葛辛晶

時(shí)代在變，跟著一起變的還有犯罪分子們的詐騙手段。近期，央視《焦點(diǎn)訪談》欄目播放三亞警方偵破多起利用先進(jìn)的嗅探設(shè)備盜刷銀行卡的案件。該案件抓獲犯罪嫌疑人15名，涉案金額超過300萬元。

【案件前述】

據(jù)報(bào)道，2019年7月4日4時(shí)許，被害人宋女士報(bào)警稱，手機(jī)突然收到兩條短信，顯示她的銀行卡在第三方支付平臺(tái)上無卡消費(fèi)了5萬元。收到短信后，她立即進(jìn)行掛失，并報(bào)案。

經(jīng)查，警方發(fā)現(xiàn)了被盜刷的5萬元資金去向，并于當(dāng)日9時(shí)許將錢款進(jìn)行了凍結(jié)。據(jù)悉，這筆盜刷資金是由一家第四方支付公司—廣州冠晟網(wǎng)絡(luò)信息技術(shù)有限公司（以下簡(jiǎn)稱“冠晟網(wǎng)絡(luò)”）旗下的“米智付”代收業(yè)務(wù)模塊發(fā)起的一個(gè)收款請(qǐng)求，之后犯罪嫌疑人使用被害人宋女士的銀行卡進(jìn)行了支付。

通過冠晟網(wǎng)絡(luò)后臺(tái)，警方順藤摸瓜，調(diào)取了犯罪嫌疑人在平臺(tái)內(nèi)注冊(cè)的收款人信息。但隨即便發(fā)現(xiàn)，此犯罪嫌疑人并非“真身”，其利用曾于2006年遺失過身份證的張某的個(gè)人信息，來“冒名頂替”實(shí)施詐騙。

面對(duì)狡猾的犯罪嫌疑人，三亞市公安局成立“7·4”盜刷案件專案組，根據(jù)線索開展縝密偵查，最終掌握了第一名犯罪嫌疑人欒某的真實(shí)身份信息，并于2019年7月17日在廣東惠州將其抓獲，繳獲大量作案工具。

此后，專案組還依次抓獲了作案工具嗅探的提供者趙某、販賣公民信息者侯某等人，至此參與本案的15名犯罪嫌疑人全部落網(wǎng)，偵破案件21起。

“黑產(chǎn)”設(shè)備如何實(shí)現(xiàn)隔空盜刷銀行卡

在本案中，被害人尚未丟失過自己的身份證、銀行卡，手機(jī)也好好地放在身邊，怎么就被神不知鬼不覺地盜刷5萬元呢？犯罪嫌疑人到底玩起了何種“魔術(shù)”？

嗅探“魔術(shù)”，4G變2G。三亞警方通過偵查發(fā)現(xiàn)，幫助犯罪嫌疑人完成盜刷工作的實(shí)則為一款名為“嗅探”的技術(shù)設(shè)備。嗅探（Sniffer）是一個(gè)由筆記本電腦、手機(jī)、嗅探信道機(jī)射頻天線組成的設(shè)備，可以獲取網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。

嗅探設(shè)備啟動(dòng)后，可以“吸附”方圓1.5公里內(nèi)2G網(wǎng)絡(luò)下非移動(dòng)的手機(jī)，獲取被害人手機(jī)實(shí)時(shí)收到的短信息、獲取被害人手機(jī)的電話號(hào)碼。緊接著，犯罪嫌疑人再通過一些網(wǎng)站、App的漏洞和撞庫(kù)的方式獲得被害人的姓名、身份證號(hào)、銀行卡號(hào)等信息，結(jié)合實(shí)時(shí)監(jiān)測(cè)到的動(dòng)態(tài)驗(yàn)證碼，在第三方、第四方支付平臺(tái)上實(shí)施盜刷。

嗅探并不是新鮮的技術(shù)設(shè)備，早在1998年上映的、由威爾·史密斯主演的動(dòng)作電影《全民公敵》中就出現(xiàn)過精密小巧的嗅探設(shè)備的身影。對(duì)于大部分普通用戶而言，要察覺嗅探的“魔爪”并不容易，因?yàn)槠鋬H是一種被動(dòng)接受信息的工具，本身并不會(huì)主動(dòng)發(fā)送任何數(shù)據(jù)。

