黑客购买信息后攻破移动支付账号,三百余人信用卡被盗刷
2018-01-16 16:19:00     [查看原文]

办案民警搜查嫌疑人涉案赃物。 本文图片警方供图

窃取大量公民信息,“撞库”攻破300余人移动支付账号密码,犯罪分子盗刷账户内300余万元。

这是上海首例利用移动支付通道盗刷信用卡诈骗案。1月16日,澎湃新闻(www.thepaper.cn)记者从上海市公安局经侦总队获悉,近期上海公安机关在江西、湖南、四川、河南、江苏、浙江等六省分别实施收网行动,成功侦破这起诈骗案,一举抓获徐某、许某、段某等10余名犯罪嫌疑人,收缴作案用手机、电脑50余部,银行卡100余张,POS机70余台。

犯罪嫌疑人被警方抓获。

窃取公民信息“撞库”攻破移动支付账号

据上海市公安局经侦总队一支队副支队长徐勤介绍,2017年4月,经侦总队接到报案,有不法分子利用移动支付通道盗刷他人信用卡资金,涉嫌信用卡诈骗。总队立即会同浦东分局组成联合专案组,开展立案侦查。

侦查员向资金流向涉及的电商平台,以及涉案POS机涉及的第三方支付机构获取盗刷交易相关数据,并以关键词为主要线索对全市范围内同类型案件串并,发现疑似被盗刷信用卡300余张,涉案金额300余万元。

经查,2017年3月至4月,以徐某、段某等人为首的犯罪团伙,通过张某等人非法购得大量公民信息,通过许某等专业编程人员编写黑客软件。此后,犯罪团伙利用上述非法获取的公民信息和扫码黑客软件,攻击移动支付平台数据库,非法获取平台用户的账号、登录密码甚至支付密码等信息。

徐勤表示,区别于一些常规银行卡案件,该案中不存在犯罪团伙直接接触受害人信用卡,而是犯罪团伙通过攻击第三方支付平台,使受害人支付平台账户所绑定的银行卡泄露,“等于犯罪团伙控制着你的信用卡,可以随意消费”。

徐勤特别提到,案件中许多受害人的常用网络账号密码都一样,这给了犯罪分子可乘之机。“比如,你的微博、微信和支付平台账号如果一样,一旦某个平台被攻破,犯罪团伙就可能通过该账号密码进行‘撞库’,从而攻破你的网络支付账号。”

警方介绍,在这起案件中,几种常见的支付平台皆有被“撞库”成功的情形。

警方收缴的pos机。

套现方式:线上购物和线下盗刷

攻破受害人移动支付账号密码后,犯罪团伙通常通过线上线下两种方式套现。

徐勤介绍,在线上套现方面,以徐某为首的犯罪团伙利用上述信息成功登录移动支付通道的手机APP,通过电商平台的扫描二维码结算功能,疯狂购买各类易变现商品,如电子数码产品、充值卡、景点门票等。

而以段某为首的犯罪团伙,主要通过线下盗刷套现。犯罪团伙先根据窃取到的公民信息注册生成大量二维支付码,随后利用虚假身份购买大量pos机,通过pos机扫描支付码完成盗刷,成功将被害人信用卡内的资金转移到犯罪嫌疑人控制的结算卡内,最后再由犯罪嫌疑人章某等人通过全国各地的ATM机进行取现。

“现在确实存在一些pos机的登记和申领不完备,给了犯罪活动可乘之机。比如,有些商户和犯罪分子合作进行套现。同时,也有犯罪分子自己申领pos机进行套现。”浦东公安分局经侦支队副支队长单斌说,而最新的手法,还包括犯罪分子通过技术手段,把手机“变成”pos机,此案中,就存在一部手机可以“变成”十部pos机的情况。

目前,本案犯罪嫌疑人因涉嫌信用卡诈骗罪,已被公安机关执行逮捕。同时,公安机关已对公民信息泄露源头开展深入打击。

警方提示:一是切记不轻易泄露个人身份证号码、家庭住址、手机号码等身份信息,以及银行卡卡号、有效期、CVV码等银行卡信息,避免上述信息被犯罪分子获取后实施银行卡犯罪;二是使用信用卡在网上支付时,应正确识别经官方认证的正规互联网支付平台,远离不熟悉、非正规的互联网支付平台或非法链接,以防止银行卡信息被网络黑客窃取而被盗划资金。三是养成经常更改密码的习惯,尤其在遗失手机后,与手机软件绑定的信用卡密码要及时更换。四是外出消费时,不要使用存有大额资金的借记卡,尽量使用信用卡进行刷卡消费,并且在输入密码是注意用手遮挡,防止他人窥视,更不要将信用卡交给他人刷卡,做到卡不离身。

本栏目中的所有页面均系自动生成,自动分类排列,采用联索网络信息采集、网页信息提取、语义计算等智能搜索技术。内容源于公开的媒体报道,包括但不限于新闻网站、电子报刊、行业门户、客户网站等。使用本栏目前必读