支付宝盗刷已成“产业链”? 三网友联手千里“盗宝”被批捕
得益于支付宝等第三方支付平台的发展,如今,人们可以简单、快捷地实现网络支付、信用卡还款、水电煤缴费甚至投资理财。但由于涉及大量资金进出,支付宝也成为了一些不法分子盗窃、诈骗的新目标。
日前,闸北区检察院办理了这样一件盗窃案,犯罪嫌疑人钱某、岳某等人通过木马程序轻松地截获他人的支付宝账户及绑定的手机、银行卡信息,在千里之外将他人支付宝洗劫一空。
2014年9月,上海的宋先生突然收到一条短信,提示他138的手机卡在安徽被跨省补卡。由于这个手机号与自己的支付宝账号是捆绑的,宋先生立马意识到事有蹊跷。匆忙地赶回家中打开电脑一看,宋先生惊讶地发现,自己支付宝的6650元余额和余额宝的5万元存款相继被转走,与支付宝绑定的工商银行卡也已经被转走7001元,另外还有一笔19999元的转账正在进行中,尚未完成。意识到自己的支付宝被盗后,宋先生立即打电话通知支付宝客服停止转账,并向警方报案。
不久,公安机关就将涉案的钱某、陈某和岳某抓获归案,并提请检察院审查逮捕。令人意外的是,承办检察官发现,涉案的三名“网贼”岳某、陈某、钱某在现实生活中互不相识,却俨然已经通过网络形成了一个完整的支付宝盗刷“产业链”,三人各有“专长”,分工完成了“洗料”、“办证”和“盗宝”,最终在距离上海近千里之遥的安徽将宋先生的支付宝洗劫一空。
2014年7月,钱某加入了网上一个名为“洗料”的聊天群,群里“高手”自称可以通过木马软件轻松地拦截全国各地的支付宝账户、密码、绑定的手机号码、身份证信息等“料”。这些“料”根据盗骗对象的不同分为支付宝料、国外CVV料、银行四大件等(这些是“洗料群”里的黑话,四大件指银行卡的开户名、身份证号、卡号、密码;CVV是信用卡安全码,国外信用卡可凭此码进行消费交易),“高手”根据“料”的“质量”高低、齐全与否进行定价出售。
2014年9月,钱某以2300元的价格向群中的一个保证信息100%准确的“高手”岳某购买了5条他人的支付宝账户、密码、用户的身份证信息和绑定手机号码,其中一条就是上海的宋先生。找到“料”后,钱某交给负责“办证”的陈某,陈某拿着钱某的照片和宋先生的身份信息做了一张宋先生的假身份证。从陈某处拿到印着自己照片和宋先生名字的假身份证后,钱某堂而皇之地走进安徽省某移动营业厅异地补办宋先生的手机卡,专门用于截获支付宝公司发出的校验码和短信提醒。由于钱某能正确地输入宋先生手机号的密码,身份证上的照片也与本人相符,所以钱某很轻松地办理了异地补卡业务。万事俱备后,钱某在一宾馆内利用电脑登陆宋先生的支付宝账户,神不知鬼不觉地将6万余元转至自己的银行卡中,并与岳某、陈某分赃。成功得手后,三人又依葫芦画瓢地盗窃了另外三人的支付宝。
检察官提醒:便捷支付背后该如何“防盗”?
近年来,针对支付宝的犯罪活动不断增加。高效、便捷的支付方式在不断改善用户支付体验的同时,各类安全隐患也在威胁用户的财产安全。据了解,仅2015年1至4月,闸北检察院就已办理了4起支付宝盗窃案。
在办理该类案件中,检察官发现,虽然支付宝等第三方支付平台已经设置了实名认证、登陆密码、支付密码、短信验证码等多道安全防护屏障,但不法分子依然有空可钻。如闸北检察院办理的另一起盗窃案,犯罪嫌疑人王某利用支付宝绑定手机后用户可以通过手机校验码修改登录密码,通过手机校验码和身份证号码修改支付密码的规则,拿起被害人不慎落下的手机,顺利地改掉其支付宝密码,并将账户内的2万元转到自己卡中。本案中的钱某等人也是利用我国通讯运营商在补办手机卡时对身份证的审核多为形式审核、无法验证真实性的漏洞,才能利用假身份证补办宋先生的手机卡,悄无声息地实施盗窃。
除了一些可能的安全漏洞,更值得关注的是,这些针对支付宝用户的犯罪活动均与支付宝账户信息泄露和个人身份信息泄露息息相关。在对钱某等人的审讯中,检察官了解到,目前,在网络上充斥着大量的“洗料”、“拦截料”、“收料代洗”群体,每天都有大量的银行卡、支付宝和公民个人信息被买进和卖出,这些“灰色”的信息交易隐藏在虚拟的网络环境之中,既无从得知买卖双方的真实身份,也无法一一甄别信息的来源和真假,对于政府和司法机关而言,无疑极大地增加了打击和取证的难度。
但可以肯定的是,个人信息的泄露是支付宝被盗刷频发的根源所在。要避免支付宝被盗刷,最有效的方法就是用户加强自身的安全意识,主动采取事先防范措施,保管好个人的账户信息和身份信息。这包括设置安全系数较高的密码,不随意泄露个人信息、不打开陌生人发来的网页链接和压缩包、不登陆来源不明的免费wifi,一旦遇到绑定支付宝的手机丢失、长时间没有信号或支付宝无法登陆等情况,一定要及时冻结绑定的支付宝账户、到营业厅补办SIM卡、将绑定银行卡中的钱款转出,降低支付宝被盗刷的风险。