在本案中，犯罪嫌疑人使用的嗅探設(shè)備會(huì)將手機(jī)從4G信號(hào)干擾至2G信號(hào)，而2G的安全防護(hù)較弱，存在漏洞，為犯罪嫌疑人創(chuàng)造了天然的溫床。收取到數(shù)據(jù)包后，被害人的手機(jī)號(hào)碼和短信會(huì)自動(dòng)顯示到犯罪嫌疑人的電腦上，為后續(xù)盜刷操作做好準(zhǔn)備。

在此，提醒廣大用戶除了在日常時(shí)做好手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、支付平臺(tái)賬號(hào)等個(gè)人隱私信息的保護(hù)外，還需要提高警惕，注意自己的手機(jī)信號(hào)是否突然由4G降至2G，這可能是受到網(wǎng)絡(luò)攻擊的信號(hào)，此時(shí)應(yīng)及時(shí)開啟飛行模式，切斷外部信號(hào)。

便捷的動(dòng)態(tài)驗(yàn)證碼竟成“禍根”？光收集到被害人的手機(jī)號(hào)碼和短信自然是不足以實(shí)現(xiàn)盜刷，至少還需要知道銀行卡號(hào)、密碼等信息，那么犯罪嫌疑人到底是怎么做到信息全收集的呢？

首先犯罪嫌疑人會(huì)對(duì)目標(biāo)用戶作一定篩選，瞄準(zhǔn)在淘寶上沒有登記個(gè)人信息的低風(fēng)控用戶，隨后便通過被害人的手機(jī)號(hào)、動(dòng)態(tài)密碼登陸多款A(yù)pp，并以充值、付款的方式，查看被害者持有的銀行卡。得知具體銀行卡后，再利用“黑產(chǎn)”程序“跑”卡，獲取具體銀行卡號(hào)。

套取了銀行卡信息后，犯罪嫌疑人會(huì)再次利用手機(jī)號(hào)碼與動(dòng)態(tài)驗(yàn)證碼，結(jié)合銀行卡免密支付將卡內(nèi)錢款盜刷出去。整個(gè)過程中，受害人除了會(huì)收到許多驗(yàn)證碼外，并無其他提醒，而為了防止受害人警覺，犯罪嫌疑人往往會(huì)選擇受害人入睡后的凌晨實(shí)施作案。

在具體的盜刷實(shí)操環(huán)節(jié)，我們發(fā)現(xiàn)，主要的漏洞存在于動(dòng)態(tài)驗(yàn)證碼環(huán)節(jié)。隨著智能手機(jī)的擴(kuò)容與迭代，線上產(chǎn)業(yè)的發(fā)展直沖云霄，越來越多的App涌現(xiàn)出來。每個(gè)App都要求用戶設(shè)置各自的賬戶和密碼，甚至不同平臺(tái)的密碼規(guī)則也大相徑庭，比如有要求數(shù)字的，有要求英文字符和數(shù)字的，還有要求英文字符、數(shù)字和特殊符號(hào)的，等等。各個(gè)App的密碼設(shè)置似乎也遵從“雞蛋要放在不同籃子里才能減少風(fēng)險(xiǎn)”的原則，但由此卻導(dǎo)致用戶常常忘記某一平臺(tái)的密碼，而改密操作又相對(duì)繁瑣，不符合大部分互聯(lián)網(wǎng)企業(yè)追求優(yōu)質(zhì)用戶體驗(yàn)的理念，于是乎更便捷的動(dòng)態(tài)驗(yàn)證碼登陸方式開始普及，但這一方式存在較大的安全漏洞，它就像一把“萬能鑰匙”，也為犯罪分子盜刷提供了便利，后者可以利用截取動(dòng)態(tài)驗(yàn)證碼短信，輕松破解App內(nèi)賬戶安全保護(hù)。

中國(guó)政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長(zhǎng)王立梅表示，手機(jī)號(hào)加驗(yàn)證碼的方式存在一定的安全隱患，首先驗(yàn)證碼可能被截獲，其次預(yù)留的手機(jī)號(hào)碼也可能被泄露，因此互聯(lián)網(wǎng)平臺(tái)應(yīng)盡可能補(bǔ)充其他的驗(yàn)證方法。

當(dāng)然，在此我們還要呼吁廣大用戶提高防范意識(shí)，如凌晨收到不明驗(yàn)證碼的情況，應(yīng)及時(shí)關(guān)機(jī);若發(fā)現(xiàn)銀行卡被盜刷，應(yīng)快速凍結(jié)，第一時(shí)間報(bào)警。

