家凍結(jié)交易,并在投訴后的第1個(gè)工作日安排了退款。”

  方超強(qiáng)表示,第三方平臺(tái)屬于支付的渠道和工具,在刷卡環(huán)節(jié)不認(rèn)人,只和密鑰比對(duì),因此在銀行卡盜刷事件中,第三方平臺(tái)本身并不需要承擔(dān)責(zé)任。(新京報(bào))