第四方支付公司成盜刷產(chǎn)業(yè)“幫兇”

雖說本案的梗概已大致厘清，但是其中不得不提及為盜刷資金提供轉(zhuǎn)移通道的第四方支付公司冠晟網(wǎng)絡(luò)，在本案中犯罪嫌疑人通過該公司旗下“米智付”代收業(yè)務(wù)模塊發(fā)起收款請(qǐng)求，而后由被害人銀行卡支付，盜走錢款。

網(wǎng)上關(guān)于冠晟網(wǎng)絡(luò)的信息并不多，但是通過國(guó)家企業(yè)信用信息公示系統(tǒng)等平臺(tái)可以發(fā)現(xiàn)，冠晟網(wǎng)絡(luò)存在的疑點(diǎn)頗多。

首先來看公司運(yùn)營(yíng)方面。冠晟網(wǎng)絡(luò)現(xiàn)已改名為大米?。◤V州）云科技有限公司（以下簡(jiǎn)稱“大米印”），截至發(fā)稿，公司官網(wǎng)無法查看。今年6月17日，公司法人由吳登米轉(zhuǎn)為林炎藏，同時(shí)董事備案中吳登米的身影也消失了。此外，大米印的聯(lián)營(yíng)新三板公司—金冠科技，在其發(fā)布的《2019年財(cái)報(bào)》中表示，大米印運(yùn)營(yíng)不善，資不抵債，截至報(bào)告期末已經(jīng)停止?fàn)I業(yè)。

與此同時(shí)，“米智付”App似乎也停止了運(yùn)行，雖然用戶仍可以從App商城下載，但服務(wù)器已停止運(yùn)行。

其次，在大米印的經(jīng)營(yíng)范圍內(nèi)并未找到支付業(yè)務(wù)相關(guān)的內(nèi)容，能找到為數(shù)不多與“米智付”相關(guān)的是計(jì)算機(jī)技術(shù)開發(fā)、軟件服務(wù)，而這兩者并不構(gòu)成開展代收業(yè)務(wù)的條件。根據(jù)規(guī)定，只有獲得《支付業(yè)務(wù)許可證》的機(jī)構(gòu)方可從事支付結(jié)算類業(yè)務(wù)，因此大米印實(shí)屬非持牌機(jī)構(gòu)。

截至發(fā)稿，“米智付”的百度百科頁面仍顯示“‘米智付’是一款支付服務(wù)類App”，主要向超市、服裝店、小賣部等小微商戶，提供企業(yè)采購(gòu)、批發(fā)市場(chǎng)交易等大額在線支付服務(wù)（表1）。

順藤摸瓜，我們找到了大米印當(dāng)時(shí)運(yùn)營(yíng)的同名搜狐號(hào)平臺(tái)，該搜狐號(hào)曾于2019年8月8日發(fā)布了其在支付方面較微信、支付寶存在的優(yōu)勢(shì)。此外在2019年8月29日發(fā)布最后一篇文章后，便停止更新。

北京市煒衡（廣州）律師事務(wù)所律師鄧世運(yùn)表示，利用第三方支付接口經(jīng)營(yíng)代收業(yè)務(wù)的非持牌機(jī)構(gòu)，為他人提供網(wǎng)絡(luò)支付結(jié)算業(yè)務(wù)，情節(jié)嚴(yán)重的，構(gòu)成非法經(jīng)營(yíng)罪。

另有行業(yè)人士透露，開展代收業(yè)務(wù)的第四方支付機(jī)構(gòu)，如果自身以特約商戶的名義接入收單機(jī)構(gòu)，并為其他特約商戶提供支付通道的情況，涉嫌“二清”行為。同時(shí)，銀行、收單機(jī)構(gòu)也應(yīng)加強(qiáng)特約商戶風(fēng)險(xiǎn)排查工作，及時(shí)向第四方支付機(jī)構(gòu)說“不”。

綜上所述，在高額利益的驅(qū)動(dòng)下，不免有機(jī)構(gòu)鋌而走險(xiǎn)提供非法支付服務(wù)，而凈化這股趨利之風(fēng)，需要行業(yè)各方的共同努力，合力排查，廣大用戶也應(yīng)提高警惕，防范于未